Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas
A la hora de hablar de que los empleados de una compañía dispongan o no de conexión a Internet, y el nivel de filtrado que se aplique, siempre surgen controversias. Estos temas son habitualmente foco de discusión, y generalmente, entre posiciones extremas: los empleados sí deben tener acceso a Internet, y los empleados no deben tener ese acceso. Muy rara vez se habla de una manera ponderada, en la que ni todo es blanco, ni todo es negro, y donde se enfrentan, para cada caso, pros y contras.
Internet es una herramienta de trabajo, y por tanto, muchos empleados deben disponer de acceso para rendir mejor en sus puestos, para solucionar problemas relacionados con su posición, e incluso para que de vez en cuando "estiren las piernas" y se reconcentren en sus cometidos.
No menos cierto que en determinados puestos no pasaría nada si Internet no existiera. Seamos conscientes de que en determinadas ocupaciones ni tan siquiera hace falta un ordenador. Pero la discusión interesante se abre en otra vía. Allí donde sí hay un ordenador, y donde esperamos que Internet sea una herramienta de trabajo para mejorar la productividad, ¿qué medidas se pueden tomar para que este tipo de accesos no perjudique a nadie?
Internet es una valiosa fuente de información, pero es también una poderosa fuente de riesgos. Se me ocurren muchos ejemplos, como por ejemplo ser una posible entrada de malware, la generación de brechas para intrusiones, la paralización de actividades en caso de denegación de servicios, la posibilidad de que los empleados deshonestos evadan información, la revelación no intencionada de información sensible y los secretos industriales, los ataques basados en correo electrónico, accesos remotos no controlados, contaminación vía P2P y por mensajería instantánea ... la lista es larga y peliaguda, y por tanto, merece una mínima reflexión.
En este contexto, documentos como Threat Analysis of Allowing Employee Internet Access pueden suponer una orientación para quien quiera dotar de acceso a Internet a sus empleados, pero con criterio y con las suficientes salvaguardas. Y por qué no, también puede servir para aquellos que ya ofrecen conectividad a sus empleados y que quieran conocer un poco mejor los riesgos que se tienen como contraparte.
Yo soy de los que creo que Internet es un gran invento, y que en la mayoría de ocasiones, no debe cometerse el error de desperdiciar sus ventajas, ofreciendo a los empleados acceso a la Red. Pero también estoy seguro de que deben existir medidas de control para evitar que lo que esperamos que sea una ventaja no se convierta en un problema. Este balanceo es una disciplina complicada, salpicada muchas veces por aspectos legales y que se bate permanentemente en la siempre delgada línea de la confidencialidad de las comunicaciones, pero las cosas bien hechas pueden conducir a buenos resultados. Ofrecer conexión segura, privada y eficiente para empleador y empleado es un objetivo alcanzable.
Fuente: http://www.sahw.com/wp/archivos/2008/04/01/acceso-a-internet-por-parte-de-los-empleados-ventajas-riesgos-y-amenazas/
Internet es una herramienta de trabajo, y por tanto, muchos empleados deben disponer de acceso para rendir mejor en sus puestos, para solucionar problemas relacionados con su posición, e incluso para que de vez en cuando "estiren las piernas" y se reconcentren en sus cometidos.
No menos cierto que en determinados puestos no pasaría nada si Internet no existiera. Seamos conscientes de que en determinadas ocupaciones ni tan siquiera hace falta un ordenador. Pero la discusión interesante se abre en otra vía. Allí donde sí hay un ordenador, y donde esperamos que Internet sea una herramienta de trabajo para mejorar la productividad, ¿qué medidas se pueden tomar para que este tipo de accesos no perjudique a nadie?
Internet es una valiosa fuente de información, pero es también una poderosa fuente de riesgos. Se me ocurren muchos ejemplos, como por ejemplo ser una posible entrada de malware, la generación de brechas para intrusiones, la paralización de actividades en caso de denegación de servicios, la posibilidad de que los empleados deshonestos evadan información, la revelación no intencionada de información sensible y los secretos industriales, los ataques basados en correo electrónico, accesos remotos no controlados, contaminación vía P2P y por mensajería instantánea ... la lista es larga y peliaguda, y por tanto, merece una mínima reflexión.
En este contexto, documentos como Threat Analysis of Allowing Employee Internet Access pueden suponer una orientación para quien quiera dotar de acceso a Internet a sus empleados, pero con criterio y con las suficientes salvaguardas. Y por qué no, también puede servir para aquellos que ya ofrecen conectividad a sus empleados y que quieran conocer un poco mejor los riesgos que se tienen como contraparte.
Yo soy de los que creo que Internet es un gran invento, y que en la mayoría de ocasiones, no debe cometerse el error de desperdiciar sus ventajas, ofreciendo a los empleados acceso a la Red. Pero también estoy seguro de que deben existir medidas de control para evitar que lo que esperamos que sea una ventaja no se convierta en un problema. Este balanceo es una disciplina complicada, salpicada muchas veces por aspectos legales y que se bate permanentemente en la siempre delgada línea de la confidencialidad de las comunicaciones, pero las cosas bien hechas pueden conducir a buenos resultados. Ofrecer conexión segura, privada y eficiente para empleador y empleado es un objetivo alcanzable.
Fuente: http://www.sahw.com/wp/archivos/2008/04/01/acceso-a-internet-por-parte-de-los-empleados-ventajas-riesgos-y-amenazas/
-
Posts Relacionados:
Trabajo en seguridad de información en un organismo pronvincial de Santa Fe y tuvimos la misma discusión.
Cuando se abrió el acceso a Internet a los empleados, decidimos abrir la puerta a todo el que tenga un pedido de acceso (con los filtros de un firewall obvio), pero hacerle firmar a todo aquel que tenga acceso a internet una notificación de que la navegación es para fines laborales y que puede ser monitoreada.
Todos los días se manda a los subdirectores de área en un mail con el log del proxy por operador de las máquinas de su oficina.
Si bien suponemos que no todos controlan la información, el hecho de que se manda un resumen y detalle de la navegación al jefe actúa como un moderador para los operadores en cuanto al tiempo de uso y a las páginas a las que se accede.
En cuanto a la privacidad estamos cubiertos con la notificación que firma el empleado.
Espero que la experiencia le sirva a alguien.
Publicar un comentario en la entrada
Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.
Gracias por comentar!