Recomendaciones en RGPD y ciberseguridad para videoconferencias en el teletrabajo

Abr 17, 2020

Tercera parte de las recomendaciones en ciberseguridad para el teletrabajo, en este artículo os hablare de la afectación que puede tener el teletrabajo para el RGPD y alguna recomendación sobre cómo realizar las videoconferencias de manera más segura.

En relación al RGPD, vamos a resumir algunas pautas básicas para que tus trabajadores puedan trabajar desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece, comentar, que ya lo hicimos en la revisión de la política, el definir y concretar la responsabilidad del trabajador en relación con la información y su gestión y las herramientas para poder desempeñar su “teletrabajo”.

1º.- Cláusulas de confidencialidad para los que debería estar realizado por el responsable desde el primer día que contratas a cualquier empleado. Este ha de quedar correctamente informado de los parámetros de su acceso remoto y las condiciones del mismo y de las consecuencias de no cumplir con los niveles de confidencialidad requeridos.

2º.- Los dispositivos de acceso en remoto han de ser facilitados por el empresario, así como el software que garantice la seguridad de la conexión externa. Para ello le tendrá que formar como establece El artículo 32.4 del RGPD, en relación a las medidas que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y lo establecido por el reglamento.

La formación también se debería establecer como pauta en relación a las medidas de seguridad humanas, conocimiento de técnicas de ciber delincuencia, y como destaparlas, el hecho de trabajar solo puede hacernos caer mas fácil en estas actividades fraudulentas que si estamos en equipo, con los que podremos consultar antes de tomar una decisión

3º.- Evita aplicaciones de control remoto, implanta una VPN

Si bien la tentación es instalar software de control remoto como TeamViewer o Anydesk en cada uno de los equipos, esta opción incumple el RGPD por diversos motivos, ya que estás usando proveedores con los cuales no dispones de un contrato de terceros que establezca los compromisos y obligaciones a los que están sujetos, y de los cuales además no sabemos si tienen un nivel de seguridad adecuado al reglamento. Esto también abre la posibilidad a tener puertas traseras en nuestros sistemas que den lugar a accesos no deseados (incluso de los propios desarrolladores de esas aplicaciones), e incluso de perder el control de cuándo y cómo acceden nuestros empleados, entre otros problemas.

En su lugar, lo más recomendable es utilizar sistemas de acceso cifrado seguro, como una VPN, la cual es controlada completamente por el Responsable/Encargado del tratamiento y permite poder acceder desde fuera de la empresa a todos los recursos internos:

4º.- Sistemas de almacenamiento. Si en tu negocio utilizáis proveedores de almacenamiento o copias de seguridad «en la nube» (cloud), también es necesario cumplir ciertos requisitos:

Asegúrate de tener un contrato de prestación de servicios con el proveedor
Ten firmado el contrato de terceros correspondiente, ya que ese proveedor pasa a ser un encargado del tratamiento
Es necesario que los servidores del proveedor se encuentren dentro de la Unión Europea (recomendable que se especifique en el contrato de terceros)
Busca un proveedor que facilite «control de versiones» para saber cuándo y quién ha modificado cada fichero (recuerda, estaréis todos en remoto), e incluso poder recuperar y consultar versiones anteriores de los ficheros.

Os añado dos artículos que os pueden ser de interés de la AEPD:

https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf

Y otro de la Agencia Catalana de Ciberseguridad

https://ciberseguretat.gencat.cat/web/.content/PDF/Avisos/Butlleti-de-seguretat-Situacio-COVID-19_Marc-2020-vr.pdf

Recomendaciones para hacer las videoconferencias más seguras:

Aplicaciones de proveedores oficiales, preferentemente de pago y actualizadas.
Controla el número de invitados a la reunión y si realmente son quien deben ser.
Programa sesiones con identificador (ID) único de un solo uso por reunión.
El moderador de la sesión (audio, video o contenido) gestiona si esta puede ser grabada.
Uso de contraseña o PIN.
Contrala el contenido que compartes, si puedes comparte por otro canal.
No compartir el enlace a la reunión públicamente, ni su ID, ni el PIN.

Todas estas recomendaciones son básicas y en el caso de que la reunión sea muy crítica se deberían aplicar más medidas que se deberán valorar que podrían afectar a dispositivos de escucha externos o hoy podríamos tener en nuestras casas, por ejemplo.

Primer artículo de la serie : medidas en ciberseguridad para el teletrabajo

Segundo artículo de la serie: medidas técnicas en ciberseguridad para el teletrabajo

Fuentes :

Agencia Catalana de Ciberseguridad

Links públicos

https://www.europol.europa.eu/staying-safe-during-covid-19-what-you-need-to-know

https://www.aoc.cat/2020/1000269305/guia-rapida-para-teletreballar-con-seguridad/

Si necesita saber las medidas que necesita su empresa, póngase en contacto con nosotros y le recomendaremos las medidas en ciberseguridad o seguridad informática para su empresa.

Contacta con BCNSoluciona

CISO, ISO 27001 y la ciberseguridad

Sep 17, 2023

La importancia de tener una ISO 27001, gestionada por un CISO para mejorar el nivel de madurez en ciberseguridad de la organización

Beneficis de la Ciberseguretat

May 22, 2023

Els beneficis de la ciberseguretat, cada vedaga més necessaria i a la vegada més complexe, un CISO as a Service pot ser la clau.

La directiva NIS2, el CISO y la responsabilidad en ciberseguridad

Feb 22, 2023

La nueva directiva NIS2 de la UE, exige incrementar las necesidades en ciberseguridad y da más responsabilidad al CISO

Mejora la ciberseguridad de tu empresa implantando la ISO 27001

Ene 17, 2023

Los beneficios de la ISO 27001 para las empresas, mejora en ciberseguridad, en gestión y gobierno de los datos y ahorro de costes

Ciberseguridad de la cuenta de instragram, evitar su robo

Nov 15, 2022

Como aplicar la ciberseguridad necesaria para evitar el robo de la cuenta de instragram, aplicable a otras cuentas Software As A Service

Modelo de responsabilidad de Ciberseguridad en el Cloud

Mar 28, 2022

Modelo de responsabilidad de ciberseguridad y cumplimiento en el Cloud, según el servicio contratado al proveedor Cloud

Ciberseguridad en el Cloud

Feb 10, 2022

Cada vez más empresas se van la Cloud, no hay que olvidar que debe ser seguro y por tanto se ha de analizar los riesgos en ciberseguridad.

Compliance en Ciberseguridad, paso previo para homologar a proveedores

Dic 28, 2021

Compliance en Ciberseguridad, paso previo para homologar a proveedores con un nivel óptimo en ciberseguridad, última demanda de las empresas.

La concienciación, una herramienta de ciberseguridad para evitar ciberataques

Sep 8, 2021

La concienciación, una herramienta de ciberseguridad para evitar ciberataques, evita que tus usuarios piquen con el Phishing

CISO As A Service, tu ayuda en ciberseguridad

Abr 24, 2021

CISO As A Service, la ayuda en ciberseguridad que necesitas para acompañarte en las decisiones sobre la seguridad informática de tu empresa

« Entradas más antiguas

Servicios Ciberseguridad	Soluciones Ciberseguridad	Contacto
Test de intrusión / Hacking Ético	Ciberseguridad Gestionada	Dirección: Calle Pau Claris 167
Análisis Malware y forense	Copia de Seguridad	Teléfono: 937420041
Auditoría de Ciberseguridad App y Web	Cifrado de Datos	Email: info@bcnsoluciona.com
GDPR (RGPD) / Compliance		Politica de privacidad
Consultoría de Ciberseguridad		Aviso legal
Formación y Concienciación		Política de Cookies

© 2022 BCNSoluciona (Querly S.L.). Todos los derechos reservados