Manuel Hernández Sandoval
Ante la coyuntura en la que nos encontramos actualmente debido a la pandemia, el teletrabajo se ha convertido en un aspecto esencial para que las Administraciones Públicas puedan continuar con su actividad y servicio a la ciudadanía. Esta metodología de trabajo supone igualmente una oportunidad para aplicar nuevas herramientas de trabajo más eficientes y efectivas, implicando, a su vez, nuevos procesos y formas de comunicación y colaboración, como por ejemplo las videollamadas. Sin embargo, es vital que, de manera previa a la puesta en marcha del teletrabajo, se implanten, tal y como veremos más adelante, una serie de medidas de seguridad básicas en los sistemas de información, así como unas medidas específicas en el marco de las conexiones en remoto a los sistemas de las Administraciones Públicas que garanticen el cumplimiento de la normativa de protección de datos y del esquema nacional de seguridad.
El desempeño del teletrabajo en las Administraciones Públicas parece ser una cuestión que ofrece numerosas ventajas y un alto grado de autonomía por parte del empleado público en el ejercicio de sus funciones.
La dinámica establecida por las Administraciones Públicas en el ámbito laboral es totalmente distinta a la llevada a cabo por el sector privado, ya que la urgencia y precipitación en activar el teletrabajo para sus empleados en esta situación excepcional no puede ocultar la existencia de limitaciones que podrían dificultar su implantación con totales garantías de seguridad.
En primer lugar, apreciamos la existencia de grandes diferencias entre los distintos organismos, ya que algunas Administraciones Públicas cuentan con una alta digitalización para llevar a cabo los diversos procedimientos administrativos, mientras que otras tienen un déficit más que considerable impidiendo en gran medida el teletrabajo.
En segundo lugar, destacamos la insuficiente formación específica del empleado público sobre aspectos esenciales para el adecuado desarrollo de la prestación del trabajo en modalidad no presencial, como, por ejemplo, el seguimiento de las tareas a realizar, la gestión por objetivos, la seguridad informática o en materia de protección de datos.
Por ello, resulta necesario establecer un proceso de concienciación, por parte de las Administraciones Públicas, tarea que recaería sobre el Delegado de Protección de Datos, a sus empleados para que puedan desempeñar su trabajo desde casa, mostrando la mayor implicación y responsabilidad posible, tanto en el desempeño de sus tareas como en materia de protección de datos, ya que, es un momento en el que el tratamiento de los datos personales cobra una vital importancia y el desempeño de la actividad profesional debe realizarse con las debidas garantías.
Esta responsabilidad y concienciación a la que hacemos referencia implica planificación, así como una oportunidad para desarrollar la digitalización, tanto por parte de la Administración Pública como de sus empleados.
En este sentido, el Centro Criptológico Nacional Computer Emegency Response Team (CCN – CERT) ha reforzado todas sus capacidades para la defensa del ciberespacio español y, en especial, del sector público. Por todo ello, y sabedores de la vulnerabilidad que puede llegar a representar la generalización del teletrabajo, el CCN-CERT acaba de publicar un informe de buenas prácticas bajo el título de “Recomendaciones de seguridad para situaciones de teletrabajo y refuerzo en vigilancia”, donde se hace especial incidencia en la mejora de la ciberseguridad para ofrecer una respuesta a los posibles ciberataques y afrontar de forma activa las ciberamenazas, formando al personal y aplicando políticas y procedimientos de seguridad en el empleo de las tecnologías más adecuadas a este fin.
Por este motivo, se han de tener en cuenta unas pautas que permitan garantizar la seguridad en el teletrabajo y con ello, seguir manteniendo la confidencialidad, integridad y disponibilidad de la información. Para ello, resulta necesario realizar un análisis de riesgos, siguiendo lo establecido en el Esquema Nacional de Seguridad, e implantar a continuación los procedimientos de seguridad y controles necesarios para garantizar la correcta gestión de la información, y datos personales, por parte de las Administraciones Públicas.
En este sentido, el CCN hace una serie de recomendaciones sobre medidas básicas de seguridad en la guía previamente mencionada que resumimos a continuación de manera muy breve: tener instaladas las últimas actualizaciones del sistema operativo y antivirus utilizado, intensificar el control de acceso a sistemas y habilitar canales de comunicación seguros para reuniones mediante internet, mantener un listado actualizado de usuarios con permisos de acceso remoto a los sistemas de la Administración, incluyendo la dirección IP de acceso y medio de conexión, controlar el uso de invitaciones, contraseñas y asistentes de las salas de reuniones, conocer si en una sala de reunión algún integrante la está grabando, compartir de forma segura credenciales y otra información sensible empleada, por ejemplo, para el acceso a servicios, aplicaciones, sistemas, redes, VPN, reuniones remotas, entre otras.
En relación con medidas de seguridad específicas para el teletrabajo, el CCN propone la implementación de posibles soluciones técnicas enfocadas al acceso remoto, a sistemas locales (on-premise) y a sistemas híbridos (Hybrid IT):
- Acceso remoto seguro: la implementación de medidas que supongan un despliegue de acceso remoto seguro, aunque no se disponga de una gran capacidad en la Administración Pública. En este caso la información se encuentra en una nube que sirve como comunicación entre los servicios de la organización y la información guardada en dicha nube.
- Acceso a sistemas locales (on-premise): con ello se establece una comunicación segura entre el propio equipo portátil del empleado público y la red de la organización, estableciendo para ello una validación de identidad como medio acreditativo para acceder a la red de la Administración.
- Acceso a sistemas híbridos (Hybrid IT): en este tipo de solución técnica, se propone la implementación de un sistema de control de acceso para la Administración, en el que adicionalmente los usuarios se pueden conectar desde dispositivos tanto corporativos como no corporativos, basándose para ello en anteponer una capa previa de control de acceso a los sistemas que permita tener visibilidad en el acceso a la información.
Asimismo, y dado que, en la mayoría de los casos, las Administraciones Públicas han tenido que implantar este medio de trabajo a distancia en un tiempo muy reducido, se debe prestar especial atención a garantizar la seguridad de todas las herramientas y soluciones utilizadas en el teletrabajo, implementando el cambio de la concepción de la gestión de los trabajadores orientada a la presencia física a una gestión basada en resultados.
En conclusión, el alejamiento físico del trabajador implica mayor independencia y con ello, nuevos riesgos en materia de seguridad de la información que deben ser abordados con el objetivo de su mitigación. No obstante, debemos entender este nuevo paradigma como una oportunidad para la Administración y sus empleados, desde el punto de vista del aumento de rendimiento y productividad, reducción de costes y externalización de servicios de manera eficaz.
En Unive Abogados somos conscientes de las ventajas que aporta el teletrabajo, pero también de los riesgos que supone el mismo si el personal de la Administración Pública no ha sido debidamente concienciado, ni se implantan las medidas de seguridad adecuadas que garanticen la privacidad y seguridad de los datos personales de los ciudadanos.
Por todo ello, una de las medidas que viene aplicándose tanto en empresas como en aquellas Administraciones Públicas conscientes de la necesidad de proteger sus activos intangibles y de protegerse ante las amenazas digitales, consiste en la elaboración de un Plan de Actuación y Contingencias que prepare al entorno de la entidad y sus responsables de forma preventiva para llevar a cabo las actuaciones necesarias una vez identificadas las amenazas y riesgos.
En este sentido, es vital concienciar a los funcionarios y crear una cultura de ciberseguridad que permita a la Administración mitigar los riesgos.
Joaquín Hernández García
Responsable Dpto. de Privacidad, Protección de Datos y Tecnologías de la Información
Manuel Hernández Sandoval
Abogado Dpto. de Privacidad, Protección de Datos y Tecnologías de la Información
Irene Roca García
Abogada Dpto. de Privacidad, Protección de Datos y Tecnologías de la Información