12_tribes - Fotolia
Monitorear al personal como parte de su programa de protección de datos es complicado
En un reciente estudio, Forcepoint reveló los retos legales, de recursos humanos, de TI y laborales que conlleva para las empresas monitorear al personal dentro de las estrategias de protección de datos sensibles.
Para las organizaciones que planean e implementan programas de protección de datos en las que monitorear al personal es uno de sus componentes, la empresa de seguridad Forcepoint anunció que patrocinó, en asociación con la firma legal Hogan Lovells, el estudio Gestionando el Riesgo Informático del Personal en el Panorama Global: Un Análisis Legal. El informe explora los problemas potenciales de los programas mundiales diseñados para monitorear al personal e identifica las implicaciones legales de 10 actividades de monitoreo distintas en 15 países.
Conforme las organizaciones de todo el mundo analizan sus procesos internos de gestión de datos para cumplir con nuevas y más exigentes regulaciones y lineamientos como GDPR, la protección de los datos personales de los clientes se está convirtiendo en una prioridad mucho mayor. Una forma de gestionar la protección de datos y proteger contra las amenazas internas y externas es vigilar el uso de los recursos de información, pero monitorear al personal en una empresa plantea un reto para los equipos legales, departamentos de recursos humanos, equipos de TI y propietarios de empresas cuando buscan equilibrar la necesidad de proteger los datos y la propiedad intelectual con la privacidad y los derechos legales de sus empleados. Para las organizaciones con operaciones internacionales, las leyes de cada país plantean desafíos adicionales, lo que las obliga a desarrollar múltiples políticas, de acuerdo al lugar donde se ubique su personal.
“Cuando estructuramos nuestros programas de seguridad, revisamos las evaluaciones del impacto a la protección de datos/privacidad (DPIA/PIA) y nos dimos cuenta de que necesitábamos asesoría legal adicional”, señaló Allan Alford, CISO de Forcepoint. “Sabíamos que nuestros clientes también se enfrentarían a este desafío, así que le encargamos a Hogan Lovells, firma legal especializada en privacidad y cumplimiento, llevar a cabo este estudio que está disponible públicamente”.
El estudio es considerado la primera evaluación publicada del panorama legal internacional que aborda específicamente la implementación de programas de amenazas para el personal, y ofrece una guía útil para quienes están a cargo de revisar y refinar los programas de cumplimiento de sus organizaciones.
El equipo de Hogan Lovells, con el apoyo de firmas de abogados locales, investigó y proporcionó orientación sobre las tres principales áreas legales que rigen a los programas de defensa cibernética que involucran el monitoreo de la fuerza laboral: leyes de privacidad y protección de datos; leyes de secretismo de comunicaciones; y derecho laboral.
Con un conjunto de preguntas que se tienen que hacer las organizaciones, además de medidas sugeridas para proteger la privacidad, el estudio ofrece una serie de mejores prácticas para las organizaciones, así como información específica sobre los requerimientos en cinco países diferentes.
El cambiante panorama de las amenazas y la regulación crean la necesidad de monitorear al personal
Ya que las herramientas tradicionales no logran ofrecer información contextual sobre el riesgo humano, la exigencia de que las organizaciones entiendan el comportamiento del punto humano –donde coinciden usuarios, datos y redes– va en aumento.
“Varios casos recientes han demostrado de qué manera los incidentes informáticos pueden paralizar las operaciones, dañar la reputación y exponer a las organizaciones a consecuencias regulatorias y litigios privados”, aseguró Harriet Pearson, socio de Hogan Lovells. “En este contexto, los empleados de una organización son una fuente de riesgo que puede ser accidental o intencional. Con el propósito de identificar, detectar, prevenir y mitigar efectivamente los efectos de los incidentes informáticos, las organizaciones necesitan enfrentar las amenazas externas e internas, y lo que vemos cuando trabajamos con los clientes de todas las industrias es que una de las formas efectivas de mitigar este riesgo es monitorear la manera en que los usuarios interactúan con recursos de datos e información críticos”.
Sin embargo, monitorear al personal implica distinta complejidad en los 15 países que examinó el reporte. Hogan Lovells le dio una calificación general al esfuerzo para el cumplimiento legal requerido en cada país. En algunas jurisdicciones, las empresas tienen amplia autoridad para monitorear el uso que hace el personal de los recursos de información. En otros, las organizaciones deben evitar procesar las comunicaciones personales, y analizar las comunicaciones e información privadas únicamente donde existe la sospecha razonable de una conducta indebida.
Muchos países requieren que los programas para monitorear al personal solo se implementen después de realizar una consulta y tener el consentimiento de los representantes del personal o de empleados individuales.
En Estados Unidos, por ejemplo, la ley federal estipula que las organizaciones estén exentas de responsabilidad al punto que monitorean sus sistemas de información para propósitos de seguridad cibernética. Pero en Finlandia, a las empresas en general se les prohíbe tener acceso al contenido de las comunicaciones enviadas o recibidas por los empleados.
“Un programa de monitoreo del personal debe ser proporcional, respetuoso e implementarse de forma transparente para asegurar la confianza del personal”, añade Alford. “Es un acto de equilibrio delicado: los empleados y empresas deben trabajar codo a codo para protegerse entre sí. Todos queremos una mejor protección para nosotros y nuestra información y datos importantes, pero monitorear cuándo, cómo y por qué los empleados interactúan con varios datos corporativos tiene implicaciones evidentes e importantes para la privacidad”.