Con la pandemia del Corona, muchas personas han recurrido al home office para evitar contagios en la plantilla. Incluso después de la pandemia, una proporción significativa de trabajadores sigue haciendo home office al menos algunos días a la semana. Según cifras de la Oficina Federal de Estadística, el número de personas que trabajan en un despacho en casa casi se ha duplicado, pasando del 12,8% en 2019 al 25% en diciembre de 2022. Mientras tanto, la oficina en casa como parte de los modelos de trabajo flexible ha aumentado mucho en popularidad. Con el aumento del número de personas que trabajan en oficinas en casa, también han aumentado los ciberataques contra ellas. Los ciberdelincuentes cuentan con que los trabajadores desde casa están menos protegidos. Se utilizan contraseñas menos seguras y la susceptibilidad a los ataques de phishing es mayor, advierte Claudia von Pawel, de la aseguradora especializada Hiscox.
Es habitual conectarse a la red de la empresa desde casa a través de una VPN (red privada virtual). Muchos piensan que así pueden trabajar digitalmente con total seguridad, prosigue von Pawel. Pero una infraestructura técnica segura no basta por sí sola. Es igual de importante que cada individuo observe ciertas pautas de comportamiento. Hay que utilizar sistemáticamente contraseñas seguras o adquirir los conocimientos necesarios para desbaratar incluso ataques de phishing o intentos de pirateo muy profesionales realizados por teléfono. En este caso, es imperativo formar a los empleados con regularidad, y la simulación de ataques de phishing también puede ser muy útil para aumentar la comprensión de los empleados.
Cuando se trabaja desde un despacho en casa, existe un mayor riesgo para la información confidencial de la empresa, “las empresas deben imponer a sus empleados mayores deberes de diligencia como medidas razonables de confidencialidad”, afirma el abogado Alexander Leister, del bufete mercantil CMS. “Estas incluyen, por ejemplo, utilizar un antivirus actualizado, mantener los documentos a salvo y cerrar la sesión al dejar el ordenador”, añade Leister. El aumento del deber de diligencia debe regularse específicamente en un acuerdo independiente sobre el trabajo desde casa.
Otra cosa que no debe ignorarse cuando se trabaja en una oficina en casa es el GDPR. Cabe suponer que casi todos los empleados manejan datos personales. Además de nombres, esto incluye números de teléfono, direcciones de correo electrónico, datos de cuentas, números de personal o direcciones IP, según Haye Hösel, directora general y fundadora del especialista en protección de datos y seguridad informática HUBIT Datenschutz. En primer lugar, el estudio debe poder cerrarse con llave y los documentos deben guardarse en un armario con cerradura. “Los portátiles, los PC y los soportes de datos externos, como las memorias USB, también deben estar encriptados o bajo llave”, afirma Hösel. Si los empleados utilizan dispositivos privados en la oficina doméstica, debe determinarse en qué medida. Debe garantizarse, por ejemplo, que el sistema operativo y la protección antivirus estén al día, es decir, que las actualizaciones de seguridad sigan siendo suministradas por el fabricante.
Otras normas aplicables son que los empleados sólo puedan acceder a la red de la empresa a través de una contraseña segura y que la comunicación por correo electrónico sólo pueda tener lugar a través del servidor de la empresa y, por tanto, esté cifrada. Para garantizar la seguridad de la red de la empresa mediante el acceso desde el exterior, además del uso común de VPN, existe ahora también un desarrollo posterior, Zero Trust Network Access o ZTNA. En este caso, el acceso no se concede a toda la red de la empresa, como con una VPN, sino sólo a determinadas aplicaciones o recursos. El acceso sólo se concede una vez que los usuarios han sido autenticados por el servicio ZTNA. Tras la autenticación, los usuarios pueden acceder a las aplicaciones respectivas a través de un túnel seguro y cifrado. Si se realizan videoconferencias en lugar de reuniones tradicionales, es importante, por supuesto, garantizar también aquí un cifrado profesional, para que no pueda filtrarse ninguna información confidencial.