Privacidad en las reuniones online y brechas de seguridad

Es una palabra que ya no nos gusta oír por lo que significó en todo el mudo, pero el COVID supuso un antes y un después en nuestras vidas. Muchas de las consecuencias de la adaptación a ese fatídico periodo han venido para quedarse y una de las consideradas generalmente como positiva es el teletrabajo.

Debido a la imposibilidad de desplazarse físicamente, las empresas y entidades públicas idearon a contrarreloj planes de teletrabajo para facilitar a sus empleados la realización de sus actividades, y “continuar”, en la medida de lo posible una vida con las menores disrupciones posibles. Una realidad social que ya pasada la crisis mundial sanitaria en algunos casos, se ha establecido por imperativo social.

Con anterioridad a marzo de 2020, este tipo de trabajo parecía casi utópico, no obstante actualmente se ha convertido incluso en un atractivo usado por empresas para la contratación de personal y en una realidad para miles de profesionales de todo el mundo que ha supuesto la llegada de la “nueva normalidad”.

Actividades que eran tan cotidianas como abordar a un compañero de trabajo en su mesa para solventar una duda rápida, ahora han sido sustituidas por reuniones puramente online que han dado lugar a episodios hilarantes o controvertidos. Uno de ellos el que aconteció en una videoconferencia sobre la defensa de la Unión Europea en el que participó un periodista neerlandés al publicar la ministra de Países Bajos el código de acceso de la reunión en redes sociales.

Dado el uso cada vez más implantado de estas reuniones, y lo delicado de ciertos temas tratados en ellas, este incidente suscitó la pregunta de ¿está garantizada la seguridad y la confidencialidad de los encuentros que mantenemos online?

A este respecto, son numerosas las organizaciones como la Comisión Europea a través del Supervisor Europeo de Protección de Datos y agencias nacionales como la española (AEPD) que han publicado una serie de recomendaciones a tener en cuenta para evitar poner en riesgo la divulgación de ciertos datos.

Una de ellas es ESCOGER PROVEEDORES DE CONFIANZA.  Es decir, buscar una plataforma para la realización de reuniones virtuales que cuente con las garantías suficientes tanto en ciberseguridad como en protección de datos ya que el tratamiento de datos personales de los asistentes, es un aspecto fundamental.

La segunda recomendación sería implantar un ACCESO RESTRINGIDO.  Controlar quién accede a las reuniones virtuales es uno de los pilares fundamentales para asegurar la privacidad en las videoconferencias. Para ello, se aconseja lo siguiente:

  • Crear una sala de reuniones diferente cada vez, para no usar siempre la misma ID y enlace a ella.
  • Enviar el enlace a la reunión por correo electrónico y solo a las personas que deban estar en ella.
  • Proteger el acceso con una contraseña de un solo uso.
  • Habilitar la sala de espera y autorizar el acceso individual a cada asistente, para comprobar su identidad.
  • No compartir los enlaces de reuniones en redes sociales o apps de mensajería instantánea y avisar a los asistentes que tampoco lo hagan, puesto que desconocemos el nivel de privacidad en redes sociales que tienen configurado y el enlace a la reunión podría acabar siendo visto y usado por personas ajenas a la compañía como en el caso que hemos comentado.
  • Habilitar las notificaciones que avisan de cuándo una persona se incorpora a la reunión, para saber en todo momento quién accede a ella y está presente.
  • Una vez que todos los asistentes estén presentes en la reunión, debemos bloquear el acceso a la misma.
  • Indicar a los empleados que solo accedan a la reunión utilizando los dispositivos corporativos o autorizados por la empresa.

 
La tercera recomendación es controlar la información compartida ya sea a través de pantallas o archivos, debido a los riesgos que esto puede entrañar. Se aconseja permitir únicamente a las personas anfitrionas compartir pantalla.

En cuanto a las GRABACIONES DE LAS REUNIONES, si no es absolutamente necesario, se desaconseja grabar las reuniones virtuales. En caso de ser necesario, debemos informar a los asistentes de que se va a grabar, la finalidad de la grabación y el momento en el que se inicia y detiene la grabación. Además, estas deberían cifrarse y bloquearse mediante contraseña, para evitar posibles filtraciones.

En caso de hacer publica esta grabación, debemos contar con el consentimiento de los asistentes para reproducir su imagen y/o voz.

Antes de iniciar la reunión, avisar a posibles convivientes que se va a iniciar una reunión y tomar las medidas para que su actividad no esté al alcance del micrófono y la cámara.

No obstante, por muchas medidas que se tomen, pueden producirse errores y brechas de seguridad. En una época en el que los datos son el nuevo “oro” de las organizaciones, el impacto de una brecha de seguridad puede ser enorme y estrategias adecuadas de gestión de riesgos y gobernanza de los datos son claves.

De acuerdo a la definición dada por el Reglamento General de Protección de Datos (RGPD), una brecha de seguridad es cualquier incidente que resulte en acceso no autorizado a datos de ordenadores, aplicaciones, redes o dispositivos que dé como resultado el acceso a la información sin autorización.

Si alguno de ellos ocurre, se debe recabar una serie de información que será muy útil para decidir qué medidas tomar y qué acciones se emprenderán.

El primero de los pasos es IDENTIFICACIÓN y establecer qué ha ocurrido, es decir, se ha perdido un dispositivo con datos personales, se ha producido un robo, se han publicado datos personales por error o se ha enviado a un destinatario equivocado, se ha producido una intrusión no autorizada en un sistema de información con datos personales, un empleado ha sido víctima de phishing, etc. En este paso será importante saber las categorías de datos personales afectados, el número de registros afectados y el número de personas afectadas.

El segundo paso sería CLASIFICACIÓN del tipo de brecha que se ha producido. Existen tres tipos de brechas de seguridad:

  1. Brecha de confidencialidad: Se produce al ocurrir un acceso no autorizado al almacenamiento de datos personales o cuando ocurre un ataque o descuido que pueda dejar expuestos dichos datos.
  2. Brecha de integridad: Ocurre cuando se alteran los datos o información original almacenada en el sistema, pudiendo ocasionar algún perjuicio a la empresa o a los afectados.
  3. Brecha de disponibilidad: Se produce cuando un incidente, intencionado o no, provoca la pérdida de acceso a los datos e información almacenada, tanto de forma temporal como permanente.

 
El tercer paso es la CONTENCIÓN y ELIMINACIÓN. Si el hecho todavía sigue en curso, las funciones deben ser deshabilitadas y las redes aisladas. De esta forma, aseguraremos que pueda expandirse la intrusión.

El siguiente paso es la RECUPERACIÓN de todo aquello que ha podido resultar afectado en la brecha de seguridad y que resulta relevante para el desarrollo normal de las actividades.

Por último, la COMUNICACIÓN del incidente. Se debe notificar a los afectados y a las autoridades correspondientes, según lo exigido en la normativa para la resolución de estas incidencias.

En concreto, el responsable del tratamiento debe informar sobre las brechas de seguridad a la autoridad de supervisión adecuada, que en el caso de España es la AEPD, dentro de las 72 horas posteriores a su conocimiento.

En caso de no llevar a cabo adecuadamente esta notificación, pueden enfrentar e importantes sanciones pecuniarias.



Deja una respuesta

uno × 1 =