Formar al trabajador de los riesgos en internet, clave para no exponer a la empresa
Los expertos apuestan por la educación digital de los menores y prestar atención a la relaciones con terceros
Navegar por Internet es algo que está más que adquirido y automatizado por el conjunto de la sociedad. Sin embargo, muchas veces esto puede jugar en nuestra contra y deben tenerse en cuenta muchas acciones que pueden poner en peligro la información, muchas veces personal, en nuestros dispositivos.
Por ello, con motivo del Día Internacional de la Internet Segura, es un buen momento para recordar algunas claves para esquivar consecuencias catastróficas, que precisamente suponen muchos quebraderos de cabeza para empresarios y particulares. En concreto, Álvaro Ramos, director de Nuevas Tecnologías y Delegado de Protección de Datos de la multinacional Clarke Modet & Cº, ha enumerado cuatro aspectos esenciales a tener en cuenta para navegar de forma segura y responsable.
Educación digital a menores y formación a trabajadores
El experto lo tiene claro: la base es la formación y la educación digital. La rapidez con la que se ha impregnado lo digital en el día a día hace que sea necesario que sobre todo los menores cuenten con formación en la materia. “Sin ningún género de dudas los menores deben recibir desde las escuelas formación respecto a los peligros de Internet”, afirma Ramos.
De momento, la Ley de Protección de Datos (LOPD) contempla, por empeño de la Agencia de Protección de Datos, que en el plazo de un año las comunidades autónomas integren en los planes educativos de primaria y secundaria la educación digital y de datos, pero esto no será una realidad, si se toma en serio, hasta el próximo curso escolar.
Desde el punto de vista empresarial, conocer bien los riesgos que entraña el amplio mundo de internet, sobre todo desde la dirección, hace que sea la mejor barrera técnica ante ataques de ciberdelincuentes, y por consecuencia, llevará a la concienciación de los trabajadores. Precisamente para las empresas supone un quebradero de cabeza blindar su información y mantener su reputación ante posibles ataques. Para ello, las compañías deben concienciar a sus trabajadores de la importancia que tiene la información que están tratando, y de las acciones que deben tomar cuando detecten que ha sucedido algo fuera de lo normal. “Los cursos o las políticas de ciberseguridad son herramientas necesarias para poder controlar las vulnerabilidades de los sistemas”, explica el experto.
Desde la perspectiva particular, no es menos importante contar con cierta información que permita identificar a los usuarios cuando pueden encontrarse ante un phishing (suplantación de identidad en internet), o ante un intento de estafa remitida por correo electrónico. Sin embargo, la falta de experiencia y de sospecha hace posible la estafa o facilitar determinados datos relacionados con cuentas de usuario contraseñas, números de móvil, etc.
Medidas Técnicas: limitar accesos y no subestimar riesgos
Las medias técnicas implementadas en los dispositivos constituyen una barrera inicial básica ante ciberataques. En ocasiones, según los expertos, los usuarios restan importancia a tener un antivirus actualizado y cuando se encuentran ante la necesidad de hacer un desembolso económico, quitan importancia a la información existente en los dispositivos. “Este es un error muy común que provoca que los ordenadores se infecten de virus que a la larga pueden provocar graves perjuicios”, avisa Álvaro Ramos. Así, que una empresa invierta en proteger su información “resulta absolutamente necesario”.
Pone de ejemplo medidas sencillas como limitar el acceso a la información de determinados trabajadores para mantener, en cierta medida, protegida la información, así como organizar la empresa para que cada usuario cuente con una contraseña robusta y que cambie cada cierto tiempo. “Son medidas muy sencillas, algo engorrosas para algunos, pero que resultan muy eficaces”, declara.
En alguna ocasión, desde la multinacional confiesan que se han encontrado con empresas que únicamente cuentan con una contraseña de acceso a todos los ordenadores. Ante una propuesta de cambio, “nos comentan que eso provocaría que los usuarios apunten sus contraseñas en un pósit (según la RAE) en la pantalla, lo cual desvirtúa la medida de protección”, admiten.
Acción y reacción ante ciberataques
El Reglamento General de Protección de Datos (RGPD) exige que las empresas cuenten con determinados protocolos cuando se produzca la vulneración de los datos personales que tengan en sus servidores. A este respecto la empresa debe contar con un registro de incidencias que le permita analizar las que sucede en sus sistemas. “Es posible que la empresa se encuentre ante una quiebra de seguridad (cualquier incidencia no implica una quiebra de seguridad) y esta debe contar con una política que le guie de forma adecuada para reaccionar en tiempo y forma”, apunta Ramos.
La Ley de Protección de Datos establece un protocolo de actuación ante una quiebra de seguridad que requiere una reacción en 72 horas desde que se tuvo conocimiento de la quiebra. Sin embargo, “no todo ataque tiene por qué ser considerado una quiebra de seguridad”, advierte. El hecho que la empresa tenga que comunicar la quiebra de seguridad a la Agencia Española de Protección de Datos, provoca “miedo” a la inspección o a la sanción. Así, la comunicación a la base de datos afectada es algo que según los expertos, “pueden tener consecuencias aún peores”, como una quiebra reputacional y la desconfianza de los clientes.
Esto depende de varios factores, según Álvaro Ramos, DPO de Clarke Modet & Cº: “del volumen de datos afectados, la tipología de datos, y el impacto”. También, será determinante poder analizar si los datos se han hecho públicos a través de Internet o únicamente fueron accesibles.
Tener muy presente las relaciones con terceros
También, es nuevo para las empresas tener que preocuparse de las relaciones que tenían con terceras empresas. Contratar con una entidad el mantenimiento informático, la gestión de nóminas, o al comunicar los datos de asesoría fiscal, la empresa está sometiendo a cierto riesgo su información, al permitir que un tercero la trate, ya sea en sus servidores o en los del proveedor.
En este punto, el RGPD hace hincapié en que el responsable de tratamiento será responsable de las consecuencias de ceder información a otras entidades para la prestación del servicio a sus clientes si almacenan información que jurídicamente no les pertenece. El responsable tendrá así que asegurarse de que este proveedor tiene las garantías suficientes para tratar dicha información.
“Desde mayo de 2018 los contratos de encargado del tratamiento entre empresas son mucho más estrictos que los tradicionales de la antigua LOPD y vienen acompañados de cuestionarios estrictos que obligan al encargado a declarar que cuenta con unas medidas de seguridad determinadas, específicas y especiales en función del a información que vaya a tratar”, razona.
Consulta aquí todas las novedades de la nueva normativa de Protección de datos.