La mayoría de las organizaciones subestiman el impacto que podría tener el uso incontrolado de Internet y temen que los intentos de monitorizar la actividad online de los empleados podría acarrear problemas con los derechos de privacidad y quejas por parte de los mismos. Un estudio reciente del proveedor GFI Software mostró que menos de la mitad de las pymes encuestadas en Estados Unidos, Gran Bretaña y Francia tienen la intención de monitorizar y controlar el uso de Internet en sus organizaciones.
¡Qué ironía!, ya que sin embargo, la mayoría de los profesionales que participaron en el estudio aseguraron que ellos mismos están muy preocupados por las amenazas de seguridad externas.
Los resultados del estudio sugieren que, aunque las pymes son conscientes de las amenazas que afectan a su seguridad, se centran demasiado en protegerse de los ataques de e-mails y en asegurar la seguridad perimetral. Aunque las amenazas para la seguridad a través del correo electrónico son una realidad, existe, sin embargo, un riesgo aún mayor proveniente del uso impropio y negligente de Internet. Existen, de este modo, cinco razones para controlar y monitorizar el acceso y uso de Internet en las organizaciones. Se trata del:
1. Uso inadecuado o abuso:
Muchos empleados consideran que su acceso a Internet en la oficina es un derecho “sagrado” y aplican, por ende, el mismo uso de Internet en su puesto de trabajo que el que hacen en sus casas. La descarga de software pirata o ilegal, la visita de páginas web con material ilícito o para adultos, las compras o las apuestas online, son sólo algunos ejemplos del uso inadecuado del acceso a Internet por parte de algunos empleados. Otros también dedican un tiempo excesivo a navegar por Sites que no están ligadas a su actividad laboral, como las páginas de noticias o las redes sociales. Todo esto causa un impacto negativo considerable en los niveles de productividad y en recursos, como por ejemplo un gasto excesivo en ancho de banda, algo muy costoso para la empresa.
2. Infecciones por malware
Cuando los empleados no le dan importancia al tipo de páginas web que visitan, existe un riesgo creciente de que se produzcan infecciones por malware y spyware. Algunas páginas web que a primera vista parecen inofensivas, pueden haber sido manipuladas y convertidas en simples transmisores de Troyanos, para acceder a la red de la empresa, consiguiendo saltarse con frecuencia los programas antivirus basados en firma. En este caso, es suficiente la contaminación de una única estación de trabajo. Clicar en links y descargarse software (frecuentemente dotado de código malicioso) representa, de este modo, un importante peligro para la seguridad de la información de la empresa.
3. Abuso del acceso al correo electrónico de la empresa
El acceso al correo electrónico a través de Internet puede ser una puerta trasera a través de la que los empleados trafiquen con información de la empresa, se descarguen o intercambien material inapropiado o mantengan contacto con amigos en las horas de trabajo. El correo puede contener información difamatoria que cause un daño serio a la reputación de una organización. Existen, por lo tanto, unas cuantas buenas razones para permitir que los empleados accedan a su correo laboral desde Internet, pero también múltiples razones para impedir dicho acceso.
4. Negligencia
Hay muchos empleados que no valoran los riesgos existentes para la seguridad de la información y de la red informática de la empresa. Incluso aquellos con buenas intenciones pueden clicar sobre links incluidos en e-mails phising, abrir páginas web no genuinas, facilitar sus datos personales y correos electrónicos on-line sin tener una buena razón para ello, abrir ficheros sospechosos y un largo etc. Si en una empresa no existen unas adecuadas políticas de formación y seguridad, la monitorización y el control del uso de Internet por parte de un administrador TI puede resultar la única manera para garantizar la seguridad.
5. Responsabilidad legal
La presencia de materiales ilegales, ilícitos o inapropiados en los PCs de los usuarios puede originar problemas de responsabilidad legal para la compañía. Es verdad que a las empresas se las demanda a veces por algunas razones totalmente absurdas, pero ninguna empresa puede dormirse en los laureles. La monitorización del acceso a Internet y el filtrado de páginas web dotan a los empresarios de la munición necesaria para refutar cualquier demanda por parte de sus empleados o sus clientes. En una demanda laboral, por ejemplo, la compañía puede necesitar los informes de accesos a Internet para enfrentarse a un empleado que pretende haber sido despedido injustamente. Si la compañía es capaz de demostrar que este empleado dedica una parte importante de su jornada navegando por Internet o que ha accedido a páginas web de contenido inapropiado, en vez de trabajar, tiene ganado el caso. Sin esta evidencia, sin embargo, difícilmente ganará un pleito de este tipo. Existe también una responsabilidad fiduciaria de los gerentes de contar con estos datos, cuando los mismos son requeridos.
Lejos de buscar una prohibición total del acceso a Internet, (algo inusual, salvo que se trate de complejos e instalaciones militares de más alta seguridad), la monitorización del uso que se hace de la Red y la seguridad web son una obligación para proteger a las organizaciones de las amenazas que acechan desde Internet y de su uso inadecuado en el horario de trabajo.
No a todos los empleados les gusta la idea de que su actividad online resulte monitorizada, de modo que las compañías necesitan explicar adecuadamente por qué es necesaria esta monitorización. En la mayoría de los casos, eso sí, los que más se quejan de estas prácticas son los trabajadores que tienen algo que ocultar. Y es que, los empleados que ejecutan su trabajo de manera adecuada, no necesitan ser monitorizados, pero aquellos que abusan de los sistemas, deben ser controlados en interés de todos.
El establecimiento de una monitorización efectiva del acceso a Internet dependerá de la existencia en la organización de unos procesos adecuados y de unas políticas de uso de la Red aceptables, que definan lo que los empleados pueden y no pueden hacer, con un acercamiento estricto al uso de Internet que sin embargo no suponga la estrangulación de este uso. Leer la prensa por la mañana o actualizar la cuenta personal en una red social es algo aceptable, dentro de unos límites, y los empleados apreciarán que la organización no pretenda eliminar de raíz todas estas actividades.
El deber de los gestores es parar los pies a aquellos que abusan del sistema (hay que dejar claro que el acceso a Internet no es un derecho de los empleados como tal), por el bien de la compañía y de todos que trabajan duro en la misma. Los riesgos para los negocios hoy en día son demasiados y tampoco se trata de desplegar un sistema de control de tipo “Gran Hermano”, pero sí de mantenerse en alerta y estar preparado.
H
