201612.02
Off
0

CINCO CONSIDERACIONES ANTES DE INVESTIGAR LA “ACTIVIDAD DIGITAL DE UN EMPLEADO”

En muchas ocasiones es necesaria la investigación de los recursos informáticos o actividad digital corporativos de un empleado (el ordenador, el portátil, el móvil, la tablet, etcétera), pero antes de llevar a cabo cualquier investigación de este tipo es imprescindible tomar una serie de consideraciones.[1]

la-tecnologia-en-las-companias-aseguradoras

Actividad digital

Las herramientas y metodología para llevar a cabo esta investigación interna están bien definidas, pero es recomendable estar atento a las “zonas grises” al examinar la actividad digital de un empleado o el uso de la intranet y dar unos pasos previos:

  1. Obtener permiso de la organización. El hecho de que los empleados estén usando medios que son propiedad de la compañía no significa que exista libertad de revisar todo lo que hacen. Es importante obtener una autorización formal de la organización, con la firma expresa de la dirección responsable. Conviene asegurarse de que el departamento de Recursos Humanos está informado y conservar toda la documentación al respecto. Así mismo, mantener involucrado al área de asesoría jurídica porque estos asuntos podrían terminar en los tribunales y se necesitará probar todo lo que se ha hecho y por qué.
  2. Revisar las políticas de la compañía. El investigador debe estar familiarizado con las políticas y procedimientos de la organización. Centrarse en lo que el empleado puede, y más importante, lo que no puede hacer. También saber si el personal conoce dichas políticas, si ha participado en procesos de formación y ha dejado constancia firmada de su comprensión.
  3. Considerar los requerimientos de compliance. Los programas de cumplimiento normativo por un lado podrían limitar el campo de investigación o promover la misma al evaluar una situación de riesgo. La mayoría de los programas están enfocados en la seguridad, por lo que resultará ilustrativo estar coordinado con el equipo que ejerce tales funciones. Por otro lado, es necesario asegurarse de que la investigación no contravenga ninguno de los controles de cumplimiento ya que se puede conseguir el efecto contrario al buscado.
  4. Observar la legislación aplicable sobre privacidad. Es imprescindible la observancia rigurosa de la normativa legal para no poner en peligro las evidencias detectadas en el caso de que puedan servir de pruebas ante tribunales. En el caso español, se debería garantizar el respeto absoluto de la LOPD y restante normativa análoga.
  5. Centrarse en el objetivo de la investigación. Es conveniente centrar los propósitos de la investigación y tener claros las evidencias que se pretenden obtener. La red y los logs del sistema podrán mostrar toda la actividad del empleado, pero si se pretende obtener “cualquier cosa que sea relevante” se correrá el riesgo de que la investigación finalmente no llegue a ninguna parte, así como correr el riesgo de que se pueda llegar a vulnerar la intimidad del empleado accediendo a contenidos de su esfera estrictamente personal Así pues, en el caso de que el propósito de la investigación se sitúe en un ámbito indefinido conviene concretar el mismo en una lista cerrada de los objetivos, claramente determinados, que se persiguen.

[1] INSIDER THREATS! Using digital forensics to prevent intelectual property theft

FRAUD MAGAZINE.  VOL.31 NO.5 SEPTMEBER/OCTOBER2016