El Big Brother: Monitoreando las actividades de los empleados en la red

by Pablo Mosqueira on 06/17/2009

Big Brother te está observando. En la conciencia de seguridad del mundo actual, se ha vuelto una dura realidad.

La ley reconoce que existen circunstancias en donde el monitoreo de las actividades de otros es permisible y hasta conveniente. En general, los empresarios tienen una libertad muy grande para monitorear lo que hacen sus empleados mientras que se encuentren en las instalaciones de la compañía y utilizan los equipos de la compañía.

Si usted, como administrador de redes o responsable de la toma de decisiones de TI, es el encargado de ser el Big Brother en su compañía, existen factores legales y tecnológicos a considerar. En este artículo discutiremos ambos. Recuerde, sin embargo, que las leyes difieren de país a país y aún de estado a estado, y aún cuando crea saber las leyes dentro de su jurisdicción, éstas se encuentran sujetas a cambios -en cualquier momento.

Porqué monitorear las actividades en red de los empleados?
En primer lugar, porqué debería de considerar monitorear las actividades de los empleados? Acaso los empresarios que leen el e-mail de sus empleados o se mantienen al tanto de los sitios Web visitados solo lo hacen por fisgonear y ser demasiado controladores? Desafortunadamente, la compañía puede resultar comprometida civilmente o hasta criminalmente responsable de las acciones de sus empleados

Si un empleado descarga pornografía en una computadora del trabajo que es presentada de manera intencional o accidental, a otros, la compañía puede ser demandada por acoso sexual (creando o permitiendo un “ambiente de trabajo hostil”). Si el empleado descarga pornografía infantil, la compañía puede verse involucrada en una investigación criminal. Si el empleado se apropia ilícitamente de dinero de las cuentas de los clientes, la compañía puede ser responsable de negligencia. Si el empleado utiliza los equipos de la compañía para cometer cualquier tipo de actividad criminal, como mínimo la compañía podría terminar con sus computadoras confiscadas como evidencia.

Aún si las actividades de los empleados no se encuentran sujetas a cargos criminales o demandas legales, el desperdiciar grandes cantidades de tiempo de la compañía navegando en sitios Web no relacionados con el negocio, el envío de e-mails personales o el chat entre amigos le cuesta a la compañía mucho dinero en la pérdida de productividad. La descarga de archivos pesados utiliza ancho de banda de la red y pueden alentar la red para los usuarios legítimos. El visitar sitios Web peligrosos puede introducir virus y malware a la red de la compañía. Finalmente, los empleados puedes exponer deliberadamente o inadvertidamente la información confidencial de la compañía (secretos industriales, información personal, información financiera) a personas no autorizadas a través del e-mail o el chat.

Monitoreando las actividades de los empleados en la red: cuestión de políticas
Aunque ha habido un número de casos en donde los empleados demandan a sus empresas por la invasión a su privacidad (usualmente bajo manifiestos), en la mayoría de los casos las cortes se inclinan hacia el empresario.

Algunos empleados han reclamado tener una excepción a la privacidad debido a que el acceso es protegido con una contraseña. En los casos de Burke vs Nissan Motor Corp y McLaren vs Microsoft Corp., las cortes desecharon el reclamo y se dictaminó que los empleados no tienen una expectación a la privacidad en las comunicaciones que son enviadas a través de la red de la compañía.

No obstante, al dirigir una expectativa de privacidad, las compañías deberán de contar con una política por escrito manifestando que efectuarán o podrían hacer un monitoreo de las actividades en específico de los empleados, y la política deberá de ser distribuida a todos los empleados. A cada empleado se le debe de pedir firmar un acuse de recibo de que él o ella recibieron y comprendieron la notificación.
El principio de moderación va dirigido hacia la razón del monitoreo. El caso de la compañía es de mayor peso si el monitoreo va enfocado a una razón en específico, tal y como:

Asegurar el cumplimiento de políticas de la compañíaInvestigar algún caso sospechoso en específico de mal comportamiento o actividad ilegal. En los Estados Unidos, el Acta de Privacidad para Comunicaciones Electrónicas (ECPA por sus siglas en inglés) prohíbe la intercepción y divulgación de comunicaciones electrónicas, pero contiene una excepción de “consentimiento” que aplica si usted cuenta con la notificación firmada, así como una excepción como “extensión del negocio” que permite el monitoreo cuando se tiene un propósito relacionado con el negocio.

Lectura del e-mail de los empleados
El enviar un mensaje por e-mail por el Internet es como enviar una postal por el correo. A menos que vaya encriptado, éste puede ser fácilmente interceptado y leído en cualquier servidor durante el camino. Los administradores de red pueden tener acceso a los buzones de correo de los usuarios en el servidor de correos de la compañía. Algunos tribunales han contenido esto para que caiga dentro de otra excepción en la ECPA, la excepción al “proveedor de servicios”, la cual permite a los proveedores de servicios de comunicaciones de tener acceso a las comunicaciones almacenadas.

El mero volumen del e-mail que fluye a través de la mayoría de las redes en empresas, sin embargo, lo hace difícil para monitorear. Appliances dedicados para el monitoreo y filtrado. De hecho, los servicios de seguridad Spam iboss pueden capturar y registrar los mensajes por e-mail enviados y recibidos, las conversaciones por chat, mensajes instantáneos, descargas de archivos, sitios Web visitados, aplicaciones P2P utilizadas, conexiones de red establecidas, consumos de ancho de banda y alertar a los administradores sobre el abuso. La actividad es automáticamente archivada en un appliance central o data centers de iboss Network Security.

Monitoreando el acceso a la Web de los empleados
Usted puede monitorear los sitios Web visitados por los empleados a través de las bitácoras de los firewalls más populares. Existen productos que extienden considerablemente estas capacidades. Por ejemplo, el iboss SWG Web Security  puede rastrear los sitios Web que los usuarios se encuentran visitando y los archivos que se encuentran descargando en tiempo real. Los administradores pueden monitorear el acceso a la Web de los usuarios desde su propio navegador.

Los reportes incluidos en el appliance ofrecen los históricos por URL, por usuario, por MI y P2P (ver quien tuvo acceso a un sitio en particular o ver todos los accesos a sitios Web de un usuario en particular). Usted puede bloquear una conexión o descarga en tiempo real, y usted puede bloquear o desbloquear un sitio en específico o asignarlo a una nueva categoría.

“Escuchando” las sesiones por IM/chat
La mensajería instantánea y el Chat por Relay del Internet (IRC por sus siglas en inglés) son probablemente las aplicaciones en red más indebidamente usadas de todas. Sin embargo, también pueden ser útiles para los propósitos del negocio, de manera que puede que usted no quiera prohibir enteramente este tipo de comunicación en tiempo real.

El filtrado de la mensajería instantanea de iboss SWG Web Security  le permite bloquear, monitorear y administrar la mensajería instantánea y la actividad por chat en su red, las capacidades avanzadas permiten registrar todas las conversaciones por IM y trabajar con cualquier red de IM, incluyendo AOL, MSN, Yahoo. Usted puede bloquear la transferencia de archivos, juegos, video conferencias y otras características individuales de la mensajería instantánea y forzar el filtrado de contenido en tiempo real.

Resúmen
Debido a requerimientos legales, amenazas a la seguridad de la red y consideraciones de presupuesto, más y más compañías han encontrado necesario el “volverse el Big Brother” y monitorear las actividades en la red de algunos o todos los empleados. Si usted tiene como objetivo implementar un plan para el monitoreo, asegúrese que las políticas apropiadas se encuentran en su lugar primero, y posteriormente revise una solución para el filtrado de contenido para facilitarle el mantener el rastro de lo que están haciendo los empleados en la red y asegurar que se encuentran en cumplimiento con la política y la ley.

Pablo Mosqueira en Google+!

{ 1 comment… read it below or add one }

Diego Bonilla 10/29/2015 a las 4:33 pm

Muy interesante punto de vista. Yo más creo que no se debería de dar este tipo de control. Lo que sí creo es cada empresa debería tener un buen sistema de monitoreo sobre lo que se logra hacer. De esta manera los empleados se sentirán contentos y motivados. Si se monitorean ciertas cosas, no hay que monitorear todo. Les comparto un blog sobre esto. Espero les sea útil.

http://blog.kipobusiness.com/field-team-management/parametros-utiles-para-el-monitoreo-de-campo-personal/

Leave a Comment

Previous post:

Next post: