Conciencia. Todos los 30 de noviembre se recuerda la importancia de la seguridad de la información.
Con motivo de celebrarse el Día Internacional de la Seguridad de la Información, el Cluster Tic Santa Fe, y la Unión Industrial local organizaron una jornada gratuita que se llevará a cabo mañana en la que se hablará de “Monitoreo corporativo con TICs, ¿Un derecho de la empresa?”. La misma tendrá lugar en la sede de la UISF, en calle 25 de Mayo 2843, y contará como disertantes a Marcelo Temperini y Maximiliano Macedo. Se trata de dos profesionales de la ciudad que llevan adelante una consultora especializada en Seguridad de la Información, y que trabajan desde hace años relacionados con la temática.
En diálogo con Diario UNO, los especialistas contaron que la exposición se va dividir en dos fases. En la primera, expondrán desde el punto de vista técnico sobre algunas herramientas o técnicas para que desde la empresa se pueda realizar el monitoreo o control sobre los recursos informáticos (correo electrónico corporativo, computadora, notebook, redes sociales, etcétera). Es decir, cómo desde la empresa controlar que esas políticas, en el supuesto de que estén establecidas, se cumplen.
“Lo que vamos a mostrar es, a través de ejemplos prácticos, lo difícil que es detectar este comportamiento de los empleados, y lo difícil también que es probarlo. Ese es uno de los principales problemas que tiene la empresa, quizás descubre que un empleado roba información o la filtra a la competencia, o no trabaja y está todo el día en redes sociales. Quizás puede detectar ese comportamiento, el problema es cómo después puede probar legalmente esa situación. Se puede detectar e investigar a nivel interno de la empresa, pero después esas pruebas deben servir en un proceso legal, por ende deben haber sido recabadas siguiendo determinados pasos”, explicaron.
Recolección de esa información
Sea para un conflicto laboral, o para cualquier otro tipo de situación, para que la evidencia digital obtenida pueda servir de prueba debe ser recolectada siguiendo y teniendo en cuenta determinados parámetros. “La evidencia digital tiene como característica de que es volátil, con lo cual hay que tomar determinados recaudos técnicos para asegurar su integridad y que no pueda ser adulterada. Hay muchos casos en la Argentina, y jurisprudencia, donde la empresa detecta el comportamiento inadecuado de un empleado, lo despide pensando que existe la justa causa, y el empleado inicia una demanda hacia la empresa y al momento de aportar la evidencia a ese proceso no es admitido en juicio”, sostuvo el abogado Temperini. El especialista en seguridad sostiene que esto sucede porque “no hay preservación de evidencia, y no hay custodia de la información”.
“Hay un caso muy conocido que lo vamos a comentar el lunes, de una empresa automotriz, donde el CPU del empleado fue reservado por la propia empresa, y aportado al juicio un tiempo después. Esas pruebas no fueron admitidas porque un perito de la parte del empleado sostuvo que esa evidencia, si bien existía, tranquilamente podría haber sido manipulada por la empresa haciendo que la misma sea inadmisible para el proceso”, contó.
Qué se puede prohibir
Para Macedo, lo que se puede hacer y lo que no, con los recursos informáticos de la empresa, debe estar establecido en forma explícita a través de una política, o de normas de uso. “Debería haber un documento del que el empleado esté al tanto, porque si no se le dice lo que no puede hacer, en principio podría hacer cualquier cosa”, señaló y añadió: “Esto tiene una estrecha relación con la función o el trabajo, algo que por lo general en la mayoría de las empresas tampoco está definido. Hay empleos en donde el uso de redes sociales es necesario o complementario de la tarea, entonces no sería lógico que estuviera prohibido el acceso. Pero si estamos hablando de una empresa de ingeniería donde el rol es hacer planos, o ingeniería de procesos, nada tiene que ver una red social con las tareas que le toca cumplir al empleado. Por eso es que tiene que haber una coherencia entre lo que el empleador ofrece o prohíbe, con las tareas que tiene el empleado”, destacó.
Privacidad
Consultado sobre si los empleados pueden sentirse invadidos en su privacidad por el monitoreo de redes que se hace en algunos lugares de trabajo, Temperini resaltó que aquí entra en juego “la expectativa de privacidad”.
“Si bien la ley de contrato de trabajo, es vieja y no está actualizada, y de alguna manera se exige a esta altura, en los artículos donde define la posibilidad de control por parte del empleador, sostiene que se puede controlar al empleado, pero siempre con el debido respeto a la dignidad del empleado. Esto es lo que ha sido considerado en la jurisprudencia en la Argentina, como una expectativa de privacidad”, expresó.
Es decir, que si no se informa de forma expresa, si no hay consentimiento explícito de que se aceptan las reglas que ofrece la empresa, controlar sin avisar puede ser considerado una invasión a la privacidad y podría derivar incluso en un delito informático. “La empresa podría estar cayendo en el acceso indebido a una comunicación electrónica. Si un empleado entra a su correo personal desde la computadora de la empresa, y está siendo controlado sin haber sido advertido, la empresa estaría accediendo al correo personal. No hay política que pueda establecer una empresa que permita que el empleado otorgue consentimiento para que accedan a su correo personal. Únicamente lo que estaría permitido el acceso o el control de recursos corporativos”, advirtió.
Motivación
Otro elemento interesante que resaltaron los expertos en seguridad informática es la motivación. No se trata de controlar a todos en todo momento. Para ejercer determinadas medidas de control tiene que haber un motivo. “Por ejemplo, algunas empresas tienen líneas anónimas para reportar una irregularidad, y recién ahí se abre una investigación. Ante la existencia de indicios de que hay un sospechoso de algo se puede ejercer un nivel más de control, pero no pensar que esto es un gran hermano empresa y que se controla a todos, todo el tiempo”, indicó Temperini. Destacó además que la ley de contrato de trabajo no permite el control discriminatorio. “No se puede controlar a alguien porque es sindicalista”, agregó.
Los profesionales plantean que frente a todo esto, las empresas santafesinas deberían empezar a establecer una política de uso adecuado de las Tics. Es decir, qué es lo que se puede hacer y qué no. El planteo también pasa por cuál es la límite que tienen las empresas para establecer prohibiciones o pautas de comportamiento.
“Hay un aspecto muy interesante sobre esto que es la proporcionalidad. Hay jurisprudencia en Argentina que establece, por ejemplo, que mirar pornografía, o mandar mails con chistes, o descargar música o películas, si bien puede constituir una infracción a las propias reglas establecidas por la empresa, no tiene la gravedad suficiente para justificar un despido. Lo que la empresa debería hacer en esos casos es sancionar o apercibir al empleado, y ante la suma de ellos podría lograr un despido con causa. Es distinto si hay un caso en donde se detecta infidelidad laboral, porque ahí si se justifica el despido”, resaltaron.
El día de la Seguridad de la Información
El día de la Seguridad de la Información se celebra para recordar y concientizar sobre la importancia de la seguridad de la información y de los sistemas y entornos que operan con ella.
“Sirve para recordar de alguna manera a nivel mundial sobre determinados consejos de seguridad. Alrededor del mundo se hacen distintas campañas, jornadas, o eventos que llaman a la ciudadanía al menos a entender sobre aspectos básicos de la seguridad”, explicaron los especialistas en Seguridad de la Información Marcelo Temperini y Maximiliano Macedo.
“Hoy está muy discutido el tema de la seguridad con los atentados de Francia, y las principales empresas de tecnología del mundo tuvieron una discusión muy grande con los gobiernos por el tema del cifrado, que garantiza la confidencialidad de la información. Es muy importante resaltar esto porque escudándose en la seguridad nacional pueden violar derechos de los ciudadanos”, advirtieron.
No hay comentarios:
Publicar un comentario