LGPD: ¿Cómo el trabajo remoto o home office impacta la protección de datos personales?
El año 2020 fue bastante desafiante para todos y no podría ser diferente para los profesionales del campo de la seguridad de la información. La crisis del nuevo coronavirus (SARS-CoV2) prácticamente obligó a las empresas a dispensar sus empleados para el régimen de trabajo remoto, lo que no solo requirió inversiones en nuevas infraestructuras de TI (incluida la contratación de soluciones VPN), sino que también motivó una reestructuración completa en las políticas de seguridad, debido a esta nueva realidad.
Para complicar aún más este escenario, tuvimos la esperada entrada en vigor de la Ley General de Protección de Datos (LGPD) en Brasil. Si bien la regulación es indudablemente bienvenida para la población brasileña, podemos decir que llegó en un momento en que los dirigentes ya estaban demasiado saturados para tener que lidiar con más cambios estructurales, relacionados con la ciberseguridad de sus empresas. Si adaptarse a la LGPD ya es un desafío, imagínate cómo el trabajo remoto o home office ha complicado aún más esa tarea.
Y esa es exactamente la pregunta que muchos se están haciendo en este momento: ¿cómo garantizar el cumplimiento de la ley al tener a sus empleados repartidos por ciudades, estados, países o incluso el mundo? ¿Cómo garantizar que todos sigan las mejores prácticas para evitar fugas de información confidencial?
Un “accidente doméstico”
Es necesario recordar que, por mucho que una empresa haga un uso ético y correcto de los datos personales de sus consumidores, la empresa depende de que sus empleados sean responsables en el ejercicio de su profesión. Imaginemos, por ejemplo, una agencia de telemarketing, que actualmente opera 100% de forma remota. Cada operador tiene acceso al sistema corporativo que, a su vez, tiene millones de registros brasileños. ¿Cómo asegurar que este profesional no ponga en riesgo estos registros?
En el trabajo remoto, muchos usan sus dispositivos personales (notebooks, tablets y / o smartphones) para acceder, ver y procesar datos que pertenecen a la empresa. A menudo, estos dispositivos pueden no tener el mismo nivel de protección que los equipos aprobados por TI: pueden tener un sistema operativo desactualizado, tener aplicaciones maliciosas instaladas o incluso usar redes domésticas que son inseguras (pues, de hecho, hay pocas personas que cambian la contraseña de fábrica de sus enrutadores).
A veces, una exposición inadecuada de datos puede incluso ser involuntaria: un empleado puede imprimir información confidencial y otra persona que vive en su hogar (ya sea un miembro de la familia o un visitante) termina viéndola.
Nada reemplaza el lazo humano
Y es por estos factores que invertir en programas de concienciación se vuelve más crítico que nunca. Los empleados necesitan conocer las amenazas a las que están expuestos en el entorno del hogar, respetar las políticas de acceso de la empresa y utilizar el software de protección adecuado, sin descuidar las buenas prácticas de protección que adoptarían si estuvieran en la oficina.
Por supuesto, el mercado ha comenzado a ofrecer varias soluciones que llenan los huecos en los riesgos del trabajo remoto (incluidos los entornos virtualizados de zero trust, que actúan como intermediarios entre el dispositivo y las aplicaciones empresariales para verificar constantemente la identidad del usuario, en función de una variedad de factores y análisis comportamentales), pero el ser humano siempre será el elemento de relación más importante. ¿Quieres garantizar el cumplimiento de la LGPD? ¡Invierte en la educación de tus empleados!