Recomendaciones en RGPD y ciberseguridad para videoconferencias en el teletrabajo

Abr 17, 2020

Tercera parte de las recomendaciones en ciberseguridad para el teletrabajo, en este artículo os hablare de la afectación que puede tener el teletrabajo para el RGPD y alguna recomendación sobre cómo realizar las videoconferencias de manera más segura.

En relación al RGPD, vamos a resumir algunas pautas básicas para que tus trabajadoresteletrabajo-rgpd-ciberseguridad puedan trabajar desde casa con unos niveles adecuados de ciberseguridad, y con todas las garantías que el RGPD establece, comentar, que ya lo hicimos en la revisión de la política, el definir y concretar la responsabilidad del trabajador en relación con la información y su gestión y las herramientas para poder desempeñar su “teletrabajo”.

1º.- Cláusulas de confidencialidad para los que debería estar realizado por el responsable desde el primer día que contratas a cualquier empleado. Este ha de quedar correctamente informado de los parámetros de su acceso remoto y las condiciones del mismo y de las consecuencias de no cumplir con los niveles de confidencialidad requeridos.

2º.- Los dispositivos de acceso en remoto han de ser facilitados por el empresario, así como el software que garantice la seguridad de la conexión externa. Para ello le tendrá que formar  como establece El artículo 32.4 del RGPD, en relación a las medidas que han de tomarse medidas respecto al personal con acceso a datos que dependa tanto del responsable como del encargado, de forma que traten los datos siguiendo estrictamente sus instrucciones y lo establecido por el reglamento.

La formación también se debería establecer como pauta en relación a las medidas de seguridad humanas, conocimiento de técnicas de ciber delincuencia, y como destaparlas, el hecho de trabajar solo puede hacernos caer mas fácil en estas actividades fraudulentas que si estamos en equipo, con los que podremos consultar antes de tomar una decisión 

3º.-  Evita aplicaciones de control remoto, implanta una VPN

Si bien la tentación es instalar software de control remoto como TeamViewer o Anydesk en cada uno de los equipos, esta opción incumple el RGPD por diversos motivos, ya que estás usando proveedores con los cuales no dispones de un contrato de terceros que establezca los compromisos y obligaciones a los que están sujetos, y de los cuales además no sabemos si tienen un nivel de seguridad adecuado al reglamento. Esto también abre la posibilidad a tener puertas traseras en nuestros sistemas que den lugar a accesos no deseados (incluso de los propios desarrolladores de esas aplicaciones), e incluso de perder el control de cuándo y cómo acceden nuestros empleados, entre otros problemas.

En su lugar, lo más recomendable es utilizar sistemas de acceso cifrado seguro, como una VPN, la cual es controlada completamente por el Responsable/Encargado del tratamiento y permite poder acceder desde fuera de la empresa a todos los recursos internos:

4º.- Sistemas de almacenamiento.  Si en tu negocio utilizáis proveedores de almacenamiento o copias de seguridad «en la nube» (cloud), también es necesario cumplir ciertos requisitos:

  • Asegúrate de tener un contrato de prestación de servicios con el proveedor
  • Ten firmado el contrato de terceros correspondiente, ya que ese proveedor pasa a ser un encargado del tratamiento
  • Es necesario que los servidores del proveedor se encuentren dentro de la Unión Europea (recomendable que se especifique en el contrato de terceros)
  • Busca un proveedor que facilite «control de versiones» para saber cuándo y quién ha modificado cada fichero (recuerda, estaréis todos en remoto), e incluso poder recuperar y consultar versiones anteriores de los ficheros.

Os añado dos artículos que os pueden ser de interés de la AEPD:

https://www.aepd.es/sites/default/files/2020-04/nota-tecnica-proteger-datos-teletrabajo.pdf 

Y otro de la Agencia Catalana de Ciberseguridad

https://ciberseguretat.gencat.cat/web/.content/PDF/Avisos/Butlleti-de-seguretat-Situacio-COVID-19_Marc-2020-vr.pdf

 

Recomendaciones para hacer las videoconferencias más seguras:

  • Aplicaciones de proveedores oficiales, preferentemente de pago y actualizadas.
  • Controla el número de invitados a la reunión y si realmente son quien deben ser.
  • Programa sesiones con identificador (ID) único de un solo uso por reunión.
  • El moderador de la sesión (audio, video o contenido) gestiona si esta puede ser grabada.
  • Uso de contraseña o PIN.
  • Contrala el contenido que compartes, si puedes comparte por otro canal.
  • No compartir el enlace a la reunión públicamente, ni su ID, ni el PIN.

 

Todas estas recomendaciones son básicas y en el caso de que la reunión sea muy crítica se deberían aplicar más medidas que se deberán valorar que podrían afectar a dispositivos de escucha externos o hoy podríamos tener en nuestras casas, por ejemplo. 

Primer artículo de la serie :  medidas en ciberseguridad para el teletrabajo

Segundo artículo de la serie: medidas técnicas en ciberseguridad para el teletrabajo

Fuentes :

CCN-CERT

Agencia Catalana de Ciberseguridad

Links públicos

https://www.europol.europa.eu/staying-safe-during-covid-19-what-you-need-to-know

https://www.aoc.cat/2020/1000269305/guia-rapida-para-teletreballar-con-seguridad/

Si necesita saber las medidas que necesita su empresa, póngase en contacto con nosotros y le recomendaremos las medidas en ciberseguridad o seguridad informática para su empresa.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies