El 28 de enero es el Día de la Protección de Datos, fomentado por el Consejo de Europa como una forma de concienciar y tratar de promover mejores prácticas sobre privacidad y protección de la información. Y esto en un momento donde muchas empresas han implantado el teletrabajo implica en muchas ocasiones redoblar los esfuerzos.
Porque muchas pymes se han visto obligadas a hacerlo de un día para otro. Y en muchos casos no tenían una planificación previa que contemplara la protección de datos y el trabajo remoto. Se ha buscado primero la funcionalidad, poder empezar a trabajar, para luego llegar a aplicar medidas de seguridad. Esto rompe con uno de los principios básicos del RGPD, la protección de los datos desde el diseño.
Trabajar desde casa pero de forma segura
¿Dónde están los datos personales? ¿Se manejan desde equipos privados de los propios trabajadores o siguen bajo el control de la empresa? ¿Si mañana uno de estos empleados deja de pertenecer a nuestra organización, ¿qué datos se mantienen en los equipos desde los que se conectaba remotamente desde su hogar? Si hay un problema de seguridad en su hogar, ¿puede afectar también a nuestra empresa? Estas son solo algunas preguntas que las empresas debería poder contestar y que implican riesgos en el teletrabajo.
Pero también hemos visto como mucha información corporativa, que antes se gestionaba en las propias instalaciones de las empresas, ahora se transmite por videoconferencias. Y aquí hemos tenido muchos ejemplos de fallos de seguridad en programas, en ocasiones problemas debidos a la inexperiencia de los usuarios en el uso de las mismas, etc. Es fundamental asegurar la comunicación y el cifrado de los datos de extremo a extremo.
No siempre se piensa en la seguridad a la hora de teletrabajar
Las empresas tendrán que invertir para hacer que los puestos de teletrabajo sean más seguros. En muchos casos estas inversiones pasan por mejorar sus infraestructuras, en otros por una mejor formación de sus empleados o un cambio en la cultura corporativa y un espacio de protección que antes se ceñía a la oficina, a sus instalaciones, pero que cada vez se difumina más la diferencia entre trabajar dentro y fuera de la empresa.
Mantener los datos personales en un entorno seguro y controlado es el objetivo. Y a la vez que sean accesibles desde cualquier ubicación y en tiempo real cuando se necesiten. A partir de aquí hay diferentes fórmulas, desde un cloud privado, a uno híbrido o uno público. Trabajar con conexiones remotas a la oficina a través de VPN y mantener barreras de protección sobre dichos accesos remotos para evitar que un problema en el ámbito privado se transmita al laboral y viceversa.
El peligro del cifrado de datos y la petición de rescate
Un último aspecto que me gustaría destacar es la incidencia del ransomware y cómo se ha ido volviendo más peligroso para la pyme cada año. La mayoría de las empresas piensan qué no tienen nada de valor para un ciberatacante. La mentalidad de los ciberdelincuentes es diferente. Ataco a todo el que puedo, porque la estadística me dice que de cada 1000 uno me paga, por lo tanto lanzo 1000.000.000 de ataques a nivel mundial. No atacan por lo que tengamos de valor, sino porque pueden hacerlo.
Pueden engañar a los usuarios para que les den paso o aprovechar vulnerabilidades de sistemas y aplicaciones que son conocidos y fáciles de explotar, pero que en muchas empresas no han sido debidamente actualizados o no lo han hecho a tiempo. Esperemos que al menos estén preparados para recuperar sus sistemas lo antes posible. Y que no les amenacen con hacer públicos los datos de sus clientes obtenidos.