Seguridad y teletrabajo. En la “to do list” de las empresas

Hace unos días el Banco de España puso en evidencia que un 80% de las empresas habían aumentado el teletrabajo como consecuencia de las medidas de confinamiento decretadas por el estado de alarma, y que más del 30% de los empleos o actividades profesionales podrían realizarse en remoto (estudio analítico “EL Teletrabajo en España). De hecho, que “el teletrabajo ha llegado para quedase” es un recurrente en redes sociales, en especial tras el anuncio de Google y Facebook de mantener el teletrabajo como fórmula principal hasta finales de año. Y luego ya se verá.

No hemos tenido otra que aprender rápido y hemos sabido adaptarnos en tres meses a una forma de trabajar que durante muchos años se proclamaba como posible y óptima, pero que no llegó a tener implantación (en el año 2019, menos del 5% de los trabajadores teletrabajaron). Pero también es cierto que la urgencia ha obligado a empresas y organizaciones a ir parcheando, y es ahora cuando se preguntan sobre qué cambios han de implementar para adaptar sus procesos en caso de que esta forma de trabajo se mantenga más allá del estado de alarma, ya sea porque las circunstancias obliguen, o porque la elección de este modelo organizativo sea una opción adecuada.

En este contexto, es incuestionable la importancia de desarrollar un entorno seguro  que proteja las comunicaciones, preserve los secretos empresariales y evite que los datos de trabajadores, clientes o colaboradores se vean comprometidos. Por lo que se hace imprescindible adoptar medidas tecnológicas, protocolos de seguridad y formar a directivos y empleados adecuadamente, lo que no tiene porqué suponer una gran inversión y, sin embargo, redunda en importantes ventajas en términos de seguridad.

No hay que perder de vista que la Ley 1/2019 de 20 de febrero, de Secretos Empresariales, y la definición -muy amplia- de secreto que contiene. Así, resulta que se considera secreto (i) cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero; (ii) siempre que tenga un valor empresarial, real o potencial, por el hecho de ser secreto, en el sentido de tener un interés económico y/o competitivo para su titular; y (iii) siempre y cuando su titular haya adoptado medidas razonables y específicas para mantenerlos en secreto.

Por lo que puede ser secreto, y gozar de la protección que le otorga la Ley de Secretos Empresariales, desde una aplicación, un software o un algoritmo, pasando por una fórmula científica, un desarrollo en proceso o una invención no patentada, hasta las estrategias comerciales, los planes financieros o los listados e históricos de clientes o de proveedores y productos. Siempre y cuando, eso sí, el empresario adopte una actitud activa e implemente las medidas necesarias para preservar que se mantenga reservado y confidencial.

Ello implica, en primer lugar, desarrollar o revisar contratos de confidencialidad y no divulgación con directivos y trabajadores (también, en su caso, con clientes y proveedores), y restringir el acceso a la información por perfiles o por identidades  en aquellos casos en los que sea posible.

Sin embargo, en código teletrabajo dichas medidas pueden ser insuficientes, y se hace altamente recomendable crear protocolos en los que se combinen avisos relacionados con la titularidad de la empresa sobre la información, el software y, en su caso, los propios dispositivos; junto con  medidas de control y políticas internas de uso de medios informáticos, en los que se establezcan obligaciones básicas de seguridad, como son, por ejemplo:

  • La obligación de almacenar en servicios corporativos en espacios y de compartir la información confidencial a través de espacios seguros en los que el acceso requiera autorización o se limite por perfiles o nominalmente.
  • El establecimiento de contraseñas seguras y robustas, con caducidad, o el uso de sistemas de identificación (token).
  • La obligación de apagar el dispositivo en caso de ausencia y establecer sistemas de bloqueo.
  • Las restricciones del uso del correo electrónico o de acceso a aplicaciones de terceros.
  • O la obligación de mantener actualizadas las aplicaciones para impedir ataques de ciberseguridad.

Dichos protocolos habrán de completarse con la formación necesaria con el objetivo de crear una cultura general que permita compatibilizar el teletrabajo con el secreto de la información, de los conocimientos y de los elementos de la empresa y evite fugas de información o intromisiones no legítimas de terceros.

Y además, por la más pura lógica de las cosas, dichos protocolos habrán de ser coherentes con las medidas implementadas por la empresa para preservar el secreto y evitar cualquier fuga de información estratégica o que afecte a datos personales, así como cualquier intromisión por parte de tercero. A modo de ejemplo:

  • Poner a disposición de los trabajadores los dispositivos y equipos corporativos, siempre que sea posible.
  • Evitar que la información se guarde en el local, y priorizar que se utilicen los servicios corporativos.
  • Emplear para el acceso en remoto con los servicios corporativos conexiones cifradas (VPN, escritorios remotos o sitios web con certificados de seguridad).
  • Establecer perfiles o sistemas nominativos de acceso a información estratégica o secreta.
  • Control de contraseñas y sistemas de identificación.
  • Establecer sistemas que eviten descargas, copias, envíos, o impresiones de información estratégica o aplicaciones de la empresa.
  • Controlar el acceso electrónico a la información de la empresa.
  • Establecer protocolos de actuación para el supuesto de que se aprecie una brecha de seguridad o un riesgo de fuga de información

Y para cerrar el círculo, todo ello ha de formar parte del programa de compliance de la empresa.

Desconozco si las predicciones se cumplirán y el trabajo en remoto formará parte de nuestra cultura empresarial de ahora para siempre. Pero sí me permito compartir la opinión muy extendida de que la Covid-19 ha acelerado la transformación digital a todos los niveles, también en el trabajo, situando en la primera línea del listado de deberes de la empresa los quehaceres necesarios para preservar sus secretos empresariales y el resto de información sensible, como pueden ser los datos personales.

Os deseo un feliz fin de semana

Ana Soto Pino

12 de junio de 2020

 

sigue leyendo

otros artículos