Investigación de Forcepoint destruye los mitos de monitorear al personal

Emma Taylor
Enero 25, 2018, 12:00 am CST

Se lanza el estudio “Gestionando el Riesgo Cibernético de la Fuerza de Trabajo en el Panorama Global: Un Análisis Legal”, en asociación con Hogan Lovells

AUSTIN, Texas – Enero 25, 2018 – Forcepoint, líder global en seguridad cibernética, anunció hoy que patrocinó un estudio a fondo, en asociación con la firma legal Hogan Lovells, el cual explora los problemas potenciales de los programas mundiales diseñados para monitorear al personal e identificar las implicaciones legales de 10 actividades distintas de monitoreo en 15 países. Gestionando el Riesgo Cibernético de la Fuerza de Trabajo en el Panorama Global: Un Análisis Legal es un documento esencial para las organizaciones que planean e implementan programas de protección de datos en las que monitorear al personal es uno de sus componentes.

Conforme las organizaciones de todo el mundo analizan los procesos internos de gestión de datos para cumplir con nuevas y regulaciones más exigentes, además de lineamientos como GDPR, la protección de los datos personales de los clientes se está convirtiendo en una prioridad mucho mayor. Una forma de gestionar la protección de datos y protegerse contra las amenazas internas y externas es vigilar el uso de los recursos de información. El monitoreo del personal plantea un reto para los equipos legales, departamentos de recursos humanos, equipos de TI y propietarios de empresas cuando buscan equilibrar la necesidad de proteger los datos y la propiedad intelectual con la privacidad y los derechos legales de sus empleados. Para las organizaciones con operaciones internacionales, las leyes de cada país plantean desafíos adicionales, lo que las obliga a desarrollar múltiples políticas, de acuerdo al lugar donde se ubique su personal.

“Cuando estructuramos nuestros programas de seguridad, revisamos las Evaluaciones del Impacto a la Protección de Datos/Privacidad (DPIA/PIA) y nos dimos cuenta de que necesitábamos asesoría legal adicional,” señaló Allan Alford, CISO de Forcepoint. “Sabíamos que nuestros clientes también se enfrentarían a este desafío, así que le encargamos a Hogan Lovells, la firma legal especializada en privacidad y cumplimiento, llevar a cabo este estudio que está disponible públicamente.”

El estudio es considerado la primera evaluación publicada del panorama legal internacional que aborda específicamente la implementación de programas de amenazas para el personal, y ofrece una guía útil para quienes están a cargo de revisar y refinar los programas de cumplimiento de sus organizaciones. El equipo de Hogan Lovells, con el apoyo de firmas de abogados locales, investigó y proporcionó orientación sobre las tres principales áreas legales que rigen a los programas de defensa cibernética que involucran el monitoreo de la fuerza laboral: leyes de privacidad y protección de datos; leyes de secretismo de comunicaciones; y derecho laboral.

Con un conjunto de preguntas que se tienen que hacer las organizaciones, además de medidas sugeridas para proteger la privacidad, el estudio ofrece una serie de mejores prácticas para las organizaciones, así como información específica sobre los requerimientos en cinco países diferentes.

El cambiante panorama de las amenazas y la regulación crean la necesidad de monitorear al personal

Ya que las herramientas tradicionales no logran ofrecer información contextual sobre el riesgo humano, la exigencia de que las organizaciones entiendan el comportamiento del punto humano, que es en donde entrelazan usuarios, datos y redes, el cual va en aumento.

“Varios casos recientes han demostrado de qué manera los incidentes cibernéticos pueden paralizar las operaciones, dañar la reputación y exponer a las organizaciones a consecuencias regulatorias y litigios privados,” aseguró Harriet Pearson, socio de Hogan Lovells. “En este contexto, los empleados de una organización son fuente de riesgo que puede ser accidental o intencional. Con el propósito de identificar, detectar, prevenir y mitigar efectivamente los efectos de los incidentes informáticos, las organizaciones necesitan enfrentar las amenazas externas e internas, y lo que observamos cuando trabajamos con los clientes de todas las industrias es que una de las formas efectivas de mitigar este riesgo es monitorear la manera en que los usuarios interactúan con los datos e información crítica.”

Entendiendo las diferencias internacionales

Monitorear al personal implica complejidad distinta en los 15 países que examinó el reporte. Hogan Lovells le dio una calificación general al esfuerzo para el cumplimiento legal requerido en cada país. En algunas jurisdicciones, las empresas tienen amplia autoridad para monitorear el uso que hace el personal de los recursos de información. En otros, las organizaciones deben evitar procesar las comunicaciones personales, y analizar las comunicaciones e información privadas únicamente donde existe la sospecha razonable de una conducta indebida.

Muchos países requieren que los programas para monitorear a los empleados solo se implementen después de realizar una consulta y tener el consentimiento de los representantes del personal o de empleados individuales.

En Estados Unidos, por ejemplo, la ley federal estipula que las organizaciones estén exentas de responsabilidad al punto que monitorean sus sistemas de información para propósitos de seguridad cibernética. Pero en Finlandia, a las empresas en general se les prohíbe tener acceso al contenido de las comunicaciones enviadas o recibidas por los empleados.

“Un programa de monitoreo de la fuerza de trabajo debe ser proporcional, respetuoso e implementarse de forma transparente para asegurar la confianza de los empleados,” añade Alford. “Es un acto de equilibrio delicado: los empleados y empresas deben trabajar codo a codo para protegerse entre sí. Todos queremos una mejor protección para nosotros, nuestra información y datos importantes, pero el monitorear cuándo, cómo y por qué los empleados interactúan con varios datos corporativos tiene implicaciones evidentes e importantes para la privacidad.”

Recursos Adicionales

Acerca de la Práctica de Privacidad y Seguridad Cibernética de Hogan Lovells

Los abogados especializados en privacidad y seguridad cibernética de Hogan Lovells participan en una amplia serie de disciplinas legales, políticas y técnicas. Puede consultarse más información en http://www.hoganlovells.com/en/service/privacy-and-cybersecurity

 

Siga a Forcepoint en sus Redes Sociales
Facebook: https://www.facebook.com/ForcepointLLC/
LinkedIn: https://www.linkedin.com/company/forcepoint
Twitter: https://www.twitter.com/forcepointsec
Instagram: https://www.instagram.com/forcepoint

Contacto con medios

Arturo Martínez
IMS México
Móvil. 044.55.2768.0410
amartinez@imsmarketing.com

www.imsmarketing.com