Skip to content

Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas

Publicado por Sergio Hernando el 1 abril 2008

Buenas,

A la hora de hablar de que los empleados de una compañía dispongan o no de conexión a Internet, y el nivel de filtrado que se aplique, siempre surgen controversias. Estos temas son habitualmente foco de discusión, y generalmente, entre posiciones extremas: los empleados sí deben tener acceso a Internet, y los empleados no deben tener ese acceso. Muy rara vez se habla de una manera ponderada, en la que ni todo es blanco, ni todo es negro, y donde se enfrentan, para cada caso, pros y contras.

Internet es una herramienta de trabajo, y por tanto, muchos empleados deben disponer de acceso para rendir mejor en sus puestos, para solucionar problemas relacionados con su posición, e incluso para que de vez en cuando "estiren las piernas" y se reconcentren en sus cometidos.

No menos cierto que en determinados puestos no pasaría nada si Internet no existiera. Seamos conscientes de que en determinadas ocupaciones ni tan siquiera hace falta un ordenador. Pero la discusión interesante se abre en otra vía. Allí donde sí hay un ordenador, y donde esperamos que Internet sea una herramienta de trabajo para mejorar la productividad, ¿qué medidas se pueden tomar para que este tipo de accesos no perjudique a nadie?

Internet es una valiosa fuente de información, pero es también una poderosa fuente de riesgos. Se me ocurren muchos ejemplos, como por ejemplo ser una posible entrada de malware, la generación de brechas para intrusiones, la paralización de actividades en caso de denegación de servicios, la posibilidad de que los empleados deshonestos evadan información, la revelación no intencionada de información sensible y los secretos industriales, los ataques basados en correo electrónico, accesos remotos no controlados, contaminación vía P2P y por mensajería instantánea ... la lista es larga y peliaguda, y por tanto, merece una mínima reflexión.

En este contexto, documentos como Threat Analysis of Allowing Employee Internet Access pueden suponer una orientación para quien quiera dotar de acceso a Internet a sus empleados, pero con criterio y con las suficientes salvaguardas. Y por qué no, también puede servir para aquellos que ya ofrecen conectividad a sus empleados y que quieran conocer un poco mejor los riesgos que se tienen como contraparte.

Yo soy de los que creo que Internet es un gran invento, y que en la mayoría de ocasiones, no debe cometerse el error de desperdiciar sus ventajas, ofreciendo a los empleados acceso a la Red. Pero también estoy seguro de que deben existir medidas de control para evitar que lo que esperamos que sea una ventaja no se convierta en un problema. Este balanceo es una disciplina complicada, salpicada muchas veces por aspectos legales y que se bate permanentemente en la siempre delgada línea de la confidencialidad de las comunicaciones, pero las cosas bien hechas pueden conducir a buenos resultados. Ofrecer conexión segura, privada y eficiente para empleador y empleado es un objetivo alcanzable.

Be Sociable, Share!

Categoría/s → Seguridad

6 comentarios
  1. 2 abril 2008
    apn permalink

    La verdad es que la controversia existente en este sentido, no deja de ser un punto muy a tener muy cuenta en el seno de una empresa.

    No obstante, estoy totalmente a favor de que el uso de Internet en el ámbito profesional, debe ir orientado exclusivamente a facilitar el desarrollo de las tareas asignadas a sus empleados.

    Por esta razón, y para evitar males mayores, considero que lo recomendable en estos casos, sería que la propia organización estableciese una serie de reglas o normas internas que regulasen su uso, a fin de evitar que las malas prácticas por parte de los empleados pudiera derivarse en una amenaza interna para el negocio.

    Saludos.

  2. 2 abril 2008

    En esta controversia las opiniones no se razonan y los pros y contras no llevan a valorarse imparcialmente. Como en toda decisión, hay que calibrar las consecuencias. Yo también soy de los que consideran que Internet debe estar accesible, pero los contenidos pueden ser dirigidos. Si creamos una buena Intranet, quizás el empleado prefiera perder el tiempo en recursos internos como puede ser la autoformación o calendarios de eventos o buzones de sugerencia, que por la Internet general donde puede no saber a donde ir.
    Respecto a su control, las medidas deben ser de naturaleza técnica pero también organizativa.
    De las medidas técnicas, yo implantaría mecanismos de monitorización y supervisión de uso, sin invadir la intimidad del trabajador pero para saber en general hacia donde se navega. Incluso de alguna manera, procesar esta información y hacerla pública, con carácter disuasorio puesto que si uno sabe que abusando de cierta Web, ésta puede figurar entre las más consultadas, puede pensar que finalmente darán con él.
    De las medidas organizativas, en general, las empresas carecen de una política de uso del correo electrónico e Internet. No podemos exigir a nuestros empleados que se porten bien si previamente nadie dice que está bien o está mal (incluso aunque todos lo supongamos). Esta política debe ser consensuada y pactada entre todos, para que no se vea como una imposición autorizaria sino como una reflexión madura y consultada. Postearé estos días un documento sobre cómo hacer una política de uso de Internet.

  3. 3 abril 2008

    Este tema, bajo mi parecer, como todos, tiene dos puntos de vista: usuarios (trabajadores) y directivos (gerentes).

    Desde el punto de vista de los usuarios coartarle la libre disposición del uso de una herramienta como internet es retraernos a épocas mediavales. Yo estoy con ellos; internet es una herramienta muy válida para cualquier tipo de trabajo y fomenta que, aquellas personas que sean un poco inquietas y tengan algo de inciativa, desarrollen su trabajo con mejor calidad. Es obvio que en el mundo en que vivimos mucha gente no podía trabajar sin el uso de internet.

    Desde el punto de vista de los directivos o gerentes o administradores de red la cosa ya no está tan clara. Por medio de herramientas como proxies o gestores de contenido se puede demostrar, facilmente, que hay usuarios que no respetan y abusan de ciertos contenidos cuyo uso indebido influye en compañeros que, por su trabajo, necesitan ancho de banda de internet y hace que sus conexiones sean antediluvianas.

    La solución ideal siempre está cerca del medio de ambos puntos de vista aunque es dificil de encontrar. ¿Acceso libre con fuertes restricciones de proxies y gestores de contenido o acceso únicamente a páginas permitidas por la organización (intranet)?

  4. 3 abril 2008
    EAM permalink

    Comparto todas vuestras opiniones al respecto. Es un tema sujeto a muchas interpretaciones, consideraciones, etc. Ahora os planteo un caso práctico: todo lo relativo al uso de internet y email está claramente procedimentado y a disposición de la organización. Tenemos un gestor de contenidos. Además se hacen auditorías periódicas de seguridad, entre otras cosas se revisan los logs de internet. PUES BIEN, a pesar de todo ello, siguen habiendo usuarios que han consumido un total de 136 horas (este mes de marzo) de navegación por internet (20 días al mes aprox. = 6 horas +- al día). También señalar que es un caso reincidente. Que hacer ? Lo teórico está muy claro pero en la práctica no lo es tanto……..

  5. 4 abril 2008

    La política de uso, como toda norma o procedimiento debe dedicar un apartado al incumplimento. Toda regla o ley que siendo incumplida no tenga consecuencias, se transforma en una norma irrelevante. En el caso que planteas, deberíais quizás pensar en un regimen sancionador progresivo, para que las primeras consecuencias no sean excesivamente graves pero la reiteración consciente e intencionada conlleve una sanción importante que pueda disuadir al usuario de llegar a ese extremo.

    Si la norma no regula el incumplimiento es muy posible que no sea cumplida por nadie.

Trackbacks & Pingbacks

  1. Política de uso de Internet – TodoNoticias Iso27001

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS