Saltar al contenido principal
+1.408.886.7177Prueba gratuita
Secure remote desktop options including GDPR compliant solutions
SeguridadTrabajando a Distancia

Gestionar el cumplimiento del RGPD y la CCPA para una plantilla de trabajo en remoto

Se lee en 8 minutos
Empieza con una prueba gratuita
Prueba gratuita
Suscríbete
Boletín de noticiasCanal RSS
Comparte esto

El cumplimiento de las normativas sobre privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea y la Ley de Privacidad del Consumidor de California (CCPA), exige una postura de seguridad diferente para los trabajadores a distancia. Sigue leyendo para conocer las cinco mejores prácticas probadas de Splashtop para el cumplimiento de la normativa teniendo trabajadores a distancia.

El teletrabajo ha llegado para quedarse. Según una reciente estimación de Gartner, el 51 % de los trabajadores del conocimiento realizarán su trabajo a distancia a principios de 2022 y esa cifra es mucho mayor ahora con el reciente auge de la variante ómicron en todo el mundo.

El cumplimiento se hace más difícil en condiciones de trabajo remoto. Considere las conclusiones de este reciente artículo de la revista Security, que analiza los resultados de la encuesta global de seguridad informática Apricorn 2021 de más de 400 profesionales de la seguridad informática de toda América del Norte y Europa. El estudio versaba sobre las prácticas y políticas de seguridad para el trabajo a distancia en los últimos 12 meses. Varios resultados resumen muy bien los riesgos, entre ellos:

  • El 60 % de los encuestados afirma que las condiciones de trabajo a distancia inducidas por el COVID han creado problemas de seguridad de los datos en sus organizaciones

  • El 38 % declaró que el control de los datos ha sido muy difícil de gestionar

  • A pesar de la preocupación por el control de los datos, casi el 20 % admitió que sus dispositivos de trabajo han sido utilizados por otros miembros de su hogar

El cumplimiento de la normativa sobre privacidad de datos para los trabajadores remotos todavía no ha sido un objetivo para los equipos de TI. Un artículo de 2021 de Healthcare IT News señaló que solo 2 de cada 10 equipos de TI dijeron haber proporcionado herramientas y recursos adecuados para apoyar a los empleados que trabajan a distancia a largo plazo. Esta falta de preparación pone a las organizaciones en riesgo de violar las leyes de privacidad de datos de los consumidores, en particular el RGPD y la CCPA.

La incidencia del incumplimiento normativo

Cuando se descubre que una organización ha causado un daño potencial a los consumidores al no proteger adecuadamente su información personal identificable (IPI), en el resultado se pueden incluir multas cuantiosas, pérdida de clientes y un daño significativo a la marca. Sin duda, la mayoría de la gente puede recordar casos muy sonados, como las multas impuestas por la UE a Amazon y H&M por incumplimiento del RGPD, por valor de 746 millones de euros y 35 millones de euros, respectivamente. Sin embargo, en solo 3 años, la UE ha impuesto más de 800 multas en el Espacio Económico Europeo (EEE) y el Reino Unido (que mantiene las normas del RGPD, incluso después del Brexit).

Sí, a las organizaciones más pequeñas también se las multa. Por ejemplo, el proveedor de servicios sanitarios sueco Capio St. Göran, que recibió daños a su marca y una multa de 2,9 millones de euros por el RGPD tras una auditoría de uno de sus hospitales. La auditoría demostró que la empresa no utilizó evaluaciones de riesgo adecuadas y no aplicó controles de acceso eficaces. Como resultado, demasiados empleados tenían acceso a datos personales sensibles.

El mismo tipo de procedimiento se aplica a todos los tamaños de organizaciones en virtud de la CCPA de California. Un artículo de TechTarget de septiembre de 2021 señala que el Estado de California impuso recientemente multas a un concesionario de automóviles, una cadena de tiendas de comestibles, una plataforma de citas por internet y una agencia de adopción de mascotas: que están lejos de ser los titanes de la industria moderna.

En resumen: si te encuentras gestionando equipos remotos, tienes que tomar varias medidas para ajustar tu política y prácticas de seguridad para seguir cumpliendo las leyes de privacidad de datos personales.

Afortunadamente, Splashtop ha hecho posible que miles de organizaciones teletrabajen. Estas son las 5 mejores prácticas probadas de Splashtop para el cumplimiento de la normativa teniendo una plantilla a distancia.

Qué significa el cumplimiento de los datos según el RGPD y la CCPA

Tanto el RGPD como la CCPA exigen que las empresas mantengan la información personal privada y segura. Los procesos empresariales que manejan datos personales deben diseñarse y construirse con salvaguardias para proteger los datos (por ejemplo, utilizando la seudonimización o la anonimización completa cuando proceda). Las organizaciones que controlan los datos deben diseñar los sistemas de información teniendo en cuenta la privacidad.

También similar al RGPD, el Capítulo 55 de la Ley de Privacidad del Consumidor de California de 2018 (CCPA) define la información personal como la información que identifica, se relaciona con, describe, es razonablemente capaz de ser asociada con, o podría ser razonablemente vinculada (directa o indirectamente) con un consumidor particular o un hogar como un nombre real, un alias, una dirección postal, un identificador personal único, un identificador en línea, una dirección de protocolo de Internet, una dirección de correo electrónico, un nombre de cuenta, un número de seguro social, un número de licencia de conducir, un número de matrícula, un número de pasaporte u otros identificadores similares.

La normativa se aplica a los empleados de cualquier organización que trabajen en cualquier lugar, ya sea en la oficina o a distancia. Y lo que es más importante, no importa en qué parte del mundo trabajen los empleados. La normativa se aplica cuando los consumidores protegidos por ella viven en la zona de la UE, el Reino Unido o California. (Ten en cuenta que muchos otros países, como Brasil, Sudáfrica, Corea del Sur, Japón y muchos otros, también han instaurado normativas similares a partir de 2019-2021).

Buena práctica n.º 1: Actualice su política de ciberseguridad para reflejar la realidad del "trabajo a distancia"

Como demuestran los datos anteriores, muchos empleados no están familiarizados con las cuestiones de seguridad de datos y privacidad de los interesados y simplemente no reconocen cómo sus acciones podrían derivar en una violación de datos que exponga los datos personales que tu organización debe proteger.

La mejor forma de informar a los empleados es establecer y compartir una política de ciberseguridad que los instruya sobre cómo salvaguardar los datos de tu empresa. La buena noticia es que tu política de seguridad informática puede ser un documento sencillo. Debe explicar las razones de su existencia y proporcionar los protocolos de seguridad específicos (en términos no técnicos) que deben seguir todos los empleados. También debe proporcionar un punto de contacto (correo electrónico o número de teléfono) para los empleados que necesiten ayuda adicional para entenderlo.

Buena práctica n.º 2: Formar a los empleados y asegurarse de que el departamento de TI puede ayudarles

Los empleados suelen ser el eslabón más débil de la ciberseguridad. La formación periódica en seguridad ayuda a mantener a los empleados al día sobre cómo proteger a la organización de ataques maliciosos.

  • Políticas de cuentas y contraseñas:

    Asigna a todos los usuarios sus propios inicios de sesión y concédeles acceso mediante contraseñas seguras y autenticación de dos factores/multifactor.

  • Control de seguridad de los datos:

    Los controles de seguridad de los datos incluyen el acceso basado en roles según el principio del mínimo privilegio, la supervisión del acceso, la revisión/inventario de cuentas y el registro. Esto significa que todos los usuarios tienen un nivel mínimo de acceso a los datos.

  • Control de acceso:

    Los controles de acceso gestionan el acceso electrónico a datos y sistemas y se basan en niveles de autoridad, parámetros de necesidad de conocimiento y una clara separación de funciones para las personas que acceden al sistema.

  • Respuesta ante incidentes de seguridad:

    Los procedimientos de "Respuesta ante incidentes de seguridad" permiten a una organización investigar, responder, mitigar y notificar sucesos relacionados con los servicios y activos de información de Splashtop.

Práctica recomendada n.º 3: Mantener los datos cifrados en tránsito y en reposo

El considerando 83 del RGPD exige que los datos personales estén protegidos, tanto en tránsito como en reposo. Debes tener en mente que los datos están en tránsito siempre que alguien acceda a ellos, como cuando viajan desde el servidor de un sitio web hasta el dispositivo de un usuario. Los "datos en reposo" se refieren a los datos almacenados, como los del disco duro de un dispositivo o los de una memoria USB.

Las dos claves para mantener la protección de datos cuando tus empleados trabajan a distancia son la encriptación y el control de acceso.

  • Cifrado:

    Splashtop encripta todos los datos de usuario en tránsito y en reposo y todas las sesiones de usuario se establecen de forma segura utilizando TLS. El contenido al que se accede en cada sesión siempre está encriptado mediante AES de 256 bits.

  • Control de acceso:

    Splashtop ha implantado controles de acceso para gestionar el acceso electrónico a datos y sistemas. Nuestros controles de acceso se basan en niveles de autoridad, niveles de necesidad de conocer, así como en la segregación de funciones de quienes acceden al sistema.

Splashtop evita deliberadamente la recopilación excesiva de datos, algo que hacen demasiadas empresas sin una razón legítima de servicio empresarial. Nos ajustamos más fácilmente a la normativa al NO recopilar datos/información sensible. Solo recopilamos, almacenamos y procesamos información de identificación personal limitada, como el nombre de usuario (correo electrónico), la contraseña y los registros de sesión (para que los clientes puedan revisarlos, solucionar problemas, etc.) y Splashtop no vende información de clientes según las directrices del RGPD y la CCPA.

Buena práctica n.º 4: Tratar los datos específicos de la geografía dentro de su propia pila

Si su empresa atiende a usuarios en una zona regulada, lo más seguro es crear una pila de datos/tecnología específica para cada zona regulada. Splashtop aprovecha una pila de la UE con sede en Alemania. Esto garantiza que las transferencias de datos relacionadas con los residentes de la UE permanezcan dentro de la soberanía de la UE (una norma estricta del RGPD).

Buena práctica n.º 5: Utilizar un acceso remoto seguro

Las personas que trabajan a distancia suelen utilizar las VPN y el protocolo de escritorio remoto (RDP) para acceder a las aplicaciones y datos que necesitan para desempeñar su trabajo. Esto ha llevado a los ciberdelincuentes a explotar la débil seguridad de las contraseñas y las vulnerabilidades de las VPN para acceder a la red corporativa, robando información y datos.

La solución de acceso remoto de Splashtop no depende de una VPN. Además, sigue un planteamiento de confianza cero. Cuando los empleados acceden a distancia al ordenador o estación de trabajo de su oficina, entran a través de una conexión especial de Splashtop. Una conexión que no forma parte de la red corporativa. Esto significa que solo pueden ver y trabajar con los datos (por ejemplo, documentos de Word) en su escritorio remoto y los datos nunca viajan fuera de la red corporativa. Los responsables de la seguridad informática también tienen la opción con Splashtop de habilitar o deshabilitar tanto la transferencia de archivos como las funciones de impresión. Estas opciones son muy recomendables para el cumplimiento, pero no existen con una estrategia RDP/VPN.

El acceso remoto Splashtop introduce aún más funciones de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y mucho más. Estas modernas medidas de seguridad no existen en la arquitectura VPN.

Es mejor prevenir que curar

Como demuestran estas buenas prácticas, puedes dar cinco pasos de sentido común para ajustarte a la normativa sobre privacidad de datos sin demasiado esfuerzo. Como el teletrabajo ha llegado para quedarse, la ventaja de proteger los datos de los consumidores en tu entorno de teletrabajo supera con creces los efectos negativos de que te encuentren "infringiendo la normativa".

Para saber cómo su organización puede obtener rápidamente un acceso remoto seguro, de acuerdo con la CCPA, el RGPD y otras normativas de privacidad del consumidor, visite nuestra página de cumplimiento.

Conformidad de Splashtop

Contenido relacionado

Perspectivas de Acceso Remoto

Escritorio remoto multiplataforma: beneficios, casos de uso y más

Conozca más
Seguridad

Mejores prácticas de seguridad de TI para proteger su negocio

Soporte Remoto de TI y Mesa de Ayuda

Cómo dominar el software de mantenimiento remoto en 2024: una guía detallada

Perspectivas de Acceso Remoto

Cómo configurar un acceso remoto seguro & Asistencia remota

Ver todos los blogs
Recibe las últimas noticias de Splashtop
AICPA SOC icon
  • Cumplimiento
  • Política de privacidad
  • Condiciones de uso
Copyright ©2024 Splashtop Inc. Todos los derechos reservados. Todos los precios en dólares se muestran en dólares. Todos los precios indicados excluyen los impuestos aplicables.