El Big Brother: Monitoreando las actividades de los empleados en la red
Big Brother te está observando. En la conciencia de seguridad del mundo actual, se ha vuelto una dura realidad.
La ley reconoce que existen circunstancias en donde el monitoreo de las actividades de empleados es permisible y hasta conveniente.
En general, los empresarios tienen una libertad muy grande para monitorear lo que hacen sus empleados mientras que se encuentren en las instalaciones de la compañía y utilizan los equipos y el Internet de la compañía.
Si usted, como administrador de redes o responsable de la toma de decisiones de TI, es el encargado de ser el Big Brother en su compañía, existen factores legales y tecnológicos a considerar.
En este artículo discutiremos ambos.
Recuerde, sin embargo, que las leyes difieren de país a país y aún de estado a estado, y aún cuando crea saber las leyes dentro de su jurisdicción, éstas se encuentran sujetas a cambios -en cualquier momento.
¿Porqué monitorear las actividades en red de los empleados?
En primer lugar, ¿porqué debería de considerar monitorear las actividades de los empleados?
¿Acaso los empresarios que leen el e-mail de sus empleados o se mantienen al tanto de los sitios Web visitados solo lo hacen por fisgonear y ser demasiado controladores?
Desafortunadamente, la compañía puede resultar comprometida civilmente o hasta criminalmente responsable de las acciones de sus empleados
Cuando un empleado descarga pornografía en una computadora del trabajo que es presentada de manera intencional o accidental, a otros, la compañía puede ser demandada por acoso sexual (creando o permitiendo un “ambiente de trabajo hostil”).
Si el usuario descarga pornografía infantil, la empresa puede verse involucrada en una investigación criminal.
Si el empleado se apropia ilícitamente de dinero de las cuentas de los clientes, la compañía puede ser responsable de negligencia.
Cuando los empleados utilizan los equipos de la compañía para cometer cualquier tipo de actividad criminal, como mínimo la compañía podría terminar con sus computadoras confiscadas como evidencia.
Aún si las actividades de los empleados no se encuentran sujetas a cargos criminales o demandas legales, el desperdiciar grandes cantidades de tiempo de la compañía navegando en sitios en Internet no relacionados con el negocio.
El envío de e-mails personales o el chat entre amigos le cuesta a la compañía mucho dinero en la pérdida de productividad.
La descarga de archivos pesados utiliza ancho de banda de la red y pueden alentar la red para los usuarios legítimos.
El visitar sitios Web peligrosos puede introducir virus y malware a la red de la compañía.
Finalmente, si no se monitorean las actividades de los empleados se corre el riesgo de que expongan deliberadamente o inadvertidamente la información confidencial de la compañía (secretos industriales, información personal, información financiera) a personas no autorizadas a través del e-mail o el chat del Internet.
Monitoreando las actividades de los empleados en la red: cuestión de políticas
Aunque ha habido un número de casos en donde los empleados demandan a sus empresas por la invasión a su privacidad (usualmente bajo manifiestos), en la mayoría de los casos las cortes se inclinan hacia el empresario.
Algunos empleados han reclamado tener una excepción a la privacidad debido a que el acceso es protegido con una contraseña.
En los casos de Burke vs Nissan Motor Corp y McLaren vs Microsoft Corp., las cortes desecharon el reclamo y se dictaminó que los empleados no tienen una expectación a la privacidad en las comunicaciones que son enviadas a través de la red de la compañía.
No obstante, al dirigir una expectativa de privacidad, las compañías deberán de contar con una política por escrito manifestando que efectuarán o podrían hacer un monitoreo de las actividades en específico de los empleados, y la política deberá de ser distribuida a todos los empleados.
A cada empleado se le debe de pedir firmar un acuse de recibo de que él o ella recibieron y comprendieron la notificación.
El principio de moderación va dirigido hacia la razón del monitoreo de empleados en el Internet.
El caso de la compañía es de mayor peso si el monitoreo va enfocado a una razón en específico, tal y como:
Asegurar el cumplimiento de políticas de la compañíaInvestigar algún caso sospechoso en específico de mal comportamiento o actividad ilegal.
En los Estados Unidos, el Acta de Privacidad para Comunicaciones Electrónicas (ECPA por sus siglas en inglés) prohíbe la intercepción y divulgación de comunicaciones electrónicas.
Aun así, contiene una excepción de “consentimiento” que aplica si usted cuenta con la notificación firmada, así como una excepción como “extensión del negocio” que permite el monitoreo de empleados cuando se tiene un propósito relacionado con el negocio.
Lectura del e-mail de los empleados
El enviar un mensaje por e-mail por el Internet es como enviar una postal por el correo.
A menos que vaya encriptado, éste puede ser fácilmente interceptado y leído en cualquier servidor durante el camino.
Los administradores de red pueden tener acceso a los buzones de correo de los usuarios en el servidor de correos de la compañía.
El mero volumen del e-mail que fluye a través de la mayoría de las redes en empresas, sin embargo, lo hace difícil para monitorear.
Los servicios de seguridad Spam deben capturar y registrar:
- mensajes por e-mail enviados y recibidos
- conversaciones por chat
- mensajes instantáneos
- descargas de archivos
- sitios Web visitados
- aplicaciones P2P utilizadas
- conexiones de red establecidas
- consumos de ancho de banda
Y alertar a los administradores sobre el abuso.
Monitoreando el Acceso al Internet de los Empleados
Usted puede monitorear las actividades de empleados en los sitios del Internet visitados a través de las bitácoras de los firewalls más populares.
Existen productos que extienden considerablemente estas capacidades.
Los administradores pueden monitorear el acceso a la Web de los usuarios desde su propio navegador.
Los reportes deben de ofrecer históricos por URL, por usuario, por MI y P2P (ver quién tuvo acceso a un sitio en particular o ver todos los accesos a sitios Web de un usuario en particular).
Usted debe poder bloquear una conexión o descarga en tiempo real, y bloquear o desbloquear un sitio en específico o asignarlo a una nueva categoría.
“Escuchando” las sesiones de Mensajería Instantánea – Chat
La mensajería instantánea y el Chat por Relay del Internet (IRC por sus siglas en inglés) son probablemente las aplicaciones en red más indebidamente usadas de todas.
Sin embargo, también pueden ser útiles para los propósitos del negocio, de manera que puede que usted no quiera prohibir enteramente este tipo de comunicación unificada en tiempo real.
El filtrado de la mensajería instantánea le debe permitir bloquear, monitorear y administrar la mensajería instantánea y la actividad por chat en su red.
Debe incluir capacidades avanzadas que permitan registrar todas las conversaciones por IM y trabajar con cualquier red de IM, incluyendo AOL, MSN, Yahoo.
Usted debe poder bloquear la transferencia de archivos, juegos, video conferencias y otras características individuales de la mensajería instantánea y forzar el filtrado de contenido en tiempo real.
Resúmen
Requerimientos legales, amenazas a la seguridad de la red y consideraciones presupuestales, cada vez más empresas han encontrado necesario el “volverse el Big Brother” y monitorear las actividades de algunos o todos los empleados.
Si usted tiene como objetivo implementar un plan para el monitoreo, asegúrese que las políticas apropiadas se encuentran en su lugar primero.
Posteriormente revise una solución para el filtrado de contenido para facilitarle el mantener el rastro con el monitoreo de las actividades de los empleados en Internet y asegurar que se encuentran en cumplimiento con las políticas y la ley.