El documento habla sobre los nuevos controles y regulaciones necesarios para proteger datos y cumplir con la normativa de protección de datos en el contexto del trabajo remoto y la "nueva normalidad" tras la pandemia. Algunos puntos clave son monitorear la temperatura y condiciones de salud de empleados de forma anónima y con su consentimiento, reforzar la seguridad de redes y equipos remotos, y auditar proveedores de servicios de datos para garantizar el cumplimiento continuo con los nuevos protocolos.
2. 2
Índice de la open class
► Controles técnicos y de monitoreo en el
teletrabajo y la desconexión digital
► Requerimientos para monitorear temperatura
y preguntar condiciones salud de empleados,
clientes y visitantes
► Preparación para nuevos ataques de cyber
seguridad en eCommerce y servicios de
cloud
► Nuevos controles para el due diligence y
monitoreo de procesadores de datos
2
3. 3
Mejores controles técnicos
3
Work from home
anywhere
► Seguridad y
actualización en
VPNs, equipos
incl. módems, y
aplicaciones en la
nube
Fugas de información
► Control de
accesos en
herramientas
colaborativas
Nueva rutina
► Fraudes altamente
direccionados de
phishing
Movilidad de
empleados y activos
informáticos
► Seguimiento de
laptops y
documentación
4. 4
Nueva regulación del teletrabajo en España
4
Controles de cumplimiento
► Seguimiento horario para la asegurar
elegibilidad del 30% en teletrabajo
► Sistema de registro horario
► Nuevas instrucciones de gestión de
datos personales alineada a contratos
► Contratación de servicios de wifi
► Adecuación de programas de formación
a online
► Control del movimiento de la
documentación en papel
5. 5
Nueva regulación del teletrabajo en España
5
Controles de seguridad informática
► Asignación de ordenadores y otros
equipos portátiles sin permiso de
administración > No exigir el uso de
equipos personales
► Seguro de equipos
► Política de uso de activos informáticos
con el derecho a desconexión y
privacidad
► Impedir la conexión con equipos
durante periodos de descanso y jornada
máxima
► Actualizar software VPN, Skype y Zoom
6. 6
Monitoreo de temperatura
6
Deber de garantizar condiciones seguras para
empleados y visitantes
► Baja efectividad en la práctica > Hacer DPIA
► Información de salud dentro de las categorías
especiales para la ley de protección de datos si se
asignan a una persona
► Comunicación del objetivo de la medición
► Evaluación por personal idóneo
► Uso de termómetros sin contacto o cámaras
termográficas con 0,5ºC de precisión con la
resolución adecuada para la distancia en los
accesos y certificadas por la ISO 13485
► Incentivar el auto-monitoreo en los empleados
7. 7
Monitoreo de condiciones de salud
7
Balance entre seguridad laboral y privacidad
en función de los intereses vitales
► Solamente preguntar por síntomas,
diagnósticos recibidos y países visitados
en las últimas 2 semanas
► Anonimizar el reporte interno y externo de
casos
► No preguntas las razones de las bajas
médicas permitiendo el auto-aislamiento
ante sospechas de COVID
► Protocolo para desinfectar lugares de
trabajo de personas infectadas
8. 8
Nuevos controles de cumplimiento
8
► Protocolos de limpieza y
desinfección
► Separaciones físicas para
distancias mínimas
► Limitación de capacidad en
salones
► Proveer equipos de protección
personal
Entrenamiento y auditorias
cumplimiento para el seguimiento de
nuevos protocolos
9. 9
Nuevos tipos de ataques
9
Aumento significativo de la actividad criminal
► Ransomware as a service
► Mayor impacto por ataques de denegación
de servicios
► Dificultad para actualizar antivirus y
sistemas y restaurar datos en ambientes
remotos
► Oferta de herramientas colaborativas
“gratis”
► Menor disponibilidad de especialistas de
seguridad
► Prevenir acceso a PowerShell y las líneas
de comando de aplicaciones remotas
10. 10
Nuevos controles sobre procesadores de datos
10
Auditar los cambios de los proveedores
de servicios informáticos y
procesadores de datos personales
► Eficiencia de los planes de
continuidad
► Aseguramiento de nuevos controles
de los procesadores ante el
teletrabajo
► Monitoreo de la solvencia en la crisis
► Actualizar planes de salida
► Asegurar la certificación de accesos
a la información personal provista