¿Quién es responsable de custodiar las contraseñas de la empresa? ¿Trabajador o empresario?

Una reciente sentencia del TSJ de Castilla-León, Sala de lo social, de 3-11-2022, ha declarado como improcedente el despido de una trabajadora por no custodiar correctamente las contraseñas de la empresa.

Los hechos se produjeron cuando un compañero de dicha trabajadora inició sesión en el equipo informático de ésta, fuera de su turno laboral y sin su consentimiento, y consultó una carpeta donde la trabajadora guardaba las contraseñas de la empresa. El compañero ordenó varios pagos sin consentimiento ni autorización de la demandante. Entre ellos, realizó un abono de 1443,51 € y anuló un contrato de permanencia.

A raíz de lo sucedido, la empresa despidió de forma procedente a la trabajadora, a la que se le atribuyeron las siguientes infracciones:

• Trasgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo.
• Falsedad, deslealtad, fraude, el abuso de confianza y el hurto o robo, tanto a sus compañeros de trabajo como a la empresa o a terceros relacionados con el servicio durante el desempeño de sus tareas o fuera de las mismas.
• Incumplimiento de las obligaciones de guarda y custodia de la contraseña, permitiendo su uso por otro trabajador que realizó actuaciones injustificadas, lo que supone una grave perjuicio para la empresa al cuestionarse las medidas para garantizar los distintos accesos a los datos de los clientes e igualmente al realizarse abonos de una cantidad económicamente significativa, sin motivo ni justificación alguna.

No obstante, la trabajadora denunció su despido como improcedente y el TSJ le ha dado la razón, veamos a continuación por qué.

Trabajador responsable de custodiar contraseñas

1. Seguridad Personal: Los empleados son responsables de salvaguardar sus contraseñas por varias razones. Primero, protegen sus propios datos personales y profesionales, evitando posibles consecuencias negativas en caso de acceso no autorizado. Esto incluye evitar la filtración de información personal, como datos financieros o identidad.
2. Acceso Autorizado: Los empleados deben garantizar que sus contraseñas sean exclusivamente conocidas por ellos para mantener la integridad de los sistemas de la empresa. Esto impide accesos no autorizados que podrían comprometer la seguridad de los datos y sistemas de la compañía, salvaguardando así la información confidencial.

Empresario Responsable de custodiar contraseñas

1. Políticas de Seguridad: Los empresarios deben establecer políticas claras y procedimientos de seguridad que eduquen a los empleados sobre la importancia de las contraseñas seguras. Al definir directrices sólidas, se fomenta una cultura de seguridad cibernética en la empresa.
2. Herramientas y Recursos: Los empresarios tienen la responsabilidad de proporcionar herramientas adecuadas, como gestores de contraseñas seguras y sistemas de autenticación, para facilitar la creación y el almacenamiento seguro de contraseñas. Además, deben ofrecer capacitación continua sobre buenas prácticas de seguridad para que los empleados estén al tanto de las últimas amenazas y técnicas de protección.

La empresa es responsable de proporcionar a sus empleados un lugar seguro donde custodiar las contraseñas

Todos los hechos fueron probados, pero el TSJ se declaró a favor de la trabajadora despedida por la política de gestión de las contraseñas establecida por la empresa:

• La empresa tenía como norma cambiar las contraseñas cada dos meses. Si bien es muy recomendable renovar las contraseñas a menudo, consideramos que hacerlo cada dos meses es una frecuencia bastante elevada.
• La empresa no proporcionaba ningún sistema para la custodia de las contraseñas, por lo que los empleados debían cambiar las contraseñas cada dos meses y no contaban con herramientas adecuadas para memorizarlas.
• Como solución para recordar las contraseñas, la trabajadora las apuntaba en el interior de una carpeta de su equipo informático. Esto es algo que jamás deberíamos hacer, no sin las medidas adecuadas (cifrado preventivo y otros).

Por lo que finalmente el TSJ y el juzgado de lo social han sentenciado que no existe negligencia relevante en la conducta de la trabajadora y declarado su despido como improcedente. Los motivos:

• El elemento intencional no está acreditado precisamente porque la utilización de sus contraseñas se hizo sin conocimiento y consentimiento de la misma.
• Tampoco lo está la existencia de negligencia relevante en la custodia de las contraseñas, siendo razonable que teniendo que cambiarse cada dos meses se tuvieran que apuntar en algún sitio para su recordatorio y teniendo en cuenta que la propia empresa, más allá de la atribución de responsabilidad genérica a los trabajadores del uso correcto de las contraseñas, no facilitó ningún lugar seguro para tenerlas custodiadas bajo llave.

La mayoría de brechas de seguridad que sufren las empresas son de origen interno

Este es un caso de brecha de seguridad interna por partida doble:

• Por un lado, el trabajador que de forma maliciosa accedió al ordenador de la compañera para el robo de contraseñas y realización de pagos sin autorización.
• Por el otro lado, la trabajadora despedida de forma improcedente, que si bien no custodiaba las contraseñas de forma segura, la causa fue la alta exigencia en la gestión de contraseñas sin facilitar protocolos ni herramientas adecuadas para ello.

Al final, la principal responsable y perjudicada es la propia empresa, por implantar una política de ciberseguridad ineficiente. Si piensas que tu empresa necesita una puesta al día de sus protocolos de seguridad informática, en Edorteam tenemos una solución a medida de tu negocio.

Que es custodiar

El término custodiar se refiere a la acción de proteger, cuidar y garantizar la seguridad de algo o alguien. En el caso de una empresa, es una tarea crucial para mantener a salvo los datos y la información confidenciales.

La custodia puede ser responsabilidad de una persona o de un departamento entero, dependiendo del tamaño y la estructura de la empresa. En este contexto, custodiar las contraseñas significa garantizar que solo las personas autorizadas tengan acceso a ellas y que se utilicen de manera adecuada y segura.

La custodia de las contraseñas no es una tarea fácil, ya que requiere la implementación de políticas y protocolos de seguridad rigurosos. Además, implica un constante monitoreo y actualización de las contraseñas para prevenir cualquier amenaza de seguridad.

En la actualidad, muchas empresas utilizan herramientas digitales para ayudar en la custodia de las contraseñas. Estas herramientas, conocidas como gestores de contraseñas, permiten almacenar y administrar contraseñas de forma segura, lo que facilita enormemente la tarea de custodia.

En último término, la responsabilidad de custodiar las contraseñas recae tanto en el empresario como en el trabajador. Todos deben desempeñar su papel en la protección de la información confidencial de la empresa, lo que incluye usar las contraseñas de manera segura y seguir las políticas y protocolos establecidos.

Solución: guarda las credenciales de acceso en archivos y carpetas cifradas

​ET Encrypt es un software de cifrado perfecto para proteger cualquier archivo o carpeta de tu ordenador con un algoritmo prácticamente impenetrable.

Una de sus múltiples funciones permite crear una carpeta de cifrado automático en tu equipo informático. Simplemente con click derecho y establecer una contraseña, todo el contenido que haya en esa carpeta se cifrará automáticamente. Podrás abrir la carpeta y ver qué archivos contiene, pero si tratas de abrir uno de ellos, te solicitará la contraseña.

Así, los empleados pueden guardar los documentos que contengan las credenciales de acceso a los diferentes servicios que usan en su día a día en esa carpeta cifrada y evitar que un tercero acceda a la información sin autorización. Es más sencillo recordar y renovar asiduamente una sola contraseña y usarla para custodiar todas las demás credenciales.

Además, también protegerás esa información ante ataques informáticos y/o secuestros de información, ya que los ciberdelincuentes tampoco podrán acceder a su contenido. Contacta con nosotros para que te expliquemos en detalle todas sus funciones.