Recomendaciones para proteger la información de la empresa y los datos personales en situaciones de teletrabajo y movilidad

La organización del trabajo en movilidad y en régimen de teletrabajo son parte de la estrategia de gestión empresarial en muchas organizaciones, ya sea de forma general, parcial o circunscrita a determinadas áreas de negocio o a personal específico que requiere de viajar con frecuencia. También puede ser por circunstancias sobrevenidas o excepcionales (por ejemplo, la pandemia) o por fuerza mayor (la tormenta Filomena).

En cualquier caso, hemos de adoptar medidas de protección de la información empresarial y preservar el tratamiento de los datos personales involucrados, bien de forma adecuadamente planificada en la primera de las situaciones, bien de forma excepcionalmente adaptada porque hayamos reflexionado la posibilidad de estas situaciones inesperadas.

Recomendaríamos a nuestros clientes acometer un conjunto de actuaciones internas:

  1. Definir una política de protección para situaciones de movilidad

Reflexionar sobre los siguientes:

  • Necesidades concretas del área, funciones y puestos afectados
  • Identificar amenazas y riesgos asociados del acceso a los recursos corporativos desde espacios de trabajo fuera del control de la organización.

A partir de esto:

  • Determinar las formas de acceso remoto que se permiten
  • Dispositivos que se pueden usar
  • Perfiles de movilidad con su correspondiente nivel de acceso
  • Definición de las responsabilidades de la persona/s afectadas
  • Informar a la organización
  • Amenazas
  • Consecuencias
  • Emitir guías de recomendaciones
  • Limitar el acceso a la información por perfiles o niveles de acceso con sus correspondientes credenciales
  • Acreditar jurídicamente:
  1. Compromisos de confidencialidad y secreto
    1. Acuerdos de teletrabajo
    1. Acuerdo de uso de sistemas de localización de vehículos de la empresa en el ámbito laboral
    1. Acuerdos BYOD
    1. Protocolos de seguridad de la información
    1. Documento de seguridad de protección de datos
  • Contar con proveedores tecnológicos y prestadores de servicios confiables.

Si el proveedor accede a datos personales, tendrá la condición de encargado del tratamiento y será necesaria su evaluación previa y acreditar la relación con contrato o acto jurídico que vincule al encargado con el responsable.

  • Monitorizar los accesos realizados desde el exterior

Si se detectan brechas de seguridad, atajarlas con las medidas necesarias y comunicarlas a la autoridad de control (AEPD) si estamos en el supuesto de necesidad.

  • Analizar y auditar.

Fruto de análisis volveremos a empezar si es necesario, corregimos y evolucionamos.

This entry was posted in Miscelanea. Bookmark the permalink.
Diseñado por Pixelmio