L’escenari del teletreball com a nova forma d’organització
L’organització del treball és un element crucial per a les societats. Constitueix un element que condiciona com les entitats s’estructuren i es relacionen, i genera conseqüències més enllà d’aquestes, per exemple en l’àmbit social (gestió de serveis públics, la conciliació amb la vida personal i familiar, etc.) o en l’àmbit econòmic (promou i afavoreix el consum de determinats productes o serveis vers d’altres). En la forma d’organització del treball, han resultat històricament rellevants els avenços tecnològics i les tecnologies de la informació i les comunicacions (TIC) han pres un paper clau en l’actual societat digital.

L’ús quotidià de les TIC i el tractament que en fan les empreses, entitats i ciutadans les converteixen en elements essencials per a l’actual desenvolupament econòmic i social. La dependència, doncs, d’aquestes tecnologies, sistemes i informació fa que esdevinguin bàsics per garantir la continuïtat de les activitats, per oferir seguretat jurídica en les accions i relacions del ciutadà i el tràfic mercantil, així com per determinar la forma d’organització del treball i garantir el desenvolupament social i econòmic dels ciutadans de Catalunya. El teletreball, com es planteja actualment, té una dependència absoluta d’aquestes tecnologies, i l’estat de l’art d’aquestes condiciona la forma en què aquest s’implementa i es desenvolupa.

La Generalitat de Catalunya està apostant clarament per la plena implantació de les TIC en la seva organització, emprant cada dia més eines digitals per permetre una millor prestació dels serveis públics i garantir la transformació de l’Administració per fer-la més eficient i eficaç. El 4 d’agost passat la Generalitat de Catalunya va aprovar el Decret 77/2020, de 4 d’agost, pel qual es regula la prestació de serveis en la modalitat de teletreball per al personal al servei de l’Administració de la Generalitat de Catalunya i els seus organismes autònoms. Aquesta eina jurídica, imprescindible per al seu desenvolupament i implantació, ha previst un model en què la ciberseguretat esdevé un dels elements a tenir en compte.

Tal com diu el Decret en la seva introducció, “El teletreball és una modalitat de prestació de serveis en la qual una part de la jornada laboral es desenvolupa de manera no presencial i mitjançant l’ús de les tecnologies de la informació i la comunicació. Aquesta forma d’organització del treball és un element inequívocament modernitzador de les administracions públiques.”

El teletreball i els seus riscos en ciberseguretat

L’origen del terme teletreball no és pas nou, ja que va ser cap als anys 70 que un físic dels Estats Units el va crear per referir-se al treball a distància que duia a terme en un projecte d’una important agència americana. Malgrat aquest origen tan distant, no ha estat fins als temps actuals que s’ha proposat la possibilitat d’implementar polítiques de teletreball de manera estable, com a forma de dur a terme la comesa laboral de manera més eficient (un exemple n’és el cas del Decret esmentat que va començar a gestar-se fa pocs anys).

És evident que l’actual pandèmia ha accelerat una realitat que tard o d’hora hauria esdevingut efectiva, i en part important. Aquesta implantació s’ha produït gràcies a les capacitats tecnològiques que existeixen en l’actualitat. Les TIC han habilitat la possibilitat d’establir conceptes com “l’oficina remota”, o desplegar projectes per tal que empreses o entitats, de manera parcial o completa, puguin disposar de la seva força de treball a distància. Tant és la importància de l’estat actual de les TIC, que les principals empreses que han assumit aquest repte són empreses majorment de tall tecnològic i que fa temps estan emprant processos moderns de col·laboració i treball (metodologies àgils, processos col·laboratius, etc.).

Els avantatges que el teletreball comporta són evidents, tant per als ocupadors com per als treballadors. La seva implantació requereix d’una bona planificació per garantir la disposició dels mitjans tecnològics adequats així como les polítiques de seguiment i suport. Aquesta planificació hauria de cristal·litzar en projectes tecnològics que es fonamentin en infraestructures i solucions com la disposició d’equipament en mobilitat (portàtils, tauletes, telèfons mòbils, etc.), solucions adaptables a aquest entorn de mobilitat i a l’accés remot (basades per exemple en VPN o plataformes al núvol), entre moltes d’altres.

Per tal de determinar els riscos que aquests projectes poden comportar, des de la perspectiva de la ciberseguretat, cal tenir en compte els aspectes següents:

1. L’increment de la superfície d’exposició i la seva heterogeneïtat.
2. La manca de coneixement adequat del nou entorn i procés d’adaptació.
3. La incorporació de noves eines i nous processos (núvol, VPN, etc.).

La posada en marxa de solucions per al teletreball significa necessàriament l’activació de nous dispositius i de noves eines en els sistemes d’informació de tota entitat o empresa (totes aquestes eines i dispositius configuren la “superfície d’exposició” a ciberamenaces que té una entitat). En alguns casos, fins i tot, es planteja l’ús dels dispositius personals que pugui aportar el mateix treballador per facilitar l’accés a determinats serveis o aplicacions (el que es coneix com polítiques de Bring Your Own Device o BYOD), cosa que necessàriament suposarà que hi hagi dispositius molt diversos (tant pel que fa al seu maquinari com al seu programari). Ambdós fets suposen un increment de la vulnerabilitat de qualsevol entitat o empresa.

El teletreball implica també un canvi d’hàbits laborals i una relació més intensa amb la tecnologia (en alguns casos nova per al teletreballador). Aquests canvis i la manca de coneixement específic generen un risc addicional, ja que l’usuari segueix sent una peça clau per garantir la ciberseguretat de qualsevol sistema. Com a exemple concret d’aquest risc, les entitats que treballen en l’àmbit de ciberseguretat (a Catalunya, l’Agència de Ciberseguretat de Catalunya), van detectar durant els primers mesos de la pandèmia de la COVID-19 un increment notable dels casos de pesca electrònica (phishing) destinats a impactar els usuaris que estaven teletreballant. Per aquest motiu, cal abordar processos de capacitació per garantir que els usuaris tenen un coneixement adequat de la tecnologia que empren quan teletreballen i, en particular, que coneguin les principals amenaces en matèria de ciberseguretat.

Finalment, per garantir la ciberseguretat en el teletreball i fer-ho de manera eficient cal desplegar un conjunt de solucions adequades. Les eines que el mercat disposa a aquest efecte han evolucionat notablement i cal fer un estudi detallat de les necessitats de cada entitat per seleccionar les més adequades i que garanteixin un control de les amenaces i riscos a què cadascuna estigui exposada.

Atenent, doncs, a les característiques pròpies de cada empresa o entitat, a l’activitat que desenvolupa i la seva criticitat, i a com es doni forma a l’entorn previst per organitzar el teletreball, caldrà tenir en compte diferents riscos des de la perspectiva de la ciberseguretat. Moltes d’aquestes amenaces podrien tenir un impacte definitiu en l’activitat d’una empresa o entitat, etc., i, per tant, sense la correcta implantació de mesures adequades i proporcionals, el risc de desplegar aquesta forma de treball pot ser molt elevat.

Per tots aquests motius cal dur a terme les pertinents anàlisis de riscos quan es determini l’impuls del teletreball a qualsevol entitat, ja sigui pública o privada. Els riscos identificats i la seva criticitat hauran de determinar necessàriament el disseny dels projectes de desplegament del teletreball (ciberseguretat en disseny), i establir les mesures per mitigar-ne els principals.

Regulació del teletreball
Tal com s’ha esmentat amb anterioritat, recentment s’ha elaborat regulació específica per al teletreball tant en l’àmbit públic com privat. L’esmentada regulació ja ha reconegut la ciberseguretat com un dels elements primordials a tenir en compte per desplegar aquesta forma de treball.

Així doncs, el Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, ja ha establert en el seu capítol IV un seguit de disposicions relacionades amb les facultats d’organització, direcció i control empresarial del treball de distància. Cal tenir en compte que l’empresa és qui ha de posar a disposició els mitjans per dur a terme el teletreball i, per tant, és l’encarregada de disposar de les mesures de ciberseguretat adequades.

En aquesta regulació, l’element primordial a tenir en compte en l’àmbit organitzatiu ve determinat per l’apartat segon de l’article 20 que estableix “2. Las personas trabajadoras deberán cumplir las instrucciones sobre seguridad de la información específicamente fijadas por la empresa, previa información a su representación legal, en el ámbito del trabajo a distancia”. En conjunció amb les facultats de control que regula l’article 24, queda clar que una de les principals qüestions a tenir en compte per les empreses serà la disposició d’unes instruccions que determinin els nivells i les mesures de ciberseguretat que l’empresa ha d’establir per posar en marxa el teletreball. Caldrà respectar en aquesta normativa les disposicions laborals aplicables a les facultats de control de l’empresari i el seu necessari equilibri amb els drets dels treballadors.

Pel que fa a l’àmbit públic, el Decret 77/2020 de la Generalitat de Catalunya ha inclòs la ciberseguretat com un dels elements a tenir en compte per tal d’organitzar el teletreball. En aquest cas particular, l’article 6 del Decret determina el següent:

“6.3 En el pla personal de treball ha de constar expressament el compromís de la persona autoritzada a respectar i aplicar:
a) La normativa i les mesures específiques que es determinin en matèria de prevenció de riscos laborals.
b) Les recomanacions d’ús i normes de seguretat que s’emetin per l’organisme competent en matèria de ciberseguretat de    la Generalitat de Catalunya.
c) La normativa, les instruccions i les mesures específiques que s’estableixin en matèria de protecció de dades de caràcter personal i de confidencialitat.”

Cal, doncs, tenir clar que la ciberseguretat no es tracta només d’una qüestió que calgui abordar des de la perspectiva tecnològica sinó també des d’una perspectiva organitzativa i jurídica. Convindrà, doncs, establir una normativa que reguli les previsions adequades perquè els riscos quedin adequadament mitigats, es determinin les conductes adequades en l’execució de la comesa laboral i es respecti la normativa aplicable.

Conclusions
El desplegament de la societat digital actual permet afrontar el repte d’implantar el teletreball com a forma estable d’organització del treball. Per a aquelles comeses que ho permetin, el teletreball pot ser una eina molt adient per canviar la cultura del treball cap a un model més adequat al segle XXI i millorar la qualitat de vida i la conciliació amb la vida personal dels treballadors.

La plena implantació del teletreball depèn majorment de l’ús d’eines i solucions digitals que permetin que, la comesa laboral dels treballadors es pugui dur de forma remota en condicions iguals o similars a les que es desenvolupen en els centres de treball.

Atenent a les característiques pròpies de cada empresa o entitat, a l’activitat que desenvolupa i la seva criticitat, caldrà tenir en compte diferents riscos des de la perspectiva de la ciberseguretat i dissenyar projectes de teletreball que recullin mesures per mitigar-los. Moltes de les amenaces podrien tenir un impacte definitiu en l’activitat d’una empresa o entitat, etc., i, per tant, sense la correcta implantació de mesures adequades i proporcionades, el desplegament del teletreball podria suposar un risc inassumible.

Hi ha nombroses formes de desplegar el teletreball, però només una de correcta: tenir en compte la ciberseguretat com un factor essencial.

 

Oriol Torruella i Torres
Director general de l’Agència de Ciberseguretat de Catalunya