Dando continuidad a mi post del pasado 18 de abril recomendando algunas buenas prácticas de ciberseguridad para teletrabajadores ante la dramática situación de la pandemia provocada por la expansión a escala mundial del coronavirus, dedico este a aportar otra pequeña contribución, ofrecida en este caso a los empleadores.

Como comentaba en dicho post el aumento sustancial del teletrabajo, como consecuencia de la declaración del estado de alarma el 14 de marzo pasado, se ha producido de forma súbita, sin disponer de las herramientas adecuadas ni de tiempo para adoptarlas, generando nuevos retos para los trabajadores y también a los empleadores, tanto para continuar cumpliendo con sus obligaciones y responsabilidades como para asegurar el mantenimiento de su actividad.

De forma similar a lo sucedido con el sistema sanitario, mostrando sus bondades, pero también sus carencias, la rápida expansión del teletrabajo ha puesto asimismo en evidencia las deficiencias de múltiples empresas y organizaciones tanto en infraestructura como en seguridad.

Si bien algunas compañías ya se habían ido adaptando a esta nueva forma de trabajar, la gran mayoría (en España un 95%) no se encontraban preparadas ante esta súbita transformación debiendo buscar con urgencia soluciones para garantizar al menos la continuidad de la actividad.

En este escenario la seguridad es, como siempre, una prioridad absoluta. Si en circunstancias normales los empleadores han de adoptar medidas para identificar, controlar y eliminar los riesgos inherentes al trabajo, en crisis como la que estamos sufriendo tales medidas deben mantenerse e incrementarse incluyendo el tratamiento de los nuevos riesgos derivados de desarrollar labores aislados en los domicilios.

Y esto no es fácil de abordar, demandando y apelando a la colaboración y a la responsabilidad de todos; empleados y empleadores. Tomemos como muestra la protección de los trabajadores; la Ley de Prevención de Riesgos Laborales (31/95) en su artículo 14 reconoce el derecho de los trabajadores a una protección eficaz en materia de seguridad y salud en el trabajo lo que supone la existencia del deber recíproco del empleador para asegurar esa protección.

¿Cómo puede garantizar ahora este que cumple con la ley si el trabajador lleva a cabo su actividad laboral en su domicilio? Manteniendo las medidas habituales y adaptándolas a la nueva situación.

Por ejemplo, el artículo 16 de la mencionada ley contempla la obligación de efectuar la evaluación de riesgos, algo difícil de realizar trabajando a distancia. La solución la encontramos en el Real Decreto (8/2020) de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19, donde se establece que con carácter excepcional la autoevaluación se realizará de forma voluntaria por la propia persona trabajadora.

Este ejemplo de adaptación de las obligaciones de los empleadores a las circunstancias excepcionales derivadas de haber implantado el teletrabajo con carácter de urgencia conduce a la misma conclusión acerca de la necesidad de asegurar el mantenimiento de la actividad protegiéndose tanto de los ciberincidentes como de los ciberataques.

En cuanto a la seguridad cibernética, las medidas a adoptar por las empresas coinciden en gran parte con las recomendadas para los teletrabajadores, al concurrir la mayoría de las vulnerabilidades a tratar; sin embargo, desde una perspectiva de seguridad corporativa, han de tratarse otros riesgos a los que se exponen los empleadores ocasionados por la nueva situación laboral del teletrabajo, demandando tomar un conjunto mayor de medidas, sin excluir las anteriores.

Tales riesgos comprenden el robo o pérdida de datos e información, compromiso o contaminación del sistema de gestión de la información por una violación de seguridad externa, accesos no autorizados a la infraestructura de este sistema, con la consiguiente probabilidad de utilización fraudulenta o manipulación de la información, pérdidas o mermas de la capacidad y eficacia productiva ante la dificultad o imposibilidad de los trabajadores para acceder a los recursos corporativos, etc.,

Todos ellos, de una u otra forma afectan gravemente entre otros factores al aseguramiento de los principios fundamentales de la seguridad de la información (confidencialidad, integridad y disponibilidad), al cumplimiento de la legislación y normativa y a la gestión de los recursos humanos y materiales, poniendo en peligro incluso la reputación corporativa y la permanencia del negocio o servicio.

Para hacerlos frente, asegurando la continuidad eficaz y segura de la actividad, a las medidas expuestas en el caso de los empleados o trabajadores es necesario añadir otras en el marco de la dirección corporativa, entre ellas:

  • Integrar el teletrabajo en la política de ciberseguridad, adaptando el Plan Director de Ciberseguridad, si es que está disponible, o bien alineando sus políticas y procedimientos con las de seguridad de la organización.
  • En línea con lo anterior, definir y aplicar políticas y normas de ciberseguridad para el trabajo a distancia.
  • Identificar y gestionar los perfiles de los trabajadores compatibles o no con el trabajo a distancia.
  • Asegurar y proteger datos e información,
  • Adaptar la configuración de la ciberseguridad a las nuevas condiciones del teletrabajo.
  • Asegurar y controlar el acceso remoto
  • Integrar en el plan de respuesta a ciberincidentes las peculiaridades del teletrabajo
  • Garantizar la comunicación y colaboración
  • Formar, informar y concienciar a los teletrabajadores en materia de ciberseguridad, al igual que debe haberse hecho con el resto.
  • Garantizar el mantenimiento de la responsabilidad corporativa y el cumplimiento de la legislación, normativa y buenas prácticas.

A modo de contribución personal para hacer frente a estos nuevos desafíos, de igual forma que hice en el caso de los empleados, añado a este post una infografía donde sintetizo gráficamente ese conjunto de buenas prácticas, basadas tanto en las recomendaciones oficiales como en mi experiencia personal.

Complementando a ambas aportaciones, como ya anuncié en el post anterior, próximamente publicaré un documento donde con mayor detalle desarrollaré estas dos guías de buenas prácticas.

Como suelo hacer habitualmente finalizo con una reflexión repetida desde hace tiempo en mis conferencias, artículos, charlas, etc.:

La ciberseguridad no solo es una cuestión de tecnologías de última generación, ni responsabilidad de un determinado departamento técnico; implica a toda la organización demandando la participación y concienciación de todos, empleados y empleadores, con la dificultad añadida, en este caso del teletrabajo, de la importancia del factor humano que es el eslabón más débil de toda cadena de seguridad.