El cumplimiento de las normas de privacidad de datos, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), requiere una postura de seguridad diferente para una fuerza laboral remota. Siga leyendo para conocer las cinco mejores prácticas comprobadas de Splashtop para el cumplimiento mientras tiene una fuerza laboral remota.
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
El cumplimiento se hace más difícil en condiciones de trabajo remoto. Considere las conclusiones de este reciente artículo de la revista Security, que analiza los resultados de la encuesta global de seguridad informática Apricorn 2021 de más de 400 profesionales de la seguridad informática de toda América del Norte y Europa. El estudio versaba sobre las prácticas y políticas de seguridad para el trabajo a distancia en los últimos 12 meses. Varios resultados resumen muy bien los riesgos, entre ellos:
El 60% de los encuestados dice que las condiciones de trabajo a distancia inducidas por la COVID han creado problemas de seguridad de los datos en sus organizaciones
El 38% declaró que el control de los datos ha sido muy difícil de gestionar
A pesar de la preocupación por el control de los datos, casi un 20% admitió que sus dispositivos de trabajo han sido utilizados por otros miembros de su hogar
El cumplimiento de la normativa sobre privacidad de datos para los trabajadores remotos todavía no ha sido un objetivo para los equipos de TI. Un artículo de 2021 de Healthcare IT News señaló que solo 2 de cada 10 equipos de TI dijeron haber proporcionado herramientas y recursos adecuados para apoyar a los empleados que trabajan a distancia a largo plazo. Esta falta de preparación pone a las organizaciones en riesgo de violar las leyes de privacidad de datos de los consumidores, en particular el RGPD y la CCPA.
El impacto del incumplimiento
Cuando se descubre que una organización ha causado un daño potencial a los consumidores por no proteger adecuadamente su información personal identificable (PII), el resultado puede incluir multas sustanciales, pérdida de clientes y un daño significativo a la marca. Ciertamente, la mayoría de la gente puede recordar casos de gran repercusión, como la multa impuesta por la UE a Amazon y H&M por el incumplimiento del RGPD, que asciende a 746 millones de euros y 35 millones de euros, respectivamente. Sin embargo, en solo tres años, la UE ha impuesto más de 800 multas en el Espacio Económico Europeo (EEE) y el Reino Unido (que mantiene las normas del RGPD, incluso después del Brexit).
Sí, a las organizaciones más pequeñas también se las multa. Por ejemplo, el proveedor de servicios sanitarios sueco Capio St. Göran, que recibió daños a su marca y una multa de 2,9 millones de euros por el RGPD tras una auditoría de uno de sus hospitales. La auditoría demostró que la empresa no utilizó evaluaciones de riesgo adecuadas y no aplicó controles de acceso eficaces. Como resultado, demasiados empleados tenían acceso a datos personales sensibles.
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
La conclusión: si se encuentra gestionando equipos remotos, debe tomar varias medidas para ajustar su política y prácticas de seguridad para seguir cumpliendo con las leyes de privacidad de datos personales.
Afortunadamente, Splashtop ha hecho posible que miles de organizaciones teletrabajen. Estas son las 5 mejores prácticas probadas de Splashtop para el cumplimiento de la normativa teniendo una plantilla a distancia.
Qué significa el cumplimiento de los datos según el RGPD y la CCPA
Tanto el RGPD como la CCPA exigen que las empresas mantengan la información personal privada y segura. Los procesos empresariales que manejan datos personales deben diseñarse y construirse con salvaguardias para proteger los datos (por ejemplo, utilizando la seudonimización o la anonimización completa cuando proceda). Las organizaciones que controlan los datos deben diseñar los sistemas de información teniendo en cuenta la privacidad.
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
La normativa se aplica a los empleados de cualquier organización que trabajen en cualquier lugar, ya sea en la oficina o a distancia. Y lo que es más importante, no importa en qué parte del mundo trabajen los empleados. La normativa se aplica cuando los consumidores protegidos por ella viven en la zona de la UE, el Reino Unido o California. (Ten en cuenta que muchos otros países, como Brasil, Sudáfrica, Corea del Sur, Japón y muchos otros, también han instaurado normativas similares a partir de 2019-2021).
Buena práctica n.º 1: Actualice su política de ciberseguridad para reflejar la realidad del "trabajo a distancia"
Como demuestran los datos anteriores, muchos empleados no están familiarizados con la seguridad de los datos y la privacidad de los interesados y simplemente no reconocen cómo sus acciones podrían conducir a una violación de datos que exponga los datos personales que su organización debe proteger.
La mejor forma de informar a los empleados es establecer y compartir una política de ciberseguridad que los instruya sobre cómo salvaguardar los datos de tu empresa. La buena noticia es que tu política de seguridad informática puede ser un documento sencillo. Debe explicar las razones de su existencia y proporcionar los protocolos de seguridad específicos (en términos no técnicos) que deben seguir todos los empleados. También debe proporcionar un punto de contacto (correo electrónico o número de teléfono) para los empleados que necesiten ayuda adicional para entenderlo.
Buena práctica n.º 2: Formar a los empleados y asegurarse de que el departamento de TI puede ayudarles
Los empleados suelen ser el eslabón más débil de la ciberseguridad. La formación periódica en materia de seguridad ayuda a mantener a los empleados al día sobre cómo proteger a la organización de ataques maliciosos.
Políticas de cuentas y contraseñas: Asigne a todos los usuarios sus propios inicios de sesión y garantice el acceso mediante contraseñas seguras y autenticación de dos factores / multifactor.
Control de la seguridad de los datos: los controles de seguridad de los datos incluyen el acceso basado en las funciones según el principio del mínimo privilegio, la supervisión de los accesos, la revisión/inventario de las cuentas y el registro. Esto significa que todos los usuarios tienen un nivel mínimo de acceso a los datos.
Control de acceso: Los controles de acceso gestionan el acceso electrónico a los datos y sistemas y se basan en niveles de autoridad, parámetros de necesidad de conocimiento y una clara separación de funciones para las personas que acceden al sistema.
Respuesta a incidentes de seguridad: los procedimientos de "Respuesta a incidentes de seguridad" permiten a una organización investigar, responder, mitigar y notificar los eventos relacionados con los servicios y activos de información de Splashtop.
Práctica recomendada n.º 3: Mantener los datos cifrados en tránsito y en reposo
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
Las dos claves para mantener la protección de los datos cuando sus empleados trabajan a distancia son el cifrado y el control de acceso.
Cifrado: Splashtop cifra todos los datos del usuario en tránsito y en reposo, y todas las sesiones de usuario se establecen de forma segura utilizando TLS. El contenido al que se accede dentro de cada sesión está siempre encriptado mediante AES de 256 bits.
Control de acceso: Splashtop ha implementado controles de acceso para gestionar el acceso electrónico a los datos y sistemas. Nuestros controles de acceso se basan en los niveles de autoridad, en los niveles de necesidad de conocimiento, así como en la segregación de funciones de quienes acceden al sistema.
Splashtop evita deliberadamente la recopilación excesiva de datos, algo que hacen demasiadas empresas sin una razón legítima de servicio empresarial. Nos ajustamos más fácilmente a la normativa al NO recopilar datos/información sensible. Solo recopilamos, almacenamos y procesamos información de identificación personal limitada, como el nombre de usuario (correo electrónico), la contraseña y los registros de sesión (para que los clientes puedan revisarlos, solucionar problemas, etc.) y Splashtop no vende información de clientes según las directrices del RGPD y la CCPA.
Buena práctica n.º 4: Tratar los datos específicos de la geografía dentro de su propia pila
Si su empresa atiende a usuarios en una zona regulada, lo más seguro es crear una pila de datos/tecnología específica para cada zona regulada. Splashtop aprovecha una pila de la UE con sede en Alemania. Esto garantiza que las transferencias de datos relacionadas con los residentes de la UE permanezcan dentro de la soberanía de la UE (una norma estricta del RGPD).
Buena práctica n.º 5: Utilizar un acceso remoto seguro
Las personas que trabajan a distancia suelen utilizar las VPN de y el protocolo de escritorio remoto (RDP) para acceder a las aplicaciones y los datos que necesitan para realizar su trabajo. Esto ha llevado a los ciberdelincuentes a explotar la débil seguridad de las contraseñas y las vulnerabilidades de las VPN para acceder a la red corporativa, robando información y datos.
La solución de acceso remoto de Splashtop no depende de una VPN. Además, sigue un planteamiento de confianza cero. Cuando los empleados acceden a distancia al ordenador o estación de trabajo de su oficina, entran a través de una conexión especial de Splashtop. Una conexión que no forma parte de la red corporativa. Esto significa que solo pueden ver y trabajar con los datos (por ejemplo, documentos de Word) en su escritorio remoto y los datos nunca viajan fuera de la red corporativa. Los responsables de la seguridad informática también tienen la opción con Splashtop de habilitar o deshabilitar tanto la transferencia de archivos como las funciones de impresión. Estas opciones son muy recomendables para el cumplimiento, pero no existen con una estrategia RDP/VPN.
El acceso remoto Splashtop introduce aún más funciones de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y otras. Estas modernas medidas de seguridad no existen en la arquitectura VPN.
Es mejor prevenir que curar
Como demuestran estas buenas prácticas, puedes dar cinco pasos de sentido común para ajustarte a la normativa sobre privacidad de datos sin demasiado esfuerzo. Como el teletrabajo ha llegado para quedarse, la ventaja de proteger los datos de los consumidores en tu entorno de teletrabajo supera con creces los efectos negativos de que te encuentren "infringiendo la normativa".
