Recientemente nos hemos tenido que plantear como proceder cuando un usuario es, digámoslo de forma políticamente correcta, invitado a abandonar la empresa con objeto de que otra persona ocupe su lugar. Antes de nada hay que distinguir si estamos hablando de una invitación inmediata/fulminante o de una crónica de una muerte anunciada.
Desde la estricta óptica de la seguridad, la modalidad inmediata tiene la ventaja de que nos permite bloquear al instante todo acceso a los sistemas de información. Obviamente, tiene otras contrapartidas pero desde nuestro punto de vista, y perdón por la brusquedad, no nos interesan (por ejemplo traspaso de "poderes").
La situación "interesante" se da en la invitación programada, es decir, en aquellos casos en que se informa al trabajador que en 15 días deberá abandonar la empresa (ya sea por finalización de contrato, por no superar el periodo de prueba, etc.). En estos casos no es de extrañar que se intente llevar a cabo un acto poco ético, fraudulento y/o malicioso como "venganza" hacia la empresa. Esta reacción puede ir desde un ácido y explosivo correo de despedida hasta la introducción deliberada de virus y malware primo-hermano, pasando por la ya típica sustracción o desaparición de información. Remarcar también que la mayoría de problemas acostumbran a llegar el "día después".
En estos casos ¿qué medidas/acciones se pueden adoptar con objeto de detectar, evitar y/o minimizar estos incidentes?
Como paso inicial y totalmente imprescindible hay que remarcar que el área de seguridad (o la competente en cada caso) debería estar al corriente incluso antes que el propio afectado. De no ser así, y como lamentablemente sucede en muchas organizaciones, ésta es la última en enterarse y poco o nada puede hacer ya.
Cumplido el anterior punto se activa el "surveillance mode" del usuario en cuestión. Esto se consigue con la supervisión "casi permanente" de los distintos logs o fuentes de monitorización, básicamente nos fijaremos en las acciones que se realizan y el volumen de datos que se "mueven" (acceso a informacion de la red, uso de dispositivos de memoria extraíbles, acceso a aplicaciones, internet, correo, generación de .zip's, etc.). De forma muy breve, os planteamos posibles medidas/acciones con objeto de detectar/evitar la materialización de algunas amenazas (muchas de ellas son permanentes ya que forman parte de la política de seguridad existente mientras que algunas deben activarse cuando se da la situación planteada):
• Firma de acuerdos de confidencialidad, je je .... perdón pero nos entra la risa. Firmar se puede tener firmado lo que sea pero sinceramente no evita nada
• Bloqueo de los puertos USB del equipo para evitar la conexión de dispositivos de almacenamiento extraíbles (por ejemplo con Sanctuary)
• Dispositivos de grabación de CD/DVD de uso restringido y previa autorización (relacionado con la gestión de soportes de la LOPD)
• Bloqueo de las páginas de almacenamiento masivo (megaupload, rapidshare & cia), en casos extremos bloquear el acceso a internet
• Monitorizar tráfico atípico de correo corporativo (tanto en cantidad como en tamaño), límite de tamaño de archivos anexados (5 Mb por ejemplo), .... en casos extremos bloquear el correo externo
• Bloqueo de las páginas de proveedores de correo (gmail, yahoo, hotmail, etc.) y webmail.
• Modificar privilegios de acceso a la red y aplicaciones (permitir únicamente la consulta)
• Revisión de los logs de actividad de las aplicaciones/bases de datos
• Verificar registros de impresión para identificar impresiones masivas
• Restricción de acceso a la documentación en papel
• Supervisar que no se extrae documentación de la empresa (“cacheos”). Suena a exageración pero en una entidad financiera de gran renombre lo he vivido en primera persona.
• ¿Control de las llamadas telefónicas efectuadas?
• Devolución de dispositivos corporativos (portátil, BB, PDA, memoria USB, etc...)
• Inhabilitar accesos remotos (webmail, teletrabajo, VPN, etc.)
Hay usuarios especiales en los que deben tomarse medidas extraordinarias, el caso típico es el administrador de red o de sistemas o de loquesea (ver entrada). La opción drástica pero infalible es retirarle los privilegios e incluso "regalarle" los 15 días de vacaciones. Como simple reflexión para vosotros: ¿de verdad hay algún responsable de seguridad que se arriesgaría a tener un administrador de red con sus privilegios, y que además sabrá mucho más que él, siendo consciente de que en 15 días se va a la p...... calle? Aún pareciendo demasiado radical, cabría plantearse la aplicación de este mecanismo en todos los casos considerando que los 15 compensaría de sobra los posibles daños o perjuicios que nos podría llegar a causar un único usuario "descontento".
Aparte del caso anterior también nos encontramos con otro tipo de usuarios cuyo tratamiento en estas situaciones también es digno de mención. Nos referimos al personal directivo que, como es natural, tienen acceso a información muy pero que muy privilegiada de la organización. ¿Qué hacer con ellos? Buena pregunta, sinceramente haríamos exactamente lo mismo, o más, que con un usuario “normal y corriente”.
Para finalizar, y dado el vínculo existente, trataremos aparte el caso de las bajas voluntarias. Para ser sincero son los casos que nos producen más respeto y especialmente cuando se trata de usuarios con cierta relevancia o “poder”. Dando por sentado que no se trata de una decisión que se toma de forma espontánea debemos asumir, pensando mal y/o siendo realista, que desde bastante tiempo atrás se ha podido estar preparando el terreno.
Como conclusión, y basándonos en este último planteamiento, decir que esta “vigilancia” debe ser llevada a cabo de forma permanente por el simple hecho de que no se sabe nunca cuando ni por donde te van a entrar o salir los problemas.
CITA DEL DÍA: “Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas”
Desde la estricta óptica de la seguridad, la modalidad inmediata tiene la ventaja de que nos permite bloquear al instante todo acceso a los sistemas de información. Obviamente, tiene otras contrapartidas pero desde nuestro punto de vista, y perdón por la brusquedad, no nos interesan (por ejemplo traspaso de "poderes").
La situación "interesante" se da en la invitación programada, es decir, en aquellos casos en que se informa al trabajador que en 15 días deberá abandonar la empresa (ya sea por finalización de contrato, por no superar el periodo de prueba, etc.). En estos casos no es de extrañar que se intente llevar a cabo un acto poco ético, fraudulento y/o malicioso como "venganza" hacia la empresa. Esta reacción puede ir desde un ácido y explosivo correo de despedida hasta la introducción deliberada de virus y malware primo-hermano, pasando por la ya típica sustracción o desaparición de información. Remarcar también que la mayoría de problemas acostumbran a llegar el "día después".
En estos casos ¿qué medidas/acciones se pueden adoptar con objeto de detectar, evitar y/o minimizar estos incidentes?
Como paso inicial y totalmente imprescindible hay que remarcar que el área de seguridad (o la competente en cada caso) debería estar al corriente incluso antes que el propio afectado. De no ser así, y como lamentablemente sucede en muchas organizaciones, ésta es la última en enterarse y poco o nada puede hacer ya.
Cumplido el anterior punto se activa el "surveillance mode" del usuario en cuestión. Esto se consigue con la supervisión "casi permanente" de los distintos logs o fuentes de monitorización, básicamente nos fijaremos en las acciones que se realizan y el volumen de datos que se "mueven" (acceso a informacion de la red, uso de dispositivos de memoria extraíbles, acceso a aplicaciones, internet, correo, generación de .zip's, etc.). De forma muy breve, os planteamos posibles medidas/acciones con objeto de detectar/evitar la materialización de algunas amenazas (muchas de ellas son permanentes ya que forman parte de la política de seguridad existente mientras que algunas deben activarse cuando se da la situación planteada):
• Firma de acuerdos de confidencialidad, je je .... perdón pero nos entra la risa. Firmar se puede tener firmado lo que sea pero sinceramente no evita nada
• Bloqueo de los puertos USB del equipo para evitar la conexión de dispositivos de almacenamiento extraíbles (por ejemplo con Sanctuary)
• Dispositivos de grabación de CD/DVD de uso restringido y previa autorización (relacionado con la gestión de soportes de la LOPD)
• Bloqueo de las páginas de almacenamiento masivo (megaupload, rapidshare & cia), en casos extremos bloquear el acceso a internet
• Monitorizar tráfico atípico de correo corporativo (tanto en cantidad como en tamaño), límite de tamaño de archivos anexados (5 Mb por ejemplo), .... en casos extremos bloquear el correo externo
• Bloqueo de las páginas de proveedores de correo (gmail, yahoo, hotmail, etc.) y webmail.
• Modificar privilegios de acceso a la red y aplicaciones (permitir únicamente la consulta)
• Revisión de los logs de actividad de las aplicaciones/bases de datos
• Verificar registros de impresión para identificar impresiones masivas
• Restricción de acceso a la documentación en papel
• Supervisar que no se extrae documentación de la empresa (“cacheos”). Suena a exageración pero en una entidad financiera de gran renombre lo he vivido en primera persona.
• ¿Control de las llamadas telefónicas efectuadas?
• Devolución de dispositivos corporativos (portátil, BB, PDA, memoria USB, etc...)
• Inhabilitar accesos remotos (webmail, teletrabajo, VPN, etc.)
Hay usuarios especiales en los que deben tomarse medidas extraordinarias, el caso típico es el administrador de red o de sistemas o de loquesea (ver entrada). La opción drástica pero infalible es retirarle los privilegios e incluso "regalarle" los 15 días de vacaciones. Como simple reflexión para vosotros: ¿de verdad hay algún responsable de seguridad que se arriesgaría a tener un administrador de red con sus privilegios, y que además sabrá mucho más que él, siendo consciente de que en 15 días se va a la p...... calle? Aún pareciendo demasiado radical, cabría plantearse la aplicación de este mecanismo en todos los casos considerando que los 15 compensaría de sobra los posibles daños o perjuicios que nos podría llegar a causar un único usuario "descontento".
Aparte del caso anterior también nos encontramos con otro tipo de usuarios cuyo tratamiento en estas situaciones también es digno de mención. Nos referimos al personal directivo que, como es natural, tienen acceso a información muy pero que muy privilegiada de la organización. ¿Qué hacer con ellos? Buena pregunta, sinceramente haríamos exactamente lo mismo, o más, que con un usuario “normal y corriente”.
Para finalizar, y dado el vínculo existente, trataremos aparte el caso de las bajas voluntarias. Para ser sincero son los casos que nos producen más respeto y especialmente cuando se trata de usuarios con cierta relevancia o “poder”. Dando por sentado que no se trata de una decisión que se toma de forma espontánea debemos asumir, pensando mal y/o siendo realista, que desde bastante tiempo atrás se ha podido estar preparando el terreno.
Como conclusión, y basándonos en este último planteamiento, decir que esta “vigilancia” debe ser llevada a cabo de forma permanente por el simple hecho de que no se sabe nunca cuando ni por donde te van a entrar o salir los problemas.
CITA DEL DÍA: “Las modas pasan, la seguridad queda, no te dejes llevar por lo que ves en las pasarelas”
3 comentarios:
Me ha llamado la atención en tu artículo la alegría con la que se puede monitorizar la actividad de los usuarios, y el poco peso de las garantías jurídicas necesarias a la hora de hacerlo. Desde mi punto de vista ¡nada más lejos de la realidad!
En primer lugar, comentar que la facultad de control de la actividad de los trabajadores que permite el artículo 20.3 del Estatuto de los Trabajadores no es absoluta. Por tanto cualquier monitorización de la actividad de los usuarios, requiere al menos del conocimiento por parte de éstos. Esto no lo digo yo, sino que lo dicen los propios tribunales. Algunos ejemplos de esta afirmación, son los siguientes:
SSTSJ Comunidad Valenciana de 19 julio 2005. “Como se ha señalado por la doctrina más autorizada, las medidas empresariales encaminadas a realizar una actuación inspectora o controladora de la actividad laboral de sus trabajadores, deben ir precedidas, en todo caso, de la necesaria información a los destinatarios de los sistemas de control establecidos. Así, se ha venido considerando, que sería contrario a la buena fe contractual que debe presidir las relaciones laborales en la empresa el establecimiento subrepticio de mecanismos de supervisión del uso que hacen los trabajadores de los medios informáticos puestos a su disposición por la empresa para el ejercicio de su quehacer laboral, sobre todo si la implantación de tales mecanismos no obedece a una sospecha previa de actuación fraudulenta por parte del trabajador investigado. En esta misma línea, se debe advertir, que entre las competencias que el artículo 64 ET reconoce al comité de empresa, se encuentra la de emitir informe previo a la «implantación o revisión de sistemas de organización y control de trabajo» [art. 64.4.d) ET]. Pues bien, en el presente caso, ni consta que se hubiera solicitado del comité de empresa de la demandada la emisión el referido informe, ni que se hubiera comunicado a los trabajadores que la empresa se proponía instalar y utilizar sistemas para controlar el correcto uso de las aplicaciones informáticas".
STSJ Madrid 13 mayo 2003. FD5 "...La empresa advierte a sus trabajadores al conectar el ordenador que la utilización del sistema puede ser objeto de supervisión y registro por razones administrativas o de seguridad, consintiendo expresamente tal supervisión todo usuario. FD6 La medida de realizar una copia de seguridad del disco duro del ordenador asignado al actor, herramienta de trabajo y propiedad de la empresa y proceder a verificar su contenido, resulta una medida adecuada y correcta por cuanto el usuario siempre y en todo momento fue advertido de la posibilidad de supervisión y control empresarial, de tal manera que si la utilización privada fue excesiva o inapropiada, ello se debió a imprudencia del trabajador que decidió ignorar la advertencia empresarial de, incluso, adoptar las correcciones disciplinarias correspondientes".
Resoluciones como estas, las hay hasta hartar en la jurisprudencia española, y son un claro ejemplo de que la monitorización y sobre todo cualquier acceso a la esfera a la esfera privada de los trabajadores, no puede hacerse sin tener en cuenta una serie de garantías jurídicas que vienen recogidas en la Constitución, en el Estatuto de los Trabajadores, en la LO 1/1982, en el Código Penal y en la propia Jurisprudencia. Sino que se lo digan a unos cuantos altos cargos de una importante entidad financiera quienes se vieron inmersos en un procedimiento penal “por espiar el correo electrónico de un empleado”.
Resumiendo (que ya me estoy extendiendo de más), informar previamente a los trabajadores, establecer claramente la titularidad de los recursos de la empresa y el uso que los trabajadores pueden hacer de los mismos (es aconsejable elaborar una política de uso), respetar el principio de proporcionalidad (este principio aparece en la mayoría de las resoluciones que tratan sobre la privacidad laboral). Yo aconsejo pasar por los departamentos de asesoría jurídica, antes de utilizar herramientas de monitorización, o antes de adoptar cualquier medida que restringa la liberta de un trabajador, con más inri si está en el punto de mira de un despido, ya que he visto muchas resoluciones en las que se termina declarando nulo el despido por invalidez de las pruebas obtenidas contra el mismo.
Y sobre todo, que el trabajador inicie acciones penales contra los responsables de la empresa, no es descartable.
Espero no haber aburrido a los lectores de este blog.
Estimado Anónimo,
Gracias por leer y participar con tan extensa e interesante aportación. Efectivamente los aspectos legales no son como para dejarlos de lado aunque en la entrada así lo hemos hecho. Debemos reconocer que ha sido de forma deliberada para ver si alguien saltaba a la yugular ....... :-)
Aunque lo descrito en la entrada parezca una práctica habitual y real no lo es para nada, al menos en toda su extensión. Como muy acertadamente dices, en nuestro caso particular, cumplimos con las premisas que indicas.
Todo empleado es informado de que existen mecanismos que registran toda su actividad una vez acceden a los SI (logs de acceso, navegación internet, email (el contenido no!), etc.). Como vez he remarcado "registran" puesto que en tiempo real no se monitoriza ninguna acción del usuario. Tampoco nos resulta muy necesario puesto que la estación de trabajo está bastante capada, no es un terminal tonto pero se le acerca bastante.
En la política de seguridad queda muy claro que toda la información existente en la red, en el correo y en papel es propiedad, y por tanto responsabilidad, de la organización. No se permite la existencia de información "privada o personal" en la red corporativa. Como todo es relativo hay que ser un poco permisivo y haberla la hay....... otra cosa es que acepte. Por ejemplo nos han llegado a solicitar la restauración de una copia de seguridad de unas fotos de las vacaciones.................. en este caso entre el uso y el abuso sólo estaba la tecla "Del" o "Supr"....... :-)
Estamos preparando un artículo para una revista que trata este tema más de cerca y de forma mucho más extensa. Os mantendremos informados.
Más información al respecto en este estupendo análisis de Xavi Ribas de la sentencia del TS del 26/09/2007:
http://pwcspain.typepad.com/blog_landwell/2007/10/control-empresa.html
Ahora comprendo el porqué de mi despido de un día para otro... estas grandes corporaciones...
No estoy de acuerdo con lo referente a "paso de conocimientos" si un día para otro te despiden, de un dia para otro se le olvidará todo (por muchos compañeros queridos que te llamen).
Saludos! gran blog.
Miguel.
Publicar un comentario