pablo@pablofb.com   Contenido basado en normas de España (Europa), salvo indicación expresa en contrario.

Empresa, tu perímetro está roto. Indicaciones para identificar y mitigar los riesgos del teletrabajo

Acabo de publicar en Revista SIC, una de las revistas notoriamente conocida en el sector de la ciberseguridad, un interesante artículo sobre la situación actual del teletrabajo desde la perspectiva del compliance: El cumplimiento regulatorio en el teletrabjo como modelo operativo presente y futuro: el análisis de riesgos (pág. 72 a 74). El texto lo firmamos Israel Hernandez (socio del dept. de Ciberseguridad en PwC) y yo (abogado of counsel en PwC Tax & Legal Services), aunque el trabajo debe también reconocerse y agradecerse a Elena Sáez y a Alejandro del Palacio, ambos del dept. de ciberseguridad de PwC, que dedicaron igual cantidad de horas y esfuerzo a su creación.

Puedes leer gratis el artículo completo aquí: El cumplimiento regulatorio en el teletrabjo como modelo operativo presente y futuro: el análisis de riesgos (pág. 72 a 74).

Comparto con vosotros el borrador preliminar (making-of) que redacté en PwC enfocándome solo en la parte legal, con algunos de los puntos que luego se incluyeron en el artículo (si quieres la versión consolidada, ¡lee el artículo (págs. 72 a 74)!)

Asistimos a uno de los momentos más críticos y de interés en la transformación digital de la economía y los mercados.

Durante el estado de alarma y de forma sobrevenida, gran parte del tejido empresarial español se ha visto abocado a tener que desplegar soluciones urgentes para permitir el teletrabajo, gestionar sus ventas a través de Internet y mantener las reuniones y la generación de negocio a través de videoconferencias. Esta situación ha destapado una oportunidad necesaria: transformar la empresa para adaptarla a la nueva normalidad, primero formalmente y luego desde sus cimientos.

Durante el periodo de confinamiento, las empresas se han visto obligadas a lidiar con una nueva realidad que ha puesto en jaque la confidencialidad de sus datos y la protección del negocio: el nivel de seguridad de la empresa tuvo que establecerse en aquél más bajo que los empleados podían ofrecer desde sus improvisados puestos de trabajo sobre la mesa del salón, la cocina o la terraza. Las llamadas por videoconferencia o la propia gestión documental se ha visto comprometida por la presencia de terceros no autorizados, como el marido, los hijos o los compañeros de piso. Estas personas han podido tener acceso fácil a información (1) generalmente desconocida o de difícil acceso, (2) que tenía valor precisamente por ser secreta y a la que, hasta el momento, la empresa había (3) protegido con medidas razonables de seguridad. Este tipo de información se conoce jurídicamente por el nombre de “secreto empresarial” y fue objeto de regulación en la primera ley ordinaria que se publicó en 2019. Cuando cesa uno de los tres requisitos que la definen, merma o se hace más difícil la protección legal que se le confiere.

Las empresas han tenido que reconocer una permanente rotura del perímetro físico de seguridad. Cuando una visita accede al lugar de trabajo de un operador de infraestructuras críticas, a un bufete o a una empresa de ciberseguridad, se le asigna a un acompañante sin el cual no puede deambular y se establecen zonas de seguridad, así como controles de acceso, según las diferentes normas que protegen la normal operativa de las infraestructuras y servicios como el jurídico y el de investigación científica. Debido al teletrabajo, se desestabiliza sensiblemente la balanza, sin poder llevar un control diligente de cumplimiento de las políticas de mesas limpias, puertas cerradas, equipos apagados o la prohibición de compartir fotos de documentos a través de redes sociales y servicios de mensajería instantánea. El perímetro está roto.

Es obligación de las empresas identificar los nuevos riesgos y establecer medidas adecuadas para garantizar la seguridad sobre los datos. Y cuando hablamos de datos nos referirnos, además de al conjunto de ellos a través de los que la empresa establece sus estrategias internas de negocio, a los datos personales. La información que permita identificar y concierna a empleados, usuarios, clientes y proveedores debe permanecer debidamente resguardada en todo momento frente a accesos, manipulaciones o borrados que deseen realizar personas no autorizadas. En este sentido, la normativa europea de protección de datos, encabezada por el Reglamento (UE) 2016/679 (RGPD) y por el menos conocido Reglamento (UE) 2018/1725, así como la normativa local de desarrollo establecen la obligación de desplegar y mantener actualizadas en todo momento las medidas técnicas y organizativas apropiadas para garantizar la seguridad sobre el dato y los tratamientos. Por eso es frecuente decir que la protección de datos no es una foto fija, sino una película que cambia a lo largo del tiempo.

Los cambios impuestos por el teletrabajo, la necesidad de mantener la distancia y el aumento de las reuniones por videoconferencia, están transformando los negocios. Muchas empresas ya han empezado a virar hacia el uso intensivo de tecnología. Las universidades ahora imparten clase por medios online, los hospitales impulsan la telemedicina, las tiendas rediseñan sus ecommerces y hasta los tribunales comienzan a señalar vistas por videoconferencia. Cambios que conllevan la adopción de nuevas rutinas, nuevas tecnologías, nuevos procesos y, en consecuencia, nuevos riesgos desconocidos hasta la fecha. La ley da respuesta a esta nueva normalidad: se establece una responsabilidad proactiva. Las empresas están obligadas a cumplir, por supuesto, pero también a poder demostrar que se han planteado el cambio y han realizado análisis, evaluaciones de impacto y despliegues para segurizar la red completa, los datos y los tratamientos, como uno de sus principales activos. Es el momento de que un equipo conjunto técnico y jurídico entren a la acción, junto con otros departamentos, para rediseñar la empresa y adaptarla a la nueva normalidad.

En los hogares, las soluciones técnicas improvisadas por los trabajadores han sido necesarias para garantizar la continuidad de muchos negocios, constituyendo en sí mismas las casusas de infinidad de riesgos. Desde un router de casa, quizá con la contraseña por defecto, hasta el ordenador de la familia, que igual se usaba para descargar películas, que para redactar informes. Un conjunto granado de normas sectoriales determina los objetivos que se han de lograr en diferentes profesiones, para los cuales se deben establecer las medidas de seguridad oportunas, con independencia del lugar en el que se desarrolle la actividad. Así, el Código Deontológico de la Abogacía Española, de 2019, establece que el secreto profesional ampara las comunicaciones y negociaciones orales y escritas de todo tipo, con independencia del medio, lo que obliga a los bufetes a analizar previamente cada una de las herramientas que se vaya a usar con el fin de determinar su conveniencia y, en su caso, las medidas adicionales que se deben desplegar para garantizar la seguridad. De igual manera, se debe y preservar la confidencialidad para las fuentes de origen de la información (Ley de Prensa, de 1966) o para los datos de salud de los pacientes (Ley de Autonomía del Paciente, de 2002).

Existe la obligación de desplegar y mantener la seguridad sobre toda la extensión de la empresa en todo momento, lo que incluye tanto el trabajo en la oficina, como el teletrabajo y el trabajo en movilidad. Las actuales circunstancias exigen que se impulse una medida especial de seguridad esencial poco frecuente hasta la fecha: la formación. Es deber del empleador y, en su caso, del delegado de protección de datos, establecer programas formativos personalizados para inculcar en los trabajadores la concienciación necesaria y el conocimiento sobre la importancia de detectar y mitigar juntos los riesgos. El objetivo de esta formación continua, establecida en los Planes de Seguridad del Operador de infraestructuras críticas y en los Planes de Protección Específicos, así como en el RGPD y en la norma local, es lidiar con la nueva realidad y ofrecer información práctica para que entienda las consecuencias de sus actos. Algunas de las muchas recomendaciones o, en algunos casos, obligaciones podrían ser: usar solo herramientas autorizadas de traducción en línea, no alojar documentos en nubes ajenas a la de la empresa, evitar el reenvío de emails a direcciones privadas o tratar de mantener apagados los asistentes virtuales y altavoces inteligentes, cada vez más frecuentes en casas domóticas.

En la nueva normalidad, la protección frente al malware y el Shadow IT es otro de los principales campos de batalla, tanto más ahora que el BYOD (es decir, usar terminales personales para fines profesionales) está a la orden del día. Las empresas y los autónomos están obligados a contar con las soluciones adecuadas, según el estado de la técnica, para prevenir los ataques a los que se pueden ver expuestos y a mitigar los riesgos, según establece el RGPD. Por su parte, los Planes de Protección Específicos hacen alusión expresa a la obligación de documentar los motivos por los que se elige una u otra solución en este sentido, además de recoger información sobre las medidas en relación con firewalls, DMZ, IPSs, IDSs, segmentación y aislamiento de redes, cifrado y VPNs, entre otros. Y todo ello, nuevamente, para la operativa de la entidad. Así, se establece la necesidad de adecuar los antiguos puestos de trabajo para un servicio local adaptado o establecer sistemas seguros, física y lógicamente, para el teletrabajo, con plenas garantías de cumplimiento normativo.

Contáctame y te ayudo (desde PwC Tax & Legal Services) a encontrar las mejores soluciones para tu empresa, adecuadas a la nueva normalidad. Mercantil, laboral, societario… desde la optimización de procesos para impulsar los cobros, hasta la redefinición orgánica y funcional de la empresa para ajustarla a lo que ahora demanda el mercado. Mándame un mensaje por LinkedIn y hablamos.