CAUTELAS EN EL USO DE “WHATSAPP”, “GOOGLE DRIVE”, “DROPBOX”, Y OTROS, EN LAS EMPRESAS

IRENE3   Artículo de Irene LÓPEZ, Socia-Directora

Estamos en tiempos de ciberataques y las empresas invierten recursos en la protección de sus sistemas de información. Pero el día a día nos demuestra que los usuarios de estos sistemas tienen a su alcance una serie de herramientas cuyo uso puede resultar una amenaza para la seguridad y confidencialidad de los datos de la empresa.

Deben detectarse vulnerabilidades evidentes, como lo son el uso de aplicaciones de mensajería instantánea o de servicios en la nube (“cloud”) que se han popularizado entre los usuarios a nivel particular y cuya utilización se extiende en las empresas comprometiendo la seguridad de éstas.

Pongamos como ejemplo el uso de WhatsApp por parte de los empleados de una empresa como vía de comunicación con clientes, otros empleados, colaboradores… transmitiendo, a través de este canal, información privada o datos importantes del negocio. WhatsApp tiene serias deficiencias frente a la privacidad y la seguridad; pero, sin embargo, se llega a ofrecer a los clientes como alternativa para el envío de información.

Pensemos también en el uso de servicios de almacenamiento de datos en la nube como Google Drive y Dropbox. Desde el punto de vista de protección de datos personales, cualquier empresa sujeta al cumplimento de esta normativa es responsable del tratamiento de los datos de sus clientes, clientes potenciales… Por lo tanto, al almacenar estos datos en servicios como Google Drive y Dropbox, la empresa debe suscribir con los proveedores el correspondiente contrato de encargado del tratamiento conforme al artículo 12 de la LOPD, hecho que -normalmente- no se lleva a cabo. Además, en las condiciones del servicio que estos proveedores facilitan, prevén la modificación de éstas de modo unilateral por su parte y en cualquier momento, y no concretan el uso que se da a los datos, ni el destino de la información una vez finalice el servicio. Estos servicios, a priori, presentan ciertas garantías de cumplimiento de la normativa de protección de datos, como su adhesión al acuerdo US-EU-Safe Harbor y certificaciones sobre medidas de seguridad (ISO 27001); pero la deslocalización de los datos (ya que en sus políticas se prevé la posibilidad de almacenar información en cualquier parte del mundo) supone una pérdida de control de la información por parte de la empresa. La ausencia de auditorías de protección de datos personales, que establezcan la conformidad de las medidas de seguridad que establece el Reglamento de la LOPD, hace que estos servicios presenten carencias que pueden afectar a la seguridad y confidencialidad de la información almacenada.

Por lo tanto, hay que reflexionar a la hora de compartir documentos relevantes, datos de carácter personal o información que pueda comprometer el negocio en este tipo de aplicaciones o servicios, y determinar qué otras herramientas se encuentran en el mercado para cubrir las necesidades de la empresa y que presentan menos riesgos para nuestro negocio, tras el estudio de las opciones de privacidad y seguridad que nos ofrecen.

Es indudable la necesidad de formar al usuario, que también debe aprender a protegerse y ser consciente de que la seguridad en el negocio depende también de él mismo, además de establecer -por la empresa- normas internas de uso de los recursos informáticos y llevar a cabo un control sobre su cumplimiento.

@IreneLL6

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *