Capítulo IV: Medidas de seguridad y teletrabajo

27/03/2020
Escrito por Cristina Zato Morán

Cada vez son más las empresas en nuestro país que están empezando a implantar el sistema de teletrabajo, consistente en dotar al empleado de la posibilidad de trabajar en su domicilio o en el lugar elegido libremente por éste, sin la necesidad de acudir de manera presencial al centro de trabajo en la empresa.

Los beneficios que este modo de trabajo puede llegar a proporcionar tanto al empleador como a la propia empresa son numerosos, dotando, por una parte, al trabajador de una mayor flexibilidad de horario, así como permitirle una mejor conciliación de la vida profesional y familiar, y, por otra parte, la empresa podrá ver reducidos sus costes en infraestructuras e instalaciones, así como un mayor acceso a la colaboración con profesionales altamente cualificados que no pudieran aceptar el trabajar diariamente en una oficina.

Si bien es cierto que el sistema de teletrabajo todavía no se encuentra instaurado de manera generalizada en nuestro país, desde el último trimestre del pasado año 2019, las cifras se han visto incrementadas respecto a las de años anteriores, llegando a alcanzar el número de personas ocupadas que realizan teletrabajo un total de 1’5 millones, lo que equivale a un 7’9% de la población total ocupada, según nos indica el informe de “The Adecco Group Institute”

El marco normativo regulador del teletrabajo en nuestro país lo encontramos en el artículo 13 del Estatuto de los Trabajadores, que recoge las siguientes cuestiones:

  • Define el concepto de teletrabajo, indicando que el acuerdo por el que se establezca el mismo deberá formalizarse por escrito.
  • Iguala los derechos de los trabajadores a distancia con los trabajadores que realicen su trabajado en el centro de trabajo de la empresa, salvo excepciones.
  • Determina la obligación del empleador a establecer los medios necesarios para que los trabajadores tengan asegurado el acceso a la formación profesional para el desarrollo efectivo del empleo, con el fin de favorecer su promoción profesional.
  • Indica los derechos de los trabajadores a distancia a una adecuada protección en materia de seguridad, en base a lo establecido en la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, y su normativa de desarrollo.

También nos parece importante señalar lo establecido en la Ley 3/2012, de 6 de julio, de medidas urgentes para la reforma del mercado laboral en relación con el teletrabajo, que, si bien no procede a establecer ningún tipo de regulación, sí considera importante darle cabida, con el fin de promover nuevas formas de desarrollar la actividad laboral. Además, entiende que el teletrabajo es “una particular forma de organización del trabajo que encaja perfectamente en el modelo productivo y económico que se persigue, al favorecer la flexibilidad de las empresas en la organización del trabajo, incrementar las oportunidades de empleo y optimizar la relación entre tiempo de trabajo y vida personal y familiar.”

A raíz del estado de alarma ocasionado por la crisis sanitaria en la que nos encontramos actualmente, el Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 también entra a regular en su artículo 5 el trabajo a distancia o teletrabajo, indicando, en primer lugar, su carácter preferente. El mencionado artículo señala una serie de cuestiones que consideramos relevantes destacar:

  • Con el fin de garantizar la reanudación con normalidad de la situación excepcional sanitaria, establece el trabajo a distancia o teletrabajo como sistema alternativo.
  • Obliga a las empresas a adoptar las medidas oportunas para la realización del teletrabajo, siempre y cuando sean técnica y razonadamente posibles y proporcionadas de realizar.
  • Considera prioritario el trabajo a distancia en lugar de la cesación temporal o la reducción de la actividad laboral.
  • Se entiende cumplida la obligación de efectuar la evaluación de riesgos en los términos que señala la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, debiendo el trabajador realizar una autoevaluación voluntaria a tal efecto.

A tenor de lo comentado por nuestros compañeros en anteriores publicaciones (ver aquíver aquí y ver aquí), en los casos en los que el trabajador realiza su actividad fuera del centro de trabajo de la propia empresa, ésta debe, igualmente, cumplir con una serie de medidas de seguridad, que procederemos a analizar a continuación, y cuyo cumplimiento debe fundamentarse de igual modo en el artículo 32 del Reglamento General de Protección de Datos (en adelante, RGPD), que establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de un incidente físico o técnico.
d. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

Ahora bien ¿qué medidas de seguridad deberán cumplirse en estos supuestos?

En primer lugar, y tal y como señala el INCIBE en varias de sus publicaciones, se deberá contar, tanto con un sistema de conexiones remotas seguras, como con servicios de almacenamiento en la nube:

  1. Conexiones remotas seguras

Se deberá utilizar la red privada virtual (VPN), al ser el mejor sistema para la conexión remota a los dispositivos utilizados. A través de esta red, se proporciona un acceso y conexión segura a la red local de la empresa por medio de Internet. También esta tecnología permite la interconexión de sedes que se encuentren distantes geográficamente, puesto que una VPN también se puede configurar para que ambas sedes estén trabajando sobre una misma red local, con el fin de que ambas puedan acceder a los mismos recursos.

Para minimizar las posibilidades de que un atacante pueda acceder a la VPN, debemos reforzar las medidas de seguridad de cara a dificultar el acceso:

  • Utilizando certificados para la autenticación mutua, con el fin de reducir el riesgo de que un tercero no autorizado pueda hacerse pasar por el usuario.
  • Utilizando sistemas de doble autenticación, mediante el uso de certificados y contraseñas, dificultando así el robo de las credenciales, al ser necesarios los dos mecanismos para poder acceder.
  1. Servicios de almacenamiento en la nube

Se podrá siempre utilizar los sistemas de almacenamiento en nube, una vez la empresa lo haya así autorizado.

Utilizando estos sistemas de almacenamiento, estamos asegurándonos que, a pesar de que se produzca un robo o pérdida en nuestros dispositivos, ello no suponga necesariamente la pérdida de la información almacenada en los mismos; no obstante, antes de su uso, debemos tener en cuenta algunas consideraciones:

  • La disponibilidad, como la privacidad o confidencialidad del servicio, al ser posible que en algún momento necesitemos la información y estos servicios no se encuentren disponibles.
  • La sincronización con la información que se puede llegar a contener en el escritorio. Se deberá analizar la información que se decida subir a la nube.
  • Las restricciones a la hora de subir a la nube datos de carácter personal. A este respecto deberemos evitar y ser muy cuidadosos a la hora de subir datos especialmente protegidos a la nube.
  • La obligación de establecer una contraseña robusta cada vez que se acceda al dispositivo.

Además del deber de contemplar ambas medidas de seguridad dentro de la propia política de seguridad de la empresa, también debemos tener en cuenta otra serie de recomendaciones a la hora de teletrabajar:

1. Utilizar preferiblemente dispositivos corporativos proporcionados por la empresa, al contar con las políticas de seguridad y privacidad que la empresa haya determinado a tal efecto. En caso de utilizar nuestros dispositivos personales, deberemos cumplir con la política del Bring Your Own Device (BYOD)que dotará a la empresa de una serie de buenas prácticas, tales como:

  • Elaboración de un listado de dispositivos autorizados, las condiciones en las que se permite su uso, cómo se debe acceder a la información contenida y qué configuración de seguridad han de tener.
  • Implantación de una política de cara a concienciar y formar a los empleados a los que les aplique esta política.
  • Establecimiento de medidas que permitan la opción de localizar los dispositivos en caso de robo o pérdida, así como medidas de seguridad que garanticen el cifrado de todos los dispositivos a través de contraseñas robustas, que dispongan de las últimas versiones de las actualizaciones, que se prohíba el acceso a determinadas aplicaciones o sitios  web, así como disponer en todo caso de un antivirus.  

2. Realizar copias de seguridad periódicas de los dispositivos utilizados. Con el fin de una información más detallada acerca de la realización de copias de seguridad y su protección reforzada a través del cifrado, recomendamos la lectura del siguiente post de nuestro blog, en el que se procede a analizar esta cuestión.

Para finalizar, no querríamos pasar por alto una de las últimas advertencias del INCIBE, relativa al envío de correos electrónicos con malwares adjuntos, aprovechando la situación de crisis sanitaria por el COVID-19. Hasta la fecha, ya se han detectado varias campañas de suplantación de identidad (más conocido como phishing), haciéndose pasar el atacante por la empresa que se pretende suplantar, y cuyo fin es que el destinatario descargue el archivo adjunto para así infectar su dispositivo y acceder a la información confidencial que pudiera contener en el mismo.

A tenor de lo dispuesto, el INCIBE expone una serie de ejemplos de estas campañas de phishing, indicando a su vez cómo debe proceder el usuario en caso de haber ejecutado el archivo malicioso, así como una serie de recomendaciones generales para minimizar los riesgos en caso de futuros ataques:

  • Escanear el equipo con antivirus actualizados para eliminar la infección.
  • Si el usuario no hubiera ejecutado el archivo, proceder a su eliminación inmediata.
  • Acudir al servicio de Respuestas y Soporte del propio INCIBE, en caso de necesitar el afectado soporte o asistencia para la eliminación del malware.
  • Realizar copias de seguridad de manera periódica.
  • Mantener actualizados los dispositivos y siempre protegidos mediante antivirus.