Las empresas con trabajadores en remoto deben tomar medidas adicionales para proteger sus datos y gestionar el acceso de los empleados.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El Reglamento general de protección de datos (RGPD) es una ley integral de privacidad de datos, que establece un marco para la recopilación, el tratamiento, el almacenamiento y la transferencia de datos personales. Exige que todos los datos personales se procesen de forma segura, e incluye multas y sanciones para las empresas que no cumplan con estos requisitos.
Cumplir con el RGPD puede ser un reto para cualquier negocio, y usar mano de obra remota presenta complejidades adicionales. Cuando algunos o todos los empleados y subcontratados de un negocio trabajan desde casa, los equipos de protección de datos internos tienen menos control y visibilidad de la seguridad de los datos. Fuertes políticas de seguridad de acceso remoto pueden ayudar a salvaguardar los datos personales y confidenciales que están protegidos por el RGPD.
Una política de acceso en remoto es el conjunto de normas de seguridad para los empleados y dispositivos en remoto. El equipo de TI o de seguridad de datos de una empresa suele establecer esta política. El uso de la red privada virtual (VPN), la instalación de antimalware en los dispositivos de los empleados y la autenticación multifactor (MFA) son ejemplos de cosas que pueden incluirse en una política de seguridad para el acceso en remoto.
El RGPD es un conjunto de normas muy amplio. Entre otras cosas, requiere que los controladores y procesadores de datos tomen varias acciones específicas. Entre algunas de ellas, se incluyen:
Todos los requisitos para los controladores y procesadores de datos se describen en el RGPD.
Debido a que la seguridad de los datos es una de las principales preocupaciones del RGPD, las empresas que permiten a sus trabajadores teletrabajar deben asegurarse de que están tomando las medidas adecuadas para proteger los datos a los que sus trabajadores acceden en remoto.
Por tanto, los siguientes pasos son una parte muy importante de cualquier política de acceso en remoto (no es una lista exhaustiva):
Datos en tránsito hace referencia a los datos que viajan del punto A al punto B: por ejemplo, los datos que pasan entre una aplicación SaaS y el dispositivo de un usuario. Los datos en reposo hacen referencia a los datos almacenados, como los que se encuentran en el disco duro del portátil de un usuario. En ambos casos, los datos deben estar protegidos.
El control de acceso y la encriptación son las tecnologías clave para proteger los datos. Los empleados en remoto, como todos los empleados, deben tener una buena razón para tener acceso a los datos personales, y su acceso a esos datos tiene que ser rastreado y gestionado. Las tecnologías de gestión de identidades y accesos (IAM) ayudan a evitar que personas no autorizadas vean y alteren los datos.
Además, los datos que pasan por las redes, incluyendo Internet, deben ser encriptados con HTTPS, una VPN, u otro método. (Las aplicaciones basadas en la nube pueden complicar esta regla para los empleados en remoto; leer este artículo sobre las VPN empresariales para más información). Además, los datos deben estar encriptados cuando se almacenan o "en reposo" dentro de los servidores y discos duros también. Para lograrlo, los equipos de TI deben aplicar sus políticas de seguridad para la encriptación en todos los dispositivos, incluso, en algunos casos, en los dispositivos personales de los empleados.
Los dispositivos de punto de conexión de los empleados en remoto (como portátiles, ordenadores de escritorio y teléfonos inteligentes) deben estar protegidos de los ciberataques, porque una infección de malware podría dar lugar a una fuga de datos. Como mínimo, los dispositivos deben tener instalado un software antimalware. Una puerta de enlace web segura también puede ayudar a proteger a los empleados mientras navegan por Internet.
Pero aún más común que las infecciones de malware son los dispositivos perdidos: portátiles o teléfonos inteligentes con datos confidenciales almacenados en local, que los empleados dejan accidentalmente en una zona pública. Esta es otra razón por la que la encriptación de dispositivos es tan importante.
Los ataques de phishing siguen siendo una de las causas más comunes de fugas de datos. Un ataque de phishing consiste en que un atacante engaña a un usuario para que le entregue sus credenciales de acceso, lo cual le permite hacerse con la cuenta de este usuario. Las implicaciones de una toma de posesión de la cuenta pueden ser desastrosas para una empresa que intenta cumplir con la normativa, ya que el atacante puede entonces infiltrarse en la organización y ver, filtrar o robar datos de los consumidores.
Los ataques de fuerza bruta y de pulverización de contraseñas también pueden dar lugar a la toma de posesión de cuentas, por lo que las empresas deben aplicar una política de contraseñas fuerte. Nadie debe ser capaz de adivinar la contraseña de ningún empleado, y la contraseña debe ser capaz de resistir la mayoría de los ataques de bots. Si es posible, las empresas deberían implementar autenticación en dos fases en cada aplicación corporativa que se esté usando.
Obtenga más información sobre cómo evitar los ataques de apropiación de cuentas.