Servicios de protección de datos en Torrejón de Ardoz

¿CÓMO GESTIONAR ADECUADAMENTE LAS TELECOMUNICACIONES EN LA EMPRESA PARA CUMPLIR CON LA NORMATIVA DE PROTECCION DE DATOS?

6. PROCEDIMIENTO DE GESTIÓN DE TELECOMUNICACIONES

Cuando se envíen o reciban datos personales a través de redes de comunicación se deben establecer medidas de seguridad que garanticen que no existan accesos no autorizados a los mismos, así como que se asegure su integridad. Las telecomunicaciones implican que en las transferencias de datos actúen recursos intermedios, tanto físicos como conmutadores que permitan ejecutarlas. La actividad de estos intervinientes sobre la información podría añadir riegos que deben ser valorados e intentar mitigarlos o minimizarlos.

Si las comunicaciones por la red se envían sin cifrar, podría ocurrir que un tercero interceptara los mensajes accediendo a su contenido, vulnerándose el art. 32.1 b del Reglamento General de Protección de Datos (RGPD) y además facilitando que se puedan utilizar para un uso inadecuado o fraudulento.

Con carácter general, y de forma imprescindible cuando se transmitan datos sensibles a través de redes informáticas, se deben utilizar redes privadas que previamente hayamos securizado, y si se envían a través de redes públicas, los datos deben cifrarse, así como el canal de comunicación. También, se deberán establecer garantías que eviten la manipulación de los documentos enviados.

Por tanto, antes de enviar documentos y archivos con información sensible por redes es necesario conocer cómo cifrarlos y cómo evitar que sean modificados.

6.1 Cifrado de documentos y archivos.
6.2 Autenticidad, integridad y confirmación de envío.
6.3 Uso y transmisión de datos por internet.
6.4 Uso y transmisión de datos por correo electrónico.
6.5 Uso de redes inalámbricas públicas.
6.7 Uso de plataformas de mensajería instantánea.
6.8 Uso del Fax.
6.9 Uso de plataformas de Webconferencia.

6.1 Cifrado de documentos y archivos

El cifrado de los datos no es una medida de seguridad que impida los ataques informáticos, pero sí que evita que los usuarios no autorizados, no disponen de la contraseña de descifrado, puedan leerlos de una manera inteligible. Los documentos sensibles y/o importantes para la empresa deben ser cifrados antes de enviarse a terceros, y también se debe exigir al remitente que haga lo propio, por ejemplo, al asesor laboral que deberá enviar las nóminas en un fichero cifrado. La cifrar datos se pueden utilizar distintas soluciones:

6.1.1 Utilizar la herramienta de encriptado de Windows

Windows 10 permite cifrar un archivo o una carpeta de una manera muy sencilla, simplemente se debe clicar en el botón derecho del ratón cuanto esté sobre el archivo o carpeta, pulsar sobre propiedades, y en opciones avanzadas se debe marcar la casilla de verificación de cifrado. Una vez aplicado los cambios quedará encriptado.

6.1.2 Utilizar programas informáticos de encriptado

Boxcriptor. Es un software que permite cifrar archivos y carpetas en el equipo antes de subirlos a la nube de almacenamiento. Es compatible con la mayoría de proveedores, entre ellos, Dropbox, Google Drive y OneDrive.

6.1.3 Utilizar compresores de archivos

Si se envían archivos adjuntos esporádicamente se podrán utilizar programas informáticos para comprimir y descomprimir, pero además permiten su cifrado. Winrar, winzip y 7zip utilizan el protocolo seguro de cifrado AES-256, el último de ellos es gratuito.

Si desea conocer más información sobre el cifrado pulse en los enlaces:

¿Tengo que cifrar los ficheros de mi empresa?

Cifrado de soportes

Uso y transmisión de datos por correo electrónico

6.2 Autenticidad, integridad y confirmación de envío

Para evitar que los documentos sean alterados una vez que sean enviados se deben proteger. Los documentos ofimáticos se pueden proteger entrando en la opción de protección de los documentos como se ha descrito en el apartado Ficheros temporales creados por los usuarios, pero no garantiza totalmente que no se puedan manipular.

Para garantizar la autenticidad e integridad de documentos automatizados se sean importantes se recomienda utilizar la firma electrónica, sobre todo si éstos van a ser enviados a terceros.

Existen herramientas que permiten firmar un documento electrónicamente mediante certificado digital. En estos documentos quedará registrado la fecha y hora de la firma, se podrá consultar si ha habido alguna modificación posterior, y también comprobar la validez de la firma mostrando el certificado utilizado por el firmante. Para firmar documentos pdf, se puede utilizar el programa Adobe Acrobat, haciendo clic sobre el botón herramientas, seguidamente sobre el botón certificados, a continuación, sobre el botón “firmar digitalmente”, después se seleccionará el área del documento donde se visualizará la firma, y por último se deberá elegir el certificado con el que se va a firmar.

Existen varias plataformas informáticas que permiten que los documentos sean enviados para su firma electrónica (sin necesidad de utilizar el certificado digital expedido por la FNMT) y que queden firmados tanto por el emisor como por el receptor. Estas plataformas almacenan datos de ambas partes que prueban la integridad del documento y que han sido firmados por éstas, por lo que deben cumplir con el RGPD y la LOPDGDD, y además con el reglamento n.º 910/2014 de la Unión Europea sobre la identificación electrónica y los servicios de confianza (eIDAS).

6.3 Uso y transmisión de datos por internet

6.3.1 Implantación de medidas de seguridad en webs y aplicaciones online de la empresa

Ver apartado 8.18

6.3.2 Información sobre el uso de internet en la empresa

Se debe facilitar la siguiente información a los usuarios para que utilicen correctamente internet en los recursos de la empresa:
Navegar por sitios de confianza. Para proteger los datos que se envían a través de webs, aplicaciones online públicas, se debe verificar que existan protocolos https://. Además, los navegadores habitualmente muestran un icono con el símbolo de un candado cerrado que indica que existe un protocolo de envío de paquetes de datos cifrados.

Uso laboral. Los usuarios sólo deberán buscar o acceder a información en internet cuando sea necesario para cumplir con el desempeño profesional de su actividad laboral. Se debe tener en cuenta que muchas páginas de internet contienen malware que pueden descargarse en nuestros equipos y comprometer los sistemas de información de nuestra organización. Por tanto, no deben navegar para acceder a información con motivos personales, puesto que ello, implicaría, un tráfico innecesario para la actividad laboral, y presentaría mayores riesgos de infecciones de malware.

Cierre de sesión. Cuando sea necesario que abrir una sesión en una web o aplicación online debemos asegurarnos de cerrarla al finalizar. Se debe pulsar en el botón habilitado que normalmente se denominará “cerrar” o “salir”, no es suficiente cerrar la web o aplicación.
Limitación de la navegación. Se podrá limitar el acceso a internet o a ciertas páginas, o bien, permitir sólo algunas.

Realización de inspecciones aleatorias. Se podrán realizar inspecciones aleatorias sobre el uso de internet en los equipos y dispositivos informáticos, que permitirán al administrador de sistemas conocer qué usuario ha utilizado internet, el día y la hora de las sesiones, sitios webs que se han visitado y descarga de información.

No utilizar el servidor. No se deben hacer búsquedas por internet desde el servidor.

No instalar aplicaciones chat. No utilizar chat para acceder a debates, puesto que disponen de utilidades que permiten accesos no autorizados al sistema.

Cumplimiento de propiedad intelectual. Verificar que cualquier archivo descargado de internet deberá cumplir con las normativas de propiedad intelectual.

Descargas de archivos y software. Las descargas de archivos o de software sólo deben producirse de sitios confiables puesto que podrían llevar asociada algún malware, si existe alguna duda de debe comunicar al responsable informático.

Licencia de software. Verificar que el software descargado de internet tiene licencia de uso para la organización.

6.4 Uso y transmisión de datos por correo electrónico

6.4.1 Implantación de medidas de seguridad en el servicio de correo electrónico

Además de las medidas de seguridad que se deben exigir al prestador de servicios de hosting de correo electrónico y que están recogidas en el apartado 8.18, se deben establecer las siguientes:

• Se recomienda contratar un filtro antimalware en el hosting. Se puede reforzar la seguridad contratando un filtro antivirus y antispam directamente con la empresa prestadora de servicios de hosting, de manera que el malware sea atajado antes de que llegue a la bandeja de entrada del cliente de correo.
• Verificar si el proveedor realiza periódicamente copias de seguridad. En el caso de que no las haga el proveedor, deberá encargarse la empresa.
• Cifrado del contenido de los mensajes enviados y recibidos por correo electrónico. Para ello se puede utilizar el software GPG4win que permite el cifrado de archivos y correos electrónicos en el entorno Windows mediante las infraestructuras de claves públicas y privadas, denominado cifrado asimétrico. Este programa contiene distintos complementos, pudiéndose utilizar estos dos al menos:
  • Kleopatra. Esta herramienta permite crear certificados que incluirán una clave pública que es la que se debe compartir con el remitente que va a enviarnos el mensaje cifrado, y una clave privada, que es la que permitirá descifrar el mensaje.
  • GpgOL. Es un plugin del gestor de correo Outlook que permite cifrar y descifrar correos.

  Más información en el artículo de la Oficina de Servicio al internauta: https://www.osi.es/es/actualidad/blog/2019/07/31/como-encriptar-y-proteger-tu-correo-electronico

• Utilización de extensiones en los navegadores. Mailvelope, es una extensión para los navegadores Chrome y Firefox que se puede utilizar con determinados servicios de correo y permite el cifrado de los mensajes utilizando también una clave pública y otra privada.
  Más información en https://www.mailvelope.com/es/help
• Herramientas de Outlook para PC. En esta web se puede conocer cómo enviar mensajes con Outlook, así como recibirlos. https://support.microsoft.com/es-es/office/enviar-ver-y-responder-a-mensajes-cifrados-en-outlook-para-pc-eaa43495-9bbb-4fca-922a-df90dee51980
• Cifrado del canal de comunicaciones de los mensajes enviados y recibidos. El canal de comunicaciones para el envío y recepción de mensajes se puede cifrar mediante el uso de certificados SSL y TLS, de manera que si un tercero lo intercepta no podrá leerlo. Además, se deberán utilizar los puertos de entrada y salida seguros, que generalmente son:Servidor de entrada IMAP – Puerto 993
  Servidor de entrada POP3 – Puerto 995
  Servidor de salida SMTP – Puerto 465
• Cifrado de comunicaciones en el cliente de pc Outlook. Para ello se debe ir a la configuración de la cuenta de correo y elegir en los servidores de entrada y salida la conexión SSL/TLS.
• Cifrado de comunicaciones en webmails. Se debe seleccionar el certificado SLL/TLS desde las opciones de configuración del servidor de correo. Para comprobar que está activo, se debe observar si la url utiliza el protocolo htpps. Ejemplo en cuentas de Gmail: https://support.google.com/mail/answer/7126229?hl=es
• Cifrado de comunicaciones en dispositivos Android. En la configuración de cada cuenta del cliente de correo electrónico (gestor de correo), hay que dirigirse al menú de mensajes entrantes, en ajustes de entrada se debe elegir el tipo de seguridad SSL/TLS. En el menú de mensajes salientes, se elegirá en ajustes de salida este mismo tipo.
• Cifrado de comunicaciones en dispositivos IOS. Se debe ir a “ajustes”, en la opción de correo se debe seleccionar la cuenta y en las opciones de configuración de mensajes entrantes y salientes, hacer click en “avanzadas” y a continuación seleccionar “usar SSL”. Más información en https://support.apple.com/es-es/HT202304.
• Configuración de normas en los gestores de correo. Los servidores se pueden configurar de manera que se creen normas que impidan el envío o recepción de mensajes de correo electrónicos con archivos adjuntos, o bien con algunos determinados, por ejemplos imágenes, pdf, vídeo, música … Se podrían personalizar avisos en pantallas emergentes informando al usuario que no envía o recibe el archivo porque carece de permisos.

Los gestores de correo en servidores (webmail) tienen opciones de configuración avanzada que también incluyen normas para los archivos adjuntos. Los archivos con datos de carácter personal confidenciales y/o sensibles deberían enviarse de manera cifrada, por el ejemplo las nóminas de los empleados.

• Utilizar plataformas de envío de enlaces. Para enviar documentación por correo electrónico se recomienda hacerlo mediante enlaces que dirijan al usuario a un servidor remoto donde podrán descargárselo. Ese servidor remoto puede ser una nube pública o privada, que puede situarse en los locales de la empresa si se desea. Una de las ventajas de enviar enlaces es que el emisor puede ejercer un mayor control sobre los archivos enviados, si por ejemplo ha cometido un error enviándoselo a un destinatario equivocado podrá cancelar el vínculo del enlace al documento, evitando una posible vulneración del deber de secreto profesional.
• Una buena herramienta para enviar archivos adjuntos es el software con licencia libre nextcloud, que permite la sincronización de carpetas de nuestro equipo con el servidor, y además podemos intercambiar archivos protegidos con contraseña con otras personas. Con esta herramienta podemos almacenar la información no sólo en la nube como otros programas, por ejemplo, Google Drive o Dropbox, sino que además podemos hacerlo en nuestro servidor privado, permitiéndonos cifrar toda la información.
  • Otra plataforma recomendable es saas-box con la que se puede compartir documentos con los clientes en un entorno seguro sin necesidad de enviar correos electrónicos, además sus servidores están alojados en Madrid replicándose en Barcelona.
  • Utilización de contraseñas muy seguras. Se deben establecer contraseñas robustas tal y como se indica en los procedimientos de gestión de contraseñas. Además, se recomienda comprobar que no han sido filtradas, en esta misma sección existe información sobre cómo realizarlo.
  • Almacenamiento de contraseñas cifradas. Se debe exigir al prestador de servicios que las contraseñas de los clientes de correo se almacenen cifradas.
  • Configuración de los programas de gestión de correo evitando el envío de mails sin copia oculta. Los gestores de correo electrónico que utilicen cuentas desde las que se prevé enviar mensajes masivos a múltiples destinatarios deben configurarse de manera que se evite el error del usuario de utilizar la opción CC, en vez de utilizar la opción CCO, con copia oculta, de manera que las direcciones de los destinatarios sean visibles para el resto.

Es común que el usuario, bien, por falta de formación, o bien por error, envíe correos masivos utilizando la opción CC, vulnerándose el principio de confidencialidad señalado en el artículo 5.1.f del RGPD.

Una posible solución es utilizar la plataforma de envío de mailing “Mailchimp”, cuyo funcionamiento a través de listas de distribución predeterminadas evita el envío por error de mails sin copia oculta. También, es posible configurar otros clientes de correo de manera que la opción de envío CC no esté visible para el usuario y sea más difícil utilizarla.

• Utilizar programas de gestión de correo en modo confidencial, o con posibilidad de deshacer el envío. Determinados clientes de correo permiten deshacer un envío si ha transcurrido un breve espacio de tiempo, por ejemplo, Gmail, permite la cancelación de envíos en periodos de 5, 10, 20 o 30 segundos.

Además, Gmail también tiene la opción de envío en modo confidencial, de manera que se puede configurar los envíos de mensajes eligiendo una fecha de vencimiento y una contraseña que se enviará el receptor del mensaje para su apertura.

En el siguiente enlace puede obtener más información sobre cómo realizar este tipo de envíos: https://support.google.com/mail/answer/2819488?co=GENIE.Platform%3DDesktop&hl=es#

• Permisos de usuarios estándar para navegar por internet. Se recomienda que los usuarios usen internet con permiso de usuario estándar y no de administrador, de esta forma se reduciría el riesgo de los malware que puedan ser encontrados durante su sesión.

6.4.2 Información sobre el uso del correo electrónico en la empresa

La empresa podrá asignar una cuenta de correo electrónico al trabajador con el objeto de facilitar las tareas laborales. En ocasiones, puede que se asigne una cuenta de correo electrónico a un departamento que podrán usar varios trabajadores, con el objeto de que los mensajes recibidos estén siempre atendidos.

Se debe hacer un uso responsable del correo electrónico garantizando la confidencialidad e integridad de las comunicaciones. Por este motivo, se deben establecer las siguientes normas de utilización del correo electrónico debiéndose informar obligatoriamente a los usuarios:

• Uso estrictamente laboral. Los usuarios sólo deberán utilizar las cuentas de correo electrónico con fines de trabajo prohibiéndose el uso personal. Si se permitiera el uso personal del correo podría ocurrir que llegaran más correos no deseados algunos con contenidos de malware que pueden comprometer los sistemas de información de la empresa. El uso del correo electrónico con fines personales está prohibido, y por tanto el usuario no puede albergar ninguna expectativa de privacidad.
• No utilizar cuentas de correo personales. Evitar utilizar el correo electrónico personal en los dispositivos de la empresa y nunca para fines profesionales.
• Prohibición de crear cuentas gratuitas para uso corporativo. Este tipo de cuentas no permiten tener el control sobre los datos que se envían por correo electrónico, se producirán transferencias internacionales de datos a países que no gozan de un nivel adecuado de protección de datos, y los prestadores de servicios de esas cuentas no formalizarán el contrato entre Responsable y Encargado de Tratamiento que resulta exigible según lo señalado en el art. 28 RGPD.
• No enviar comunicaciones publicitarias sin autorización. Únicamente se podrán enviar correos publicitarios desde las cuentas y usuarios que previamente hayan sido autorizados. Además, habrá que tener en cuenta si se cumplen algunos de requisitos para que el tratamiento de datos personales sea lícito, tal y como recoge el art. 6 del Reglamento General de Protección de Datos (RGPD), así como cumplir con el art. 21 de la Ley de Servicios de la Sociedad de la Información (LSSI) que indica que los correos electrónicos deberán ser consentidos por el interesado (persona física o jurídica), o bien, se deberá haber tenido alguna relación contractual, todo ello. Si desea más información sobre el envío de comunicaciones comerciales pulse aquí.
• Realización de inspecciones. La empresa podrá monitorizas las cuentas de correo electrónico que sean sospechosas de realizar un mal uso. Se debe informar al usuario de que el administrador de las cuentas de correo dispone de herramientas que permiten conocer la actividad y trazabilidad del correo electrónico.
• Descargas de archivos. Las descargas de archivos sólo deben producirse de remitentes conocidos, puesto que podrían llevar asociada algún malware, si existe alguna duda de fiabilidad debe contactar con el responsable informático.
• Envío y descarga de archivos ejecutables. En la medida de lo posible debe evitar enviar archivos de Word, Excel y otros que impliquen la ejecución de un programa al abrirlos, puesto que pueden contener malware. De la mima manera, si se reciben archivos de este tipo se tiene que tener muy claro que se conoce al remitente, y que no existe suplantación de identidad. En lugar de utilizar este tipo de formato es conveniente utilizar el pdf.
• Eliminar spam. Los spams, o correos electrónicos no deseados, deben eliminarse inmediatamente o enviarse a la bandeja de correos no deseados.
• Correos sospechosos. Los correos electrónicos sobre los que se tenga alguna de duda de fiabilidad nunca deben ser abiertos. Se debe comunicar al responsable informático para que estudie si es seguro. Si no se dispone de departamento informático deberá ser analizado por el antivirus, se deberá visualizar el encabezado del mismo, así como ponerse en contacto con el remitente con el objeto de verificar si ha sido él quien lo ha enviado. De esta forma se podrá comprobar si existe una suplantación de identidad.
• No responder a correos no solicitados. Si se responde a estos correos, el remitente podría conocer que ha sido leído y provocará que reciba mayor número de correos no deseados.
• Registrar el email sólo en webs confiables. No se debe indicar la cuenta de correo electrónico en webs que tengan dudosa reputación, podríamos recibir spam.
• Enviar correos a varios destinatarios con copia oculta. Cuando se envíen correos de forma simultánea a varios destinatarios, se debe realizar utilizando la opción CCO que no permite que las direcciones de correo se muestren a los destinatarios. De no ser así, se estaría incumpliendo el artículo 5.1 letra f del Reglamento General de Protección de Datos (RGPD) relativo al principio de confidencialidad, así como el art. 32 letra b RGDP sobre la seguridad del tratamiento.
• No reenviar direcciones de correo a otros destinatarios. Cuando un correo electrónico vaya a ser reenviado, se deberán borrar las líneas de contienen las direcciones de correo de los remitentes iniciales. A veces será necesario hacerlo para no comprometer el deber de confidencialidad y también para evitar la posible propagación de malware, pues puede ocurrir que los destinatarios de datos tengan algún virus en su equipo y utilicen todos los e-mails que lleguen para propagarlo.
• Envío de información de forma segura. Valorar la tipología de información que se envía por correo electrónico, estableciendo las medidas de seguridad necesarias, si la información es sensible se deberá enviar cifrada.
• Cadenas de correos. No enviar mensajes en cadena ni de tipo piramidal. No enviar a través del correo electrónico información y/o archivos adjuntos sin establecer las medidas de seguridad necesarias para no poner en peligro la confidencialidad de los datos de carácter personal.
• No acceder a los mensajes de otros usuarios. Se prohíbe leer, copiar o modificar los mensajes de otros usuarios.
• Cierre de sesión. Después de abrir el buzón de correo electrónico a través de una web, sobre todo en si es en un sitio público, resulta necesario cerrar la sesión del usuario, si únicamente cerramos la ventana, el buzón permanecerá abierto y estará expuesto a mayores amenazas.
• Atención del correo por otros usuarios en vacaciones. Se recomienda incorporar un mensaje de respuesta automática en la cuenta del correo electrónico de la persona que está de vacaciones indicando la dirección de correo electrónico de otros compañeros que podrán atender las peticiones recibidas. En ocasiones también puede ser razonable dirigir los correos entrantes a aquellas cuentas de los usuarios que puedan atenderlas, pero en todo caso el usuario que esté de vacaciones debe conocerlo con suficiente antelación. Si se opta porque otro usuario tenga acceso directo al buzón del compañero que se ausenta por vacaciones, éste deberá consentirlo expresamente dejando constancia de ello.

6.5 Uso de redes inalámbricas públicas

Las redes wifi públicas tienen vulnerabilidades que pueden ser aprovechadas por ciberdelincuentes para acceder a nuestros dispositivos. Suele ser común la utilización de suplantaciones de identidad para cometer estafas o robar información. Imaginemos que nos encontramos en la estación de tren de Madrid, y en nuestro portátil nos aparece una red wifi denominada RENFE Atocha Madrid. Aparentemente podríamos confiar en una red que entendemos que es de la Estación de Tren de Madrid, sin embargo, podría ocurrir que esta red hubiera sido creada por un estafador, con el objeto de interceptar el tráfico de datos que se envían desde los dispositivos que se conecten a la misma. Por tanto, debemos evitar conexiones a redes inalámbricas públicas con dispositivos de trabajo, por ejemplo, hoteles, restaurantes, aeropuertos, Información que debe facilitarse a los usuarios que tengan que conectarse a wifis públicas:

En el supuesto de que los usuarios que trabajen desde fuera de los locales de la empresa tengan que conectarse a wifis públicas deben comprobar que se utiliza el protocolo WPA2. De todas formas, siempre deberán conectarse a través de una VPN.

Los dispositivos que tengan funcionalidades que permitan la conexión a redes wifi deben tenerla inactivas por defecto, y sólo deben activarse cuando se necesite.

6.6 Utilización de redes VPN en comunicaciones externas

• En conexiones de soporte.
  Cuando resulta necesario que una persona preste un servicio técnico informático. Generalmente se utilizan VPN de software. Uno de los programas de conexión remota más utilizados es TeamViewer que utiliza una VPN integrada en la propia aplicación.
• En conexiones de los usuarios.
  De aquellos usuarios que tengan que conectarse a la red de la empresa desde sus portátiles o teléfonos móviles, podría configurarse la VPN del sistema operativo, o bien, utilizar aplicaciones informáticas que prestan servicios de VPN. En los smartphone, existen APP que permiten conexiones VPN, tanto en aquellos con sistema operativo Android como Ios.
• En conexiones desde redes públicas.
  Cuando utilicemos redes públicas, por ejemplo, una wifi de un aeropuerto, si un usuario desea conectarse a internet debe hacerlo utilizando la VPN de su dispositivo, para asegurarse de que nadie intercepta la información que consulta o los datos que intercambia.
• En conexiones entre delegaciones.

En conexiones entre delegaciones de una misma empresa donde habrá una mayor transmisión de datos, se utilizarán VPN de hardware dedicados.

Las conexiones por VPN pueden ser realizadas entre routers, a través del firewall, y también a través de entornos móviles cuando la IP del punto donde termina la VPN no es fija.

No todas las VPN pueden ser de confianza, no elegir aquellas que sean gratuitas, se debe conocer previamente bajo qué condiciones se instala en nuestra red, si es compatible con nuestro sistema, y si el cifrado es de extremo a extremo. Además, se deben tomar algunas precauciones, como utilizar criterios adecuados de identificación y autenticación cumpliendo con el procedimiento establecido de gestión de accesos contraseñas de la empresa, configurando el sistema de modo que si se deja de utilizar un tiempo concreto se desconecte.

Un servicio que puede ser recomendable es el de CyberGhost, que tiene servidores VPN ubicados en Madrid y Barcelona que también permiten ocultar la dirección IP, y son compatibles para entornos Windows, MacOs, iOs, Linux y también para routers.

6.7 Uso de plataformas de mensajería instantánea

Sólo se podrán descargar las Apps de mensajería instantánea que se hayan autorizado por la organización.

Utilizar Apps que garanticen el cumplimiento de las normativas de protección de datos (RGDP y LOPDGDD). La plataforma WhatsApp dispone de la versión App Bussines que cumple con la citada normativa y disponen de utilidades que ayudan a cumplirlo.

Obtener los consentimientos de los interesados para incluirlos en grupos.

Obtener los consentimientos de los interesados para enviarles información comercial.

Es importante no enviar información confidencial por este medio, y se debe tener especial vigilancia a la suplantación de identidades.

Para obtener más información de WhatsApp Business pulse aquí.

Los mensajes de Whatsapp están cifrados de extremo a extremo garantizando que sólo el emisor y receptor del mensaje pueda leerlo, además una vez que se entregan los mensajes Whatsapp no almacena datos en sus servidores. Para obtener más información pulse aquí.

6.8 Uso del Fax

Antes de enviar un fax con información confidencial debemos asegurarlos que el destinatario está situado junto al terminal para recogerlo de manera inmediata.

6.9 Uso de plataformas de Webconferencia

La utilización de aplicaciones de videollamadas puede presentar riesgos, sobre todo por su uso masivo como consecuencia del aumento del trabajo a distancia provocado por la pandemia del Covid-19. Generalmente cuanto más se utilizan ciertos servicios digitales más son los ciberdelincuentes que quieren atacarlos porque entienden que pueden tener más oportunidades de conseguir sus objetivos.

Se pueden dar distintos potenciales escenarios de riesgo por ejemplo, cifrados inseguros, personas que se hacen pasar por participantes con el objeto de extorsionar y sobrecargas del servicio entre otros, puede consultar otras vulnerabilidades comunes que pueden presentan estas plataformas en Incibe.

También se pueden consultar las recomendaciones que Incibe propone para minimizar estos riesgos.

Además, la oficina de Seguridad del Internauta ha publicado un artículo (11/05/2020) donde se pueden observar las medidas de seguridad de las principales plataformas de Webconferencia.

A continuación, se relacionan un conjunto de procedimientos de seguridad que contienen medidas que se pueden desarrollar, ampliar o reducir según las necesidades de la empresa. Se pueden tomar como referencia para proteger los ficheros y así poder cumplir con lo señalado en el art. 32 de Reglamento General de Protección de datos (RGPD), que versa sobre la seguridad del tratamiento de datos. Pulse en cada una de ellas para obtener más información.

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.