lunes, 18 de septiembre de 2017

Monitoreo + Concientización = Expectativa de Privacidad


Para comenzar con este post, me parece apropiado tomar una definición muy interesante y clara del libro CISSP All-in-One Exam Guide:

El concepto de privacidad es diferente al de seguridad. Privacidad es la habilidad de un individuo o grupo de controlar quién tiene cierto tipo de información sobre ellos. Es un derecho individual que permite determinar qué datos tendrá otra persona sobre uno mismo, quién tendrá permitido conocer esos datos y cuándo esas personas pueden accederlos. La seguridad se utiliza para hacer cumplir estos derechos de privacidad.
La privacidad es un tema realmente amplio y un sólo post no alcanzaría nunca para poder abarcarlo por completo. Es por eso que el presente se acotará sólo a la privacidad puertas adentro de las organizaciones, en específico a aquella que cada empleado espera tener respecto al monitoreo de sus actividades dentro de la organización y a la importancia que tiene esta expectativa en el marco legal.
 

El monitoreo de usuarios

Uno de los principales problemas que aqueja a las organizaciones en cuanto a la privacidad de sus empleados tiene que ver con el monitoreo de los mismos. Éste sucede por ejemplo cuando se realizan escuchas en llamadas telefónicas, se graban videos de seguridad o se guarda un registro del historial de navegación de los empleados.

El objetivo de una organización al llevar adelante este tipo de acciones pueden tener que ver con aumentar el rendimiento de los empleados, mejorar la satisfacción de los clientes, disuadir a los empleados de realizar acciones que están prohibidas, etc.

Antes de comenzar a monitorear la actividad de sus empleados, una organización deberá investigar exactamente qué puede y no monitorear antes de hacerlo según las leyes de privacidad que rijan en su país.

Por otro lado, debe aclararse que el monitoreo debe estar siempre relacionado al trabajo. Si un gerente tiene el derecho de escuchar las conversaciones de sus subordinados con sus proveedores, no significa que tenga también el derecho de escuchar conversaciones personales que no están relacionadas con el trabajo. El monitoreo a su vez debe ser realizado en forma consistente, de manera que todos los empleados estén sujetos al mismo monitoreo, no sólo una o dos personas.

La expectativa de privacidad

Quizá pueda parecer que con lo presentado hasta el momento cualquier organización puede comenzar sin problemas sus procesos de monitoreo. En realidad, podrán comenzar a hacerlo (muchas lo hacen), pero no sin problemas.

Falta tener en cuenta al actor principal de esta historia: la persona que va a ser monitoreada.

En pocas palabras, la organización debe concientizar a sus empleados para que sepan qué tipo de monitoreo puede ocurrir durante su trabajo. Esta es la mejor manera para una organización de protegerse legalmente, si es necesario, y evitar a su vez dar sorpresas a sus empleados.

Si una organización cree que es necesario monitorear los correos de sus empleados, esto debe ser explicado a los mismos, primero, a través de una política de seguridad, y luego a través de un recordatorio constante, como por ejemplo un newsletter o entrenamiento regular.

De la misma manera, cada persona no sólo debe saber a qué tipo de monitoreo puede estar sujeta, sino que también debe conocer exactamente cuáles son considerados comportamientos aceptables y cuáles son las consecuencias de no cumpir dichos comportamientos. Esto, además de ayudar legalmente a la organización puede disminuir los niveles de estrés, desconfianza e insatisfacción que el monitoreo puede causar a los empleados.

Por último, la organización deberá poseer un registro que respalde las acciones de concientización que ha realizado concernientes a este tema, que pueda ser tratado como un documento legalmente admisible. Este tipo de registro o documento que avale dicha concientización se conoce como renuncia a la expectativa razonable de privacidad, o (REP por sus siglas en inglés: reasonable expectation of privacy)

Si esto no sucede, cuando el monitoreo tome lugar, los empleados podrán reclamar que sus derechos de privacidad han sido violados y lanzar una demanda civil contra la organización.
 

Conclusión

En este artículo pudimos ver cómo la concientización y el entrenamiento van más allá de la creación de hábitos seguros para los usuarios, sirviendo en este caso como un instrumento indispensable a la hora de tratar con la expectativa de privacidad de cada una de las personas dentro de una organización.

0 comentarios:

Publicar un comentario