Conoce algunos riesgos para la ciberseguridad en el teletrabajo y los procedimientos de actuación
La seguridad de la información, especialmente en situaciones de movilidad y trabajo a distancia, requiere también de procedimientos ágiles y efectivos para evitar riesgos y, en caso de materializarse una amenaza, poder responder de manera inmediata.
En situaciones de movilidad o trabajo a distancia podrá ocurrir un acceso no autorizado a datos personales como consecuencia de un ataque de phishing en el que el ciberdelincuente consigue que la víctima descargue software malicioso que le permita dicho acceso. En este caso, que implicaría una violación de la seguridad de los datos personales y “a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas” (art. 33.1 del RGPD), habría que cumplir con la obligación de notificarla a la autoridad competente en materia de protección de datos.
Los operadores de servicios esenciales y los proveedores de servicios digitales (Real Decreto-ley 12/2018) están también obligados a notificar los incidentes o ciber incidentes a las autoridades competentes. Por incidentes, se entiende un “suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información” (Real Decreto-ley 12/2018, art. 3.h).
También sería necesario revisar otros procedimientos ya establecidos en las organizaciones, dado que, por ejemplo, cuando se tratan datos personales, si se almacenasen en la nube o en los dispositivos de las personas que trabajan a distancia, será necesario tenerlo en consideración si el interesado ejerce su derecho de acceso u otros derechos en protección de datos, tales como los de rectificación, supresión o portabilidad. Esto implica que el procedimiento de gestión de solicitudes de ejercicio de derechos que hubiera sido adoptado e implementado por la organización tenga que ser revisado para asegurarse de que contempla todos los tratamientos.
Estos procedimientos, sobre los que se basan las políticas, ya sean la de ciberseguridad o la protección de datos, sirven también para asegurar que los controles sean efectivos. De otra manera, las medidas de seguridad técnicas y organizativas podrían ser insuficientes o no efectivas. Y también es necesario que los usuarios, en particular aquellos que trabajen a distancia, sean informados y los conozcan para garantizar saber cómo actuar si así fuera necesario.