Gestionar el cumplimiento del RGPD y la CCPA para una plantilla de trabajo en remoto

El cumplimiento de las normativas de privacidad de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), requiere una postura de seguridad diferente para una plantilla de trabajo en remoto. Siga leyendo para conocer las cinco mejores prácticas probadas de Splashtop para el cumplimiento de la normativa mientras se tiene una plantilla de trabajo en remoto.

El trabajo a distancia no va a desaparecer. Según una reciente estimación de Gartner, el 51 % de los trabajadores del conocimiento realizará su trabajo a distancia a principios de 2022. Y esa cifra es realmente mayor ahora con el reciente aumento de la variante ómicron en todo el mundo.

El cumplimiento se hace más difícil en condiciones de trabajo remoto. Considere las conclusiones de este reciente artículo de la revista Security, que analiza los resultados de la encuesta global de seguridad informática Apricorn 2021 de más de 400 profesionales de la seguridad informática de toda América del Norte y Europa. El estudio versaba sobre las prácticas y políticas de seguridad para el trabajo a distancia en los últimos 12 meses. Varios resultados resumen muy bien los riesgos, entre ellos:

  • El 60% de los encuestados dice que las condiciones de trabajo a distancia inducidas por la COVID han creado problemas de seguridad de los datos en sus organizaciones
  • El 38% declaró que el control de los datos ha sido muy difícil de gestionar
  • A pesar de la preocupación por el control de los datos, casi un 20% admitió que sus dispositivos de trabajo han sido utilizados por otros miembros de su hogar

El cumplimiento de la normativa sobre privacidad de datos para los trabajadores remotos todavía no ha sido un objetivo para los equipos de TI. Un artículo de 2021 de Healthcare IT News señaló que solo 2 de cada 10 equipos de TI dijeron haber proporcionado herramientas y recursos adecuados para apoyar a los empleados que trabajan a distancia a largo plazo. Esta falta de preparación pone a las organizaciones en riesgo de violar las leyes de privacidad de datos de los consumidores, en particular el RGPD y la CCPA.

El impacto del incumplimiento

Cuando se descubre que una organización ha causado un daño potencial a los consumidores por no proteger adecuadamente su información personal identificable (PII), el resultado puede incluir multas sustanciales, pérdida de clientes y un daño significativo a la marca. Ciertamente, la mayoría de la gente puede recordar casos de gran repercusión, como la multa impuesta por la UE a Amazon y H&M por el incumplimiento del RGPD, que asciende a 746 millones de euros y 35 millones de euros, respectivamente. Sin embargo, en solo tres años, la UE ha impuesto más de 800 multas en el Espacio Económico Europeo (EEE) y el Reino Unido (que mantiene las normas del RGPD, incluso después del Brexit).

Sí, a las organizaciones más pequeñas también se las multa. Por ejemplo, el proveedor de servicios sanitarios sueco Capio St. Göran, que recibió daños a su marca y una multa de 2,9 millones de euros por el RGPD tras una auditoría de uno de sus hospitales. La auditoría demostró que la empresa no utilizó evaluaciones de riesgo adecuadas y no aplicó controles de acceso eficaces. Como resultado, demasiados empleados tenían acceso a datos personales sensibles.

El mismo tipo de procedimiento se aplica a todos los tamaños de organizaciones en virtud de la CCPA de California. Un artículo de TechTarget de septiembre de 2021 señala que el Estado de California impuso recientemente multas a un concesionario de automóviles, una cadena de tiendas de comestibles, una plataforma de citas en línea y una agencia de adopción de mascotas, que no son los titanes de la industria moderna.

La conclusión: si se encuentra gestionando equipos remotos, debe tomar varias medidas para ajustar su política y prácticas de seguridad para seguir cumpliendo con las leyes de privacidad de datos personales.

Afortunadamente, Splashtop ha permitido a miles de organizaciones trabajar de forma remota. Aquí están las 5 mejores prácticas probadas de Splashtop para el cumplimiento mientras se tiene una fuerza de trabajo remota.

Qué significa el cumplimiento de los datos según el RGPD y la CCPA

Tanto el RGPD como la CCPA exigen que las empresas mantengan la información personal privada y segura. Los procesos empresariales que manejan datos personales deben diseñarse y construirse con salvaguardias para proteger los datos (por ejemplo, utilizando la seudonimización o la anonimización completa cuando proceda). Las organizaciones que controlan los datos deben diseñar los sistemas de información teniendo en cuenta la privacidad.

También similar al RGPD, el Capítulo 55 de la Ley de Privacidad del Consumidor de California de 2018 (CCPA) define la información personal como la información que identifica, se relaciona con, describe, es razonablemente capaz de ser asociada con, o podría ser razonablemente vinculada (directa o indirectamente) con un consumidor particular o un hogar como un nombre real, un alias, una dirección postal, un identificador personal único, un identificador en línea, una dirección de protocolo de Internet, una dirección de correo electrónico, un nombre de cuenta, un número de seguro social, un número de licencia de conducir, un número de matrícula, un número de pasaporte u otros identificadores similares.

La normativa se aplica a los empleados de cualquier organización que trabajen en cualquier lugar, ya sea en la oficina o a distancia. Es importante destacar que no importa en qué lugar del mundo trabajen los empleados. La normativa se aplica cuando los consumidores protegidos por ella viven en la zona de la UE, el Reino Unido o California. (Tenga en cuenta que muchos otros países, como Brasil, Sudáfrica, Corea del Sur, Japón y muchos otros también han instituido regulaciones similares a partir de 2019-2021).

Buena práctica n.º 1: Actualice su política de ciberseguridad para reflejar la realidad del "trabajo a distancia"

Como demuestran los datos anteriores, muchos empleados no están familiarizados con la seguridad de los datos y la privacidad de los interesados y simplemente no reconocen cómo sus acciones podrían conducir a una violación de datos que exponga los datos personales que su organización debe proteger.

La mejor manera de informar a los empleados es establecer y compartir una política de ciberseguridad que instruya a los empleados sobre cómo mantener a salvo los datos de su empresa. La buena noticia es que su política de seguridad informática puede ser un documento sencillo. Debe explicar las razones de su existencia y proporcionar los protocolos de seguridad específicos (en términos no técnicos) que todos los empleados deben seguir. También debe proporcionar una fuente de contacto (correo electrónico o número de teléfono) para los empleados que necesiten ayuda adicional para entenderla.

Buena práctica n.º 2: Formar a los empleados y asegurarse de que el departamento de TI puede ayudarles

Los empleados suelen ser el eslabón más débil de la ciberseguridad. La formación periódica en materia de seguridad ayuda a mantener a los empleados al día sobre cómo proteger a la organización de ataques maliciosos.

  • Políticas de cuentas y contraseñas: Asigne a todos los usuarios sus propios inicios de sesión y garantice el acceso mediante contraseñas seguras y autenticación de dos factores / multifactor.
  • Control de la seguridad de los datos: los controles de seguridad de los datos incluyen el acceso basado en las funciones según el principio del mínimo privilegio, la supervisión de los accesos, la revisión/inventario de las cuentas y el registro. Esto significa que todos los usuarios tienen un nivel mínimo de acceso a los datos.
  • Control de acceso: Los controles de acceso gestionan el acceso electrónico a los datos y sistemas y se basan en niveles de autoridad, parámetros de necesidad de conocimiento y una clara separación de funciones para las personas que acceden al sistema.
  • Respuesta a incidentes de seguridad: los procedimientos de "Respuesta a incidentes de seguridad" permiten a una organización investigar, responder, mitigar y notificar los eventos relacionados con los servicios y activos de información de Splashtop.

Práctica recomendada n.º 3: Mantener los datos cifrados en tránsito y en reposo

El considerando 83 del RGPD exige que los datos personales estén protegidos, tanto en tránsito como en reposo. Debe considerar que los datos están en tránsito cada vez que alguien accede a ellos, como cuando viajan desde el servidor de un sitio web hasta el dispositivo del usuario. Los "datos en reposo" se refieren a los datos almacenados, como los que se encuentran en el disco duro de un dispositivo o en una memoria USB.

Las dos claves para mantener la protección de los datos cuando sus empleados trabajan a distancia son el cifrado y el control de acceso.

  • Cifrado: Splashtop cifra todos los datos del usuario en tránsito y en reposo, y todas las sesiones de usuario se establecen de forma segura utilizando TLS. El contenido al que se accede dentro de cada sesión está siempre encriptado mediante AES de 256 bits.
  • Control de acceso: Splashtop ha implementado controles de acceso para gestionar el acceso electrónico a los datos y sistemas. Nuestros controles de acceso se basan en los niveles de autoridad, en los niveles de necesidad de conocimiento, así como en la segregación de funciones de quienes acceden al sistema.

Splashtop evita a propósito la recopilación excesiva de datos —algo que demasiadas empresas hacen sin una razón legítima de servicio comercial. Nos amoldamos más fácilmente con las regulaciones al NO recoger datos/información sensible. Solo recogemos, almacenamos y procesamos PII limitada, como el nombre de usuario (correo electrónico), la contraseña y los registros de sesión (para que los clientes revisen, solución de problemas, etc.), y Splashtop no vende la información del cliente por RGPD y directrices CCPA.

Buena práctica n.º 4: Tratar los datos específicos de la geografía dentro de su propia pila

Si su empresa atiende a usuarios en una zona regulada, lo más seguro es crear una pila de datos/tecnología específica para cada zona regulada. Splashtop aprovecha una pila de la UE con sede en Alemania. Esto garantiza que las transferencias de datos relacionadas con los residentes de la UE permanezcan dentro de la soberanía de la UE (una norma estricta del RGPD).

Buena práctica n.º 5: Utilizar un acceso remoto seguro

Las personas que trabajan a distancia suelen utilizar las VPN de y el protocolo de escritorio remoto (RDP) para acceder a las aplicaciones y los datos que necesitan para realizar su trabajo. Esto ha llevado a los ciberdelincuentes a explotar la débil seguridad de las contraseñas y las vulnerabilidades de las VPN para acceder a la red corporativa, robando información y datos.

La solución de acceso remoto de Splashtop no depende de una VPN. Además, sigue un enfoque de confianza cero. Cuando los empleados acceden remotamente a su ordenador o estación de trabajo de la oficina, entran a través de una conexión especial de Splashtop. Una conexión que no forma parte de la red corporativa. Esto significa que solo pueden ver y trabajar con los datos (por ejemplo, documentos de Word) en su escritorio remoto, y los datos nunca viajan fuera de la red corporativa. Los responsables de la seguridad informática también tienen la opción con Splashtop de habilitar o deshabilitar tanto la transferencia de archivos como las funciones de impresión. Estas opciones son muy recomendables para el cumplimiento, pero no existen con una estrategia RDP/VPN.

El acceso remoto Splashtop introduce aún más funciones de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y otras. Estas modernas medidas de seguridad no existen en la arquitectura VPN.

Es mejor prevenir que curar

Tal y como demuestran estas buenas prácticas, puede tomar cinco medidas de sentido común para cumplir con la normativa sobre privacidad de datos sin necesidad de realizar un gran esfuerzo. Con el trabajo a distancia, la ventaja de proteger los datos de los consumidores en el entorno de los trabajadores a distancia supera con creces los efectos negativos de no cumplir con la normativa.

Para saber cómo su organización puede obtener rápidamente un acceso remoto seguro, de acuerdo con la CCPA, el RGPD y otras normativas de privacidad del consumidor, visite nuestra página de cumplimiento.


Contenido relacionado

Banner de Prueba Gratuita en la Parte Inferior del Blog