El RGPD y trabajar desde casa | Política de acceso en remoto del RGPD

Las empresas con trabajadores en remoto deben tomar medidas adicionales para proteger sus datos y gestionar el acceso de los empleados.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender cómo afecta el RGPD a los trabajadores en remoto
  • Más información sobre qué debe incluir una política de acceso en remoto

Copiar enlace del artículo

¿Qué es el RGPD?

El Reglamento general de protección de datos (RGPD) es una ley integral de privacidad de datos, que establece un marco para la recopilación, el tratamiento, el almacenamiento y la transferencia de datos personales. Exige que todos los datos personales se procesen de forma segura, e incluye multas y sanciones para las empresas que no cumplan con estos requisitos.

Cumplir con el RGPD puede suponer un reto para cualquier empresa, y si hay trabajadores en remoto aparecen complejidades adicionales. Cuando algunos o todos los empleados y proveedores de una empresa trabajan desde casa, los equipos internos de protección de datos pueden tener menos control y visibilidad de la seguridad de los datos. Unas políticas de seguridad de acceso en remoto sólidas pueden ayudar a salvaguardar los datos personales y confidenciales que están protegidos por el RGPD.

¿Qué es una política de acceso en remoto?

Una política de acceso en remoto es el conjunto de normas de seguridad para los empleados y dispositivos en remoto. El equipo de TI o de seguridad de datos de una empresa suele establecer esta política. El uso de la red privada virtual (VPN), la instalación de antimalware en los dispositivos de los empleados y la autenticación multifactor (MFA) son ejemplos de cosas que pueden incluirse en una política de seguridad para el acceso en remoto.

¿Qué exige el RGPD?

El RGPD es un conjunto de normas muy amplio. Entre otras cosas, requiere que los controladores y procesadores de datos tomen varias acciones específicas. Entre algunas de ellas, se incluyen:

  • Mantenimiento de registros: los procesadores de datos deben mantener registros de sus actividades de procesamiento.
  • Medidas de seguridad: los procesadores y controladores deben utilizar y probar periódicamente las medidas de seguridad adecuadas para proteger los datos que recopilan y procesan.
  • Notificación de fugas de datos: los controladores de datos que sufran una fuga de datos personales tienen que notificarlo a las autoridades competentes en un plazo de 72 horas, con algunas excepciones. Por lo general, también tienen que notificar a las personas cuyos datos personales se hayan visto afectados por la fuga.
  • Delegado de protección de datos (DPO): es posible que las empresas que procesan datos tengan que contratar a un Delegado de protección de datos (DPO). El DPO dirige y supervisa todos los esfuerzos de cumplimiento del RGPD.

Todos los requisitos para los controladores y procesadores de datos se describen en el RGPD.

Debido a que la seguridad de los datos es una de las principales preocupaciones del RGPD, las empresas que permiten a sus trabajadores teletrabajar deben asegurarse de que están tomando las medidas adecuadas para proteger los datos a los que sus trabajadores acceden en remoto.

¿Qué deben hacer las empresas con trabajadores en remoto para garantizar la seguridad de los datos?

Por tanto, los siguientes pasos son una parte muy importante de cualquier política de acceso en remoto (no es una lista exhaustiva):

Proteger los datos tanto en tránsito como en reposo.

Datos en tránsito hace referencia a los datos que viajan del punto A al punto B: por ejemplo, los datos que pasan entre una aplicación SaaS y el dispositivo de un usuario. Los datos en reposo hacen referencia a los datos almacenados, como los que se encuentran en el disco duro del portátil de un usuario. En ambos casos, los datos deben estar protegidos.

El control de acceso y la encriptación son las tecnologías clave para proteger los datos. Los empleados en remoto, como todos los empleados, deben tener una buena razón para tener acceso a los datos personales, y su acceso a esos datos tiene que ser rastreado y gestionado. Las tecnologías de gestión de identidades y accesos (IAM) ayudan a evitar que personas no autorizadas vean y alteren los datos.

Además, los datos que pasan por las redes, incluyendo Internet, deben ser encriptados con HTTPS, una VPN, u otro método. (Las aplicaciones basadas en la nube pueden complicar esta regla para los empleados en remoto; leer este artículo sobre las VPN empresariales para más información). Además, los datos deben estar encriptados cuando se almacenan o "en reposo" dentro de los servidores y discos duros también. Para lograrlo, los equipos de TI deben aplicar sus políticas de seguridad para la encriptación en todos los dispositivos, incluso, en algunos casos, en los dispositivos personales de los empleados.

Proteger los puntos de conexión de los empleados.

Los dispositivos de punto de conexión de los empleados en remoto (como portátiles, ordenadores de escritorio y teléfonos inteligentes) deben estar protegidos de los ciberataques, porque una infección de malware podría dar lugar a una fuga de datos. Como mínimo, los dispositivos deben tener instalado un software antimalware. Una puerta de enlace web segura también puede ayudar a proteger a los empleados mientras navegan por Internet.

Pero aún más común que las infecciones de malware son los dispositivos perdidos: portátiles o teléfonos inteligentes con datos confidenciales almacenados en local, que los empleados dejan accidentalmente en una zona pública. Esta es otra razón por la que la encriptación de dispositivos es tan importante.

Protegerse contra los ataques de phishing y otras formas de apropiación de cuentas.

Los ataques de phishing siguen siendo una de las causas más comunes de fugas de datos. Un ataque de phishing consiste en que un atacante engaña a un usuario para que le entregue sus credenciales de acceso, lo cual le permite hacerse con la cuenta de este usuario. Las implicaciones de una toma de posesión de la cuenta pueden ser desastrosas para una empresa que intenta cumplir con la normativa, ya que el atacante puede entonces infiltrarse en la organización y ver, filtrar o robar datos de los consumidores.

Los ataques de fuerza bruta y de pulverización de contraseñas también pueden dar lugar a la toma de posesión de cuentas, por lo que las empresas deben aplicar una política de contraseñas fuerte. Nadie debe ser capaz de adivinar la contraseña de ningún empleado, y la contraseña debe ser capaz de resistir la mayoría de los ataques de bots. Si es posible, las empresas deberían implementar autenticación en dos fases en cada aplicación corporativa que se esté usando.

Ventas