Monitoreo de Empleados: 3 Preguntas que TI Debe Responder

by Pablo Mosqueira on 02/07/2018

Muchas organizaciones han aprendido durante el pesado periodo de brechas del 2017, que las mayores amenazas a la seguridad de la red a menudo vienen desde adentro, ya sea a través de la negligencia de empleados o el robo explícito de datos de la empresa. De hecho, entre los 874 incidentes reportados en el último Estudio del Costo Brechas de Datos  del Instituto Ponemon, 65 por ciento fueron atribuidos a faltas de conducta o negligencia.

Como resultado, cada vez más empresas están considerando las soluciones para la prevención de pérdida de datos (DLP)  en el 2018 que puedan detectar el comportamiento anómalo que podría indicar una brecha en progreso. Estas herramientas ofrecen información detallada sobre todo el tráfico de la red, y se pueden ser granular en no sólo atribuir la actividad de los usuarios, sino incluso obtener el conocimiento de los programas y aplicaciones – profesional y personal – que los usuarios acceden.

Mientras que este es un elemento esencial de la era digital, las amenazas a la seguridad de la red llegan a las organizaciones desde todos los ángulos, las empresas necesitan estar conscientes de no sobrepasarlas e inadvertidamente abrirse a multas considerables por violaciones. Las empresas necesitan mantener las siguientes tres preguntas en mente ante las iniciativas para el despliegue del DLP y el monitoreo de empleados:

¿Dónde se encuentra monitoreando?

Para empezar, dependiendo de lo dictado por la legislación local, las empresas pueden necesitar avisar previamente a los trabajadores antes de implantar el software de monitoreo. En algunos estados, por ejemplo, esta es una práctica obligatoria, aunque en otros puedan tener restricciones más matizadas que no requieran un inicio de sesión explícito del empleado antes de que las iniciativas del DLP puedan ser promulgadas. La vía más segura es leer las leyes extensamente desde un principio.

¿A quién está monitoreando?

La Ley de Privacidad de Comunicaciones Electrónicas (ECPA) o la Ley Federal de Protección de Datos Personales, sin embargo, son leyes federales que establecen restricciones más amplias que la mayoría de las normas estatales o municipales sobre el tema. Las leyes en sí no tienen como objetivo la supervisión de empleados en forma directa, sino que aplican restricciones sobre la vigilancia de todas las comunicaciones electrónicas. Mientras que prohíben la vigilancia en un sentido general, las normas permiten la “excepción con finalidad comercial” – en donde un “fin comercial legítimo”, en sí un atrapa-todo con amplias interpretaciones, permitiendo la supervisión, así como la continuación del mismo una vez que se haya obtenido el consentimiento del empleado.

Cuando las reglas empiezan a complicarse es cuando se involucran las comunicaciones de terceros, generalmente cuando los empleados se comunican con amigos o familiares en la red de la empresa por razones no-relacionadas con el trabajo. Esta es otra matiz de estado-por-estado que las empresas deben tener en cuenta, puedes haber estados que requieren el consentimiento de todas las partes en un comunicado, en donde una empresa puede ser responsable de la intervención local de los medios.

¿Cuáles son las implicaciones mundiales?

Incluso empresas que se basan en reglamentos estatales y no se consideran a sí mismas “negocios globales” pueden encontrarse expuestas a multas internacionales por incumplimiento. El Reglamento General de Protección de Datos (GDPR)  de la Unión Europea, por ejemplo, observa que cualquier organización que recolecta cualquier dato de residentes – incluso si la empresa no tiene una sucursal en el continente – podrían ser acreedoras de importantes multas, en algunos casos, a partir de $20 millones.

Esto significa que incluso si una empresa está trabajando con un proveedor de terceros en Europa, el recolectar cualquier información personal desde el contacto de esta oficina remota sin garantizar una amplia protección de datos en el lugar podría dejarlos vulnerables a multas.

Afortunadamente, muchas soluciones DLP fueron diseñadas tomando el GDPR en mente y que realmente ayudan a dar a las organizaciones la postura que necesitan para estar preparadas para la promulgación de esta legislación en la primavera de este año. Esto no es una garantía, sin embargo, a medida que las empresas necesitan ser tan exhaustivas con la investigación de su software de seguridad como son en conocer las posibles ramificaciones legales del inadecuado control del monitoreo de empleados.

Ejecución de una Política de Uso Aceptable

Es necesario definir una política de uso aceptable del Internet y de la red de la empresa, publicarla y asegurarse que todos los empleados la conozcan y firmen de enterados. Pero más importante aún es asegurarse que la cumplan.

Así como el DLP, para la Prevención de Pérdida de Datos que requieren las empresas para proteger la información sensible, hay innumerables herramientas para el monitoreo de empleados y las mismos deben ajustarse a las previsiones contenidas en el artículo 70 de la Ley de Contrato de Trabajo, es decir, preservando la dignidad del trabajador y practicarse con discreción y en forma aleatoria y no dirigida.

Se requiere separar la información sensible de los empleados a la información sensible de la empresa, sin llegar a ser invasivo o intrusivo, ya que convertiría el ámbito de trabajo en un espacio de control de aspectos que exceden las relaciones laborales y avanzan sobre otras garantías, como la intimidad de las personas.

Aún así, el empleador cuenta con la facultad de adoptar las medidas que estime más oportunas de vigilancia y control que le permitan verificar el cumplimiento de los trabajadores a su servicio, de sus obligaciones laborales para la buena marcha de la productividad en la organización.

Aprenda cómo el conjunto de funciones para la Prevención de Fuga de Datos (DLP)  de iboss proporciona la protección contra el uso no autorizado de la nube y de la pérdida de datos confidenciales.

 

Sigue a Web Security GANG en Google+!

Previous post:

Next post: