Un tercio de las grandes compañías leen y analizan el correo saliente de los empleados

Esta es la eastadística resumen que ofrece el artículo Report: A third of large firms monitor e-mail, a la que he tenido acceso a través del popular servicio de noticias e informes de SecurityFocus.

Estos datos hacen referencia a las corporaciones americanas, con lo que no creo que las estadísticas en la Unión Europea y concretamente en España sean parecidas. Principalmente por los marcos legales, ya que cada país tiene sus propias regulaciones para establecer si acceder al correo que envían y reciben los empleados.

correo

La consultora Proofpoint es clara al respecto: uno de cada tres correos salientes es inspeccionado por personal específicamente contratado a tal efecto.

Según ProofPoint, el 38% de las empresas con más de 1000 empleados alquila personal para analizar el correo saliente. La justificación es principalmente el control de información confidencial que puede salir del perímetro organizativo, si bien es una buena manera, según algunas gerencias, de controlar a los empleados cuyos resultados dependen de los mensajes, ofertas, contactos y contenidos que envían a través del correo electrónico.

Un 44% de las compaías con más de 20.000 empleados contratan en plantilla personal de auditoría para estos propósitos (les sale más barato que externalizar, lógicamente). Durante el pasado 2005, en torno a un 30% de las compañías entrevistadas reconoció haber encargado alguna investigación de fugas de confidencialidad, y un 36% aseguró haber tenido que investigar violaciones de privacidad y de protección de datos presuntamente cometidas a través del correo saliente.

Es también significativo que el 10% de las empresas públicas entrevistadas investigó la publicación de material confidencial en blogs y foros durante el 2005. En torno a 1 de cada 5 compañías (17%) ha expedientado a algún empleado durante ese período por haber publicado sin autorización contenidos en blogs y foros, resultando en torno a un 7% el porcentaje de compañías que recurrió a despidos por tales acciones. Se estima en un 25% el número de empresas que en algún momento han recibido algún tipo de orden judicial para procesar el correo saliente, a causa de la investigación de algún incidente de seguridad, privacidad o propiedad intelectual.

El informe completo de ProofPoint puede ser descargado libremente en http://www.proofpoint.com/outbound/. En lo que respecta a España, la situación se puede resumir en lo siguiente:

Como veis la situación es compleja y no está nada claro el asunto, al menos para mí. El tener acceso al correo electrónico corporativo sigue siendo uno de los retos legales más difíciles de cubrir en la implementación de cualquier sistema de gestión de la seguridad, en el que por cualquier razón, se necesite implementar cualquier tipo de control del correo corporativo.

Si algún letrado/a está leyendo esto, ruego nos ilumine sobre el asunto o nos aporte más datos :)

4 comentarios sobre “Un tercio de las grandes compañías leen y analizan el correo saliente de los empleados

  1. La constitución garantiza: El secreto de las comunicaciones y la intimidad personal.
    De acuerdo que la conexión y el ordenador que usa un empleado es propiedad de la empresa, pero lo que escribe es precisamente lo que garantiza la constitución: su privacidad.
    Si comparamos el correo electrónico con el ordinario:
    Tomo un sobre de la empresa, un folio y un sello de la empresa y con el boligrafo, también de la empresa escribo una carta a mi hijo, padre o novia. ¿La empresa la puede abrir impunemente y leer para comprobar que no estoy enviando secretos industriales?.

    Se me ocurre que quizá si desde el primer día dejara claro y yo aceptara que el correo electrónico de la empresa no es un medio privado.

  2. Sergio,

    Efectivamente, el marco legal es poco explícito a este respecto. Hay algunas medidas, sin embargo, que pueden proteger los derechos e intereses tanto de los empleados como de la empresa.

    1. Los empleados han de ser informados de la obligatoriedad (establecida por la empresa) de restringir el uso de correo y navegación a fines estrictamente profesionales. Normalmente, esto se se suele hacer mediante la aceptación de un código de conducta. En algunas compañías (la mía, sin ir más lejos), el código de conducta general incluye apartados específicos sobre el uso de correo y navegación, y obligaciones respecto de la seguridad de la información.

    2. Los empleados han de ser informados de que tanto su actividad de correo como su navegación por Internet se están monitorizando y registrando, así como de los fines que pretende la empresa con esa monitorización (normalmente, la seguridad de los sistemas internos y evitar el mal uso de recursos corporativos -como el ancho de banda contratado, etc.- ) Si el objetivo perseguido es directamente la delación laboral, entonces todo se complica ;-)

    3. La empresa, por su parte, puede (¿y debe?) comprometerse a que los log y la monitorización no se emplearán contra un trabajador salvo que se haya procedido a la apertura de algún tipo de investigación o expediente sancionador, para lo cual se contará en todo momento con la presencia y supervisión de los representantes sindicales.

    4. En la medida que, por ejemplo los log de navegación, pudieran ayudar a establecer tendencias de carácter religioso, sexual, etc. de los distintos empleados, estos log deberían tratarse como datos de carácter personal, sujetos a la LOPD. Esto es especialmente importante si se aplica alguna política de «mail retention».

    No está reñido mantener un buen control de los sistemas corporativos con la privacidad del individuo.

    Por ejemplo, en los log de los proxies no es necesario obtener informes que digan que fulano o mengano son asiduos de http://www.ligueros_ardientes.com (la URL me la he inventado ahora, pero igual existe :-) ). Basta con saber que alguien ha accedido a esa URL, e incluirla en la correspondiente lista negra.

    La próxima vez que fulano o mengano tengan un pico de líbido, se encontrarán con un mensaje que les comunicará que la URL en cuestión no parece responder a fines profesionales, pero que siempre pueden contactar con su jefe para que se habilite de nuevo el acceso, si es que la necesitan para su labor profesional.

    En fin, son simplemente ideas, no sé si muy buenas o muy malas. Contar con los representantes sindicales antes de imponer medidas a saco es también muy recomendable. Cuesta bastantes horas de negociación, y seguramente exige ceder un poco en algunos controles, pero en general se consigue que las medidas que se implanten sean mejor acogidas por los empleados, y evitarles la sensación de agobio al estilo 1984.

    Una cosa curiosa, resultado de esas negociaciones, es que donde trabajo las páginas deportivas están cerradas durante las horas punta de actividad, pero se abren el resto del día porque no se consideran peligrosas. También se acepta como uso profesional el que los empleados puedan gestionar sus cuentas bancarias por Internet, arreglar unas vacaciones con una agencia de viajes, etc. Lo mismo se aplica a correos electrónicos intercambiados con estos fines. Sin embargo, el uso de webmail privado no se considera aceptable, por el riesgo que supone.

    En fin, ante la falta de un marco legal más claro, encontrar un equilibrio razonable puede dar buenos resultados.

    Saludos

  3. Yo desde hace un año y medio vengo siguiendo a una compañía americana llamada Vontu (http://www.vontu.com) cuyo enfoque al problema de la protección perimetral es un giro de 180º respecto a las tecnologías actuales.

    En vez de bloquear trafico de fuera a dentro, esta compañía ha creado lo que denominan un «firewall de datos». Las reglas no se establecen en base a protocolos y las capas de la pila OSI sino que explicitamente se determina qué información no puede salir de la red interna al exterior.

    Te extracto un resumen aparecido en una Web de innovación llamada Infonomía (http://www.infonomia.com) y cuya sección de herramientas útiles es una delicia.
    «Vontu»

    La seguridad en la gestión de la información es cada vez más importante. Diariamente gestionamos multitud de información (emails, documentos, …), que puede ser sensible a la empresa, y que terceras personas accedan a esta información confidencial suele ser más habitual de lo deseado. Accesos no deseados, empleados no contentos que envían esta información a terceras empresas, virus informáticos que envían documentación via email, son algunos de los ejemplos que algunas empresas se han encontrado. Si bien existen muchos sistemas de seguridad, destacando en este sentido los cortafuegos, es cierto que es un campo complejo y que va evolucionando con rapidez. De todas maneras, los cortafuegos habituales funcionan desde un punto de vista pasivo: analizan quién quiere entrar en nuestros sistemas de información, y evitan dicho acceso en la medida de lo posible. Pero la empresa que comentamos está desarrollando un sistema que aplica un principio diferente: se trata de una solución que itnentarán evitar que la información “sensible” salga de nuestra empresa. Se trata de una actitud activa que evita ante todo que la información más valiosa llegue a salir de nuestra empresa. Para ello, su producto analiza todo el tráfico que sale de la empresa. Si por ejemplo, un empleado desea enviar un correo electrónico a una tercera persona con alguna información confidencial, el sistema lo evitará. Un claro ejemplo de la posibilidad de ofrecer nuevos productos innovadores partiendo de un punto de vista diferente a la solución tradicional.» Autor: David Ramon.

Comentarios cerrados.