El pasado 12 de noviembre, el Ministerio de Trabajo anunció la puesta en vigencia dela Resolución número 23/2020 sobre la regulación del teletrabajo como modalidad especial de trabajo. La modalidad no es nueva, ahora ha quedado regulada. A la medida que las tecnologías se tornaban más sofisticadas, ganábamos en flexibilidad, pero cada vez más dependientes de la conectividad.
El mutuo acuerdo para implementar la modalidad especial de teletrabajo prevé que los equipos, herramientas y costos operativos para que el colaborador pueda realizar su trabajo deben ser provistos por el empleador. Mientras que la responsabilidad del colaborador es el manejo de la información a la que tenga el acceso. El acceso a la información es mediante el uso de la conectividad y es en este punto que debemos comenzar a prestar atención.
El pasado 30 de noviembre celebramos el Día Mundial de la Seguridad de la Información que surgió en 1988 como consecuencia del primer caso de la propagación en la red de un software malicioso o “malware”, bajo el nombre “Gusano de Morris”, el cual afectó, en ese entonces al 10% de las máquinas conectadas a Internet. Desde entonces, celebramos el día para recordar a las personas y las instituciones la necesidad de proteger los datos de brechas que pueden ocurrir en el uso de la conectividad. Hoy con más de mil millones de computadoras conectadas, un ““ autorreplicable causaría muchos daños.
En los últimos años se ha hecho muy popular otra modalidad de software malicioso que es el llamado “Ransomware” el cual puede causar la molestia de secuestrar la data, lo que se soluciona con un sistema de BackUp bien administrado.
Sin embargo, a finales del 2019, para doblegar a sus víctimas, un grupo de cibercriminales llamado “Maze” implementó algo nuevo: primero transfiere todos los datos a los sistemas de los atacantes y luego piden el rescate. Si las víctimas se niegan a pagar, son amenazadas con la divulgación de sus datos Y DE SUS CLIENTES al mejor postor o la publicación de los datos con un código abierto, dejando que ocurra un leak.
Además del obvio daño reputacional que en este caso sufriría la institución, la responsabilidad, acorde a la Resolución sobre Teletrabajo, pudiera interpretarse que recae sobre el colaborador y cito: “el teletrabajador es responsable de la custodia de la información” y luego más adelante “corresponde al empleador “informar al teletrabajador sobre la protección y el manejo de datos”.
Las tecnologías digitales y la digitalización de la economía han evolucionado los negocios, donde la información fluye continuamente y en tiempo real. LaInteligencia Artificial, la Tecnología Blockchain y las aplicaciones basadas en las nubes están presentes en nuestro diario vivir. En octubre del 2019 la American Bar Association publicó el Reporte Tecnológico, donde señalan que una persona promedio utiliza alrededor de 36 aplicaciones basadas en las nubes en su diario vivir. A la par con las innovaciones tecnológicas, están los desafíos. Las aplicaciones como g-mail, Hotmail, redes sociales y otras más sofisticadas como Servidores Virtuales, etc., se han convertido en el mayor obstáculo para perseguir los cibercriminales por un tema de jurisdicción.
Un estudio de PWC en más de 100 países en el año 2017, reveló que un 44% de los ejecutivos no tenían una estrategia general de seguridad de la información.
La gran incógnita sería si estamos listos para enfrentar todos esos desafíos en República Dominicana y si la Resolución sobre Teletrabajo que quizás viene a suplir una necesidad ante la situación de la pandemia causada por el Covid-19 estaría dejando vulnerables tanto a los empleadores como a sus colaboradores.
Parte de la respuesta está en construir la cultura de ciberseguridad. La cultura de nuestras organizaciones es fundamental. Debe enfatizar, reforzar e impulsar a los líderes a modelar el comportamiento hacia la seguridad. “Cultura” es como hacemos las cosas en nuestras organizaciones y son los líderes los que marcan las pautas. No se requieren profundos conocimientos técnicos. Se requiere de visión, apoyo a la inversión en seguridad y modelar buenos hábitos de seguridad personal.
En cuanto a los colaboradores, al igual que incorporamos los programas y la capacitación con los temas de ética y cumplimiento, es necesario ampliar esos programas para incluir la ciberseguridad. Algunos programas prácticos y otros teóricos. La clave es fortalecer a los empleados a la realidad de las vulnerabilidades. Ningún programa será 100% efectivo, pero puede reducir significativamente el volumen y el impacto de los eventuales ataques. La adecuada gestión de talentos puede impulsar los cambios de cultura, incluyendo incentivos para el manejo de buenas prácticas o freno a ciertas conductas a través de políticas correctivas. Y porque no, utilizar la misma tecnología para reforzar las políticas, como por ejemplo, cambios obligatorios de contraseñas, conexiones remotas a través de puertos seguros, bloquear los sistemas luego de cierto tiempo de inactividad, entre otros.
En el 2018, inició la aplicación del Reglamento General de Protección de Datos de la Comunidad Europea. Estados Unidos cuenta con la Ley de Privacidad de Comunicaciones Electrónicas que protege información personal privada (PPI), entre otras leyes. En República Dominicana contamos con la Ley 172-13 sobre la protección integral de datos personales asentados en los archivos, registros públicos, bancos de datos u otros medios técnicos de tratamientos de datos destinados a dar informes, sean esos públicos o privados. En el sector financiero, la Junta Monetaria aprobó en fecha 1 de noviembre de 2018, mediante la Resolución JM 181101-02, el Reglamento de Seguridad Cibernética y de la Información, pero ese Reglamento solo incluye un segmento de la vida productiva del país.
Como hemos mencionado, la Resolución sobre Teletrabajo indica que “El teletrabajador es responsable de la custodia de la información, tanto de la prevista por el empleador para la ejecución del teletrabajo, como de la generada producto de sus labores.” Se refiere a que deben proteger los datos vulnerables o toda información que no es del dominio público. Es decir, los datos almacenados, en proceso y en tránsito.
En cuanto a la responsabilidad del empleador en dicha Resolución, no es lo mismo, “informar” al teletrabajador sobre el manejo y la protección que entrenarlo y capacitarlo. Ponerlo en la posición de cumplir adecuadamente su responsabilidad. El error humano al usar sistemas de información de manera inadecuada, sigue siendo una de las razones más comunes de un incidente de seguridad cibernética. Además, es necesario definir un plan de respuesta a incidentes para tomar acciones apropiadas cuando ocurre una intrusión o incidente de un tercero a la red privada de la institución o en este caso del colaborador. Dependiendo del nivel de riesgo, se clasifican las respuestas. El propósito principal del programa de respuesta a incidentes es asegurar una recuperación eficiente a través de la erradicación de vulnerabilidades de seguridad y la restauración de sistemas reparados. Si el 44% de los ejecutivos en el 2017 no tenían la estrategia general sobre ciberseguridad, posiblemente el porcentaje de las empresas que contaban con un plan era menor.
En su párrafo Décimo Segundo, la Resolución sobre Teletrabajo establece que para todo lo no previsto en la presente resolución, suplirán el Código de Trabajo y las Convenciones de la Organización Internacional de Trabajo (OIT), rectificadas por la República Dominicana.
La Resolución prevé potenciales conflictos, a primera vista, exclusivamente con los temas laborales, pero como hemos visto, el teletrabajo puede significar una serie de imprevistos que sin recursos legales, pueden dejarnos sin capacidad de dar una respuesta a diferentes situaciones, incluyendo los ciberataques.
Concluyo con las palabras del informe de Foro Económico Mundial sobre Ciberseguridad, lidereado por Benjamin Fung: “A medida que el mundo se vuelve digitalmente más interconectado, será cada vez más difícil mantener la seguridad cibernética.”