“PREVENCIÓN DE CIBERRIESGOS LABORALES EN EL MARCO DE LA ADMINISTRACION PÚBLICA Y LA EMPRESA PRIVADA”
Autor: Adrián Giménez Pérez. Técnico Superior en Prevención de Riesgos Profesionales. Graduado en Criminología. Máster en Análisis y Prevención del Crimen. Doctorando en Criminología. Agente de Policía Local
RESUMEN:
Recientemente, han sido eco en los medios de comunicación diversos casos sobre ciberataques tanto a empresas como Administraciones Públicas, como entre otros, el suceso de la Ciudad de Justicia de Valencia capital o la sede central de Telefónica en el distrito C de Madrid.
Lamentablemente, cada vez sufren más ciberataques las empresas y la Administración Pública. De hecho, según el periódico digital El Confidencial (2017) “España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a internet, la mayoría sin protección”.
En este sentido, mediante el presente artículo pretendo contribuir con mi granito de arena a fomentar tanto la conciencia sobre la importancia de la ciberseguridad como la cultura preventiva en el ámbito de los ciberriesgos laborales de los trabajadores (asalariados, autónomos, funcionarios…), empresas y Administraciones Públicas.
INTRODUCCIÓN. –
La Constitución Española de 1978 (CE, en adelante), contempla en su artículo 40 que: “(…) los poderes públicos velarán por la seguridad e higiene en el trabajo (…)” (p.29320).
En este sentido, el Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, en su artículo 4.2, establece que: “En la relación de trabajo, los trabajadores tienen derecho: d) A su integridad física y a una adecuada política de prevención de riesgos laborales. (…)” (p.100231).
En lo atinente al ámbito de las Policías Locales, al igual que en otras leyes de coordinación de policías locales pertenecientes a las diversas Comunidades Autónomas del territorio español, la Ley 6/99, de 19 de abril, de la Generalitat Valenciana, de Policías Locales y de Coordinación de las Policías Locales de la Comunidad Valenciana, en su artículo 47, contempla entre los derechos de los miembros de los Cuerpos de Policía Local, el derecho a “una adecuada protección de la salud física y psíquica” (p.19575).
Así las cosas, debemos abordar los conceptos básicos clave de ciber, prevención, riesgo y laboral, respectivamente, establecidos en el Diccionario de la Real Academia Española (en adelante, RAE):
- Ciber: “Indica relación con redes informáticas” (RAE, 2014).
- Prevención: “Acción y efecto de prevenir. Preparación y disposición que se hace anticipadamente para evitar un riesgo o ejecutar algo (entre otras).” (RAE, 2014)
- Riesgo: “Contingencia o proximidad de un daño (entre otras)” (RAE, 2014).
- Laboral: “Perteneciente o relativo al trabajo, en su aspecto económico, jurídico y social” (RAE, 2014).
En lo atinente al concepto de prevención, cabe señalar que la Ley 31/95, de 8 de noviembre, de Prevención de Riesgos Laborales (en adelante LPRL), contempla en su artículo 4 apartado 1º, que: “Se entenderá por prevención el conjunto de actividades o medidas adoptadas o previstas en todas las fases de actividad de la empresa con el fin de evitar o disminuir los riesgos derivados del trabajo” (p.32593). No obstante, la LPRL, en su artículo 4, apartado 2º, contempla la definición de riesgo laboral, así: “Se entenderá por riesgo laboral la posibilidad de que un trabajador sufra un determinado daño derivado del trabajo. Para calificar un riesgo desde el punto de vista de su gravedad, se valorarán conjuntamente la probabilidad de que se produzca el daño y la severidad del mismo” (p.32593).
FUNDAMENTOS DE HECHO.
Actualmente, existen numerosos puestos de trabajo tanto en la Administración Pública como en el ámbito de la empresa privada, que utilizan día a día las Tecnologías de la Información y Comunicación (TIC, en adelante), tales como ordenadores, tabletas y teléfonos móviles, interactúan con Internet enviando WhatsApp, correos electrónicos, etc. Sin embargo, a pesar de los peligros existentes en Internet, no se ha generado todavía una cultura preventiva en este ámbito laboral, puesto que cualquier usuario de las TIC está expuesto a ser víctima de extorsión, engaños, estafas, insultos, amenazas, coacciones, vulneración de la privacidad personal o confidencial de la empresa, robo de contraseñas, usurpación de identidad, robo de datos bancarios, acoso en la red, en su caso, etc., hechos que podrían provocar daños y repercutir severamente en la salud psíquica de los trabajadores tanto hombres como mujeres.
Por los argumentos de hecho expuestos, entiendo desde tanto desde una perspectiva criminológica como prevencionista, las empresas públicas y privadas, deberían concienciarse en este aspecto y formar a sus empleados que manejen o utilicen los dispositivos reseñados con motivo de su relación laboral. De hecho, la formación será la mejor herramienta para combatir los ciberriesgos laborales en este ámbito, puesto que éstos podrían vulnerar un bien jurídico protegido, la salud psíquica de los empleados.
El Instituto Nacional de Ciberseguridad (INCIBE, en adelante), el 11 de agosto de 2014 publicó en el blog de su web un decálogo de concienciación para empleados sobre la ciberseguridad en la empresa, siendo éste en síntesis el siguiente:
- PUESTO DE TRABAJO:
- Mantén la mesa limpia de papeles que contengan información sensible.
- Bloquea la sesión de tu equipo cuando abandones tu puesto.
- DISPOSITIVOS:
- No modifiques la configuración de tus dispositivos.
- No instales aplicaciones no autorizadas.
- No conectes dispositivos USB no confiables.
- Establece una clave de acceso y la opción de bloqueo automático en tus dispositivos móviles.
- USO DE EQUIPOS NO CORPORATIVOS:
- No manejes información corporativa en equipos públicos.
- Si accedes al correo corporativo desde tu equipo personal no descargues ficheros al equipo.
- FUGAS DE INFORMACION:
- No facilites información sensible si no estás seguro de quien es el receptor de la misma.
- Destruye la información sensible en formato papel. No la tires a la basura.
- No mantengas conversaciones confidenciales en lugares donde puedan ser oídas por terceros.
- GESTION DE CREDENCIALES:
- No compartas tus credenciales de acceso (usuario y contraseña).
- No utilices tus credenciales de acceso corporativas en aplicaciones de uso personal.
- No apuntes tus credenciales en lugares visibles.
- NAVEGACION:
- Evita acceder a páginas web no confiables.
- No pinches en enlaces (links) sospechosos. Procura escribir la dirección en la barra del navegador.
- CORREO ELECTRÓNICO:
- Elimina todo correo sospechoso que recibas.
- Evita los correos en cadena (reenvío de correos que van dirigidos a un gran número de personas).
- PROTECCION DE LA INFORMACION:
- Realiza copias de seguridad de aquella información sensible que sólo esté alojada en tus dispositivos.
- VIAJE SEGURO:
- Procura no trasportar información sensible en dispositivos extraíbles. Si lo haces, cifra la información.
- No manejes información sensible en redes WIFI no confiables.
- ERES SEGURIDAD:
- Si detectas cualquier actividad sospechosa o un funcionamiento anómalo de tu equipo avisa al departamento de seguridad.
No obstante, según el INCIBE (2016) el empresario tiene que tener presente lo siguiente:
(…) cuando se contrata un empleado y al menos una vez al año, debemos recordarle cómo han de proteger los recursos de la empresa, entre ellos la información, los sistemas y equipos informáticos, los móviles o portátiles de empresa, los pendrives, los servicios en la nube, la página web, las redes sociales, etc.
Informar al empleado de los usos aceptables y no aceptables, por ejemplo, con estas políticas, normativas y buenas prácticas:
FUNDAMENTOS DE DERECHO.
El artículo 14 de la LPRL que lleva por rúbrica “Derecho a la protección frente a los riesgos laborales”, contempla que:
Los trabajadores tienen derecho a una protección eficaz en materia de seguridad y salud en el trabajo.
El citado derecho supone la existencia de un correlativo deber del empresario de protección de los trabajadores frente a los riesgos laborales.
Este deber de protección constituye, igualmente, un deber de las Administraciones públicas respecto del personal a su servicio (…).
En cumplimiento del deber de protección, el empresario deberá garantizar la seguridad y la salud de los trabajadores a su servicio en todos los aspectos relacionados con el trabajo (…) (p.32596).
Por otra parte, en lo que respecta a la formación de los trabajadores, concretamente, el artículo 19 de la LPRL establece que:
En cumplimiento del deber de protección, el empresario deberá garantizar que cada trabajador reciba una formación teórica y práctica, suficiente y adecuada, en materia preventiva, tanto en el momento de su contratación, cualquiera que sea la modalidad o duración de ésta, como cuando se produzcan cambios en las funciones que desempeñe o se introduzcan nuevas tecnologías o cambios en los equipos de trabajo. La formación deberá estar centrada específicamente en el puesto de trabajo o función de cada trabajador, adaptarse a la evolución de los riesgos y a la aparición de otros nuevos y repetirse periódicamente, si fuera necesario (…) (p.32597).
CONCLUSIONES. –
En virtud de los fundamentos de hecho y de derecho expuestos en el presente artículo, es más que evidente, que es necesaria la formación en materia de ciberseguridad para los trabajadores cuyo puesto tenga relación con las TIC o en determinadas ocasiones deban saber utilizarlas, en su caso, para evitar ser víctima de los ciberdelincuentes y en prevención de posibles riesgos psicosociales en el ámbito del ciberespacio. Es decir, que al igual que se imparte a trabajadores formación en materia de prevención de riesgos laborales sobre pantallas de visualización de datos, riesgos eléctricos, etc., las empresas tanto públicas como privadas, así como los trabajadores autónomos, a través de sus servicios de prevención ajenos o propios, en su caso, deberían plantearse la posibilidad de solicitar la impartición de formación en materia de ciberseguridad y/o prevención de ciberriesgos psicosociales en aras a fomentar una cultura preventiva en el marco de la Administración Pública y la empresa privada.
También debemos tener presente que el trabajador es la pieza clave en la ciberseguridad, puesto que por muy bien formado que esté sino pone en práctica lo aprendido, por mucho que la empresa invierta en sistemas de seguridad en el ámbito de las TIC, poco podremos hacer frente a los ciberataques que suframos. Por ello, los trabajadores deben ser conscientes de que los ciberriesgos les pueden afectar tanto a ellos como a la empresa, motivo por el cual es necesario potenciar la prevención de ciberriesgos laborales en los puestos de trabajo, en su caso.
REFERENCIAS BIBLIOGRÁFICAS. –
-Constitución Española (Constitución Española de 31 de octubre de 1978). Boletín Oficial del Estado Gaceta de Madrid, nº 311.1, 1978, 29 diciembre.
-El Confidencial (2017, 20 de marzo). La ciberseguridad de la empresa española es un sainete, y los ataques se están disparando. Extraído el 24 de mayo de 2017 desde http://www.elconfidencial.com/tecnologia/2017-03-20/ciberseguridad-industria-espanola-infraestructuras-criticas_1350398/
-Española, Diccionario de la R.A. Edición 23ª. Madrid, 2014. Extraído el 15 de diciembre de 2016 desde http://www.rae.es/recursos/diccionarios/drae
-Ley de la Generalitat Valenciana, de Policías Locales y de Coordinación de las Policías Locales de la Comunidad Valenciana (Ley 6/99, de 19 de abril). Boletín Oficial del Estado, nº 124, 1999, 25 mayo.
-Ley de Prevención de Riesgos Laborales (Ley 31/95, de 8 de noviembre). Boletín Oficial del Estado, nº 269, 1995, 10 noviembre.
-Real Decreto Legislativo por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015, de 23 de octubre). Boletín Oficial del Estado, nº 255, 2015, 24 octubre.
-INCIBE (2014, 11 de agosto). Decálogo de la concienciación en ciberseguridad en la empresa. Extraído el 22 de mayo de 2017 https://www.incibe.es/protege-tu-empresa/blog/infografia-concienciacion-ciberseguridad
-INCIBE (2016, 14 de diciembre). Prevención de ciberriesgos laborales en el puesto de trabajo. Extraído el 22 de mayo de 2017 desde https://www.incibe.es/protege-tu-empresa/blog/prevencion-ciberriesgos-laborales-el-puesto-trabajo
Prevencionar se reserva el derecho de reproducir o ceder sus contenidos en otros medios, obligándose a citar fuente y autor. Queda expresamente prohibida la reproducción total o parcial de los mismos sin autorización expresa. Prevencionar no se hace responsable de las opiniones expresadas en los artículos y/o entrevistas. Si quieres participar en el apartado artículos y/o entrevistas mandamos un mail a: redaccion@prevencionar.com
El artículo más leído (entre los publicados a lo largo del año 2017, hasta el 30 de septiembre de 2017) recibirá un Premio en el Congreso Prevencionar