29 enero 2011

El portátil ¿Propio o corporativo?

Llevo más de 10 años dedicado a la seguridad informática. De ellos, los dos primeros, utilicé portátiles corporativos, suministrados por mi empresa, para desarrollar mi trabajo. Sin embargo, desde 2003 hasta día de hoy, he utilizado mis propios portátiles, comprados con el sudor de mis camisetas.

Por supuesto que, cuando la empresa correspondiente me ha pedido que envíe algún tipo de datos que pueda ser necesario o considerado como propiedad de la empresa, jamás he tenido ningún problema en enviarlos o copiarlos donde se me diga.

Actualmente, y después de 3 años en esta misma dinámica de "portátil propio" en la misma empresa, me piden que sincronice los datos que tenga de la empresa con una carpeta cuando me toque ir a la central en un país vecino. Se supone que además quieren instalarme un agente de sincronización en el mismo "que no controle yo". ¿Hasta que punto es lícito esto?

Al igual que sucede con el correo electrónico, yo doy por sentado que si mi empresa me provee de una cuenta de correo, será utilizado para trabajar; y todo aquello que sea personal, por supuesto que lo enviaré/recibiré desde una cuenta personal.

Así pues, si mi empresa desde el primer día no me provee de un portátil, porque yo me ofrezco a utilizar el mío, con mis herramientas, programas y datos necesarios para realizar mi trabajo, ¿por qué tengo que permitir que se instale un programa ajeno a mí que posiblemente vulnere mi intimidad y privacidad? Yo no soy quien instala ni configura el agente para decidir qué carpetas se sincronizan y cuales no. ¿qué pasará si me niego?

Sé que en el caso del correo electrónico hay jurisprudencia que dan la razón a ambos lados: al empleado porque, al monitorizar su correo, se vulnera su privacidad; y a la empresa, porque el correo es una herramienta de trabajo que la empresa te provee y como tal, lo que envíes y recibas es propiedad de la empresa.

Sin embargo, en el caso de un portátil propio, si desde el primer día has acordado (con jefes que ya no están en las filas de la empresa, claro) que serías completamente capaz de desempeñar tu labor con tu propio equipo, ¿cómo es de lícito que se me exija instalar un agente en mi equipo o "darle acceso" remoto o físico a un tío de sistemas (que desconozco si se lava las manos o no después de ir al baño)? ¿Cómo puedo saber que el individuo de sistemas cotilleará algo más que lo que debería en mi PC?

Por supuesto, mi información sensible está en un contenedor cifrado "con 7 llaves" que no estaría montado en el momento del asalto pero, ¿Y si el agente que me instalan, además de hacer un sencillo backup, fuera un troyano con un keylogger? ¿Debería crear varios ficheros con datos que provengan de /dev/urandom?

En esta ocasión, en vez de contaros algo y su solución, os pido lectores, vuestra opinión. ¿Os habéis visto alguna vez en una situación parecida? ¿Os negasteis a ello? ¿Claudicastéis y permitistéis que  metieran mano a vuestro pc?

32 comments :

Borja dijo...

Por un lado, todo material que vaya a ser utilizado en una empresa debe ser corporativo o "corporativizado".

Ninguna política de seguridad debería hacerse responsable de los estragos que cause el equipo de cualquier empleado utilice para "no-se-qué" además de trabajar.

Piensa en las típicas condiciones de NAC (que tenga antivirus actualizado, últimos parches...). Dentro de esa "corporativización", puede entrar lo que se necesite, incluyendo la instalación de herramientas corporativas de "análisis de activos".

Creo que es complicado evitar que te "corporativicen" el equipo que utilices (siendo tuyo o de la empresa) por las bravas.

Lo que sí creo que es más que razonable es exponer tu situación y llegar a acuerdos (sincronizo todos los martes, pero la sincronización la hago yo). Yo personalmente también dejaría caer algo del estilo a "Tu pon lo que quieras y ya veremos lo que dura y lo que tardas en arreglarlo" (pero no es una buena idea).

Mucha suerte.

Anónimo dijo...

Bueno, esto depende un poco de ti.
Te puedes negar y la empresa, si insiste tendrá que proporcionarte las herramientas necesarias para desarrollar tu trabajo, en este caso un portátil.
O puede que se queden las cosas como están.
Quizás la privacidad esté por encima de otras consideraciones por lo que no pondría mi portátil a "disposición" de elementos "extraños" a pesar de que tengas que andar con dos portátil. Creo que tiraría por ese camino.

Un saludo,
Ric.

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.
rusty dijo...

Mejor portatil corporativo, no hagas na para la empresa con equipacion que te hayas comprado tu :P.

Anónimo dijo...

Sin duda dejarles hacer. Independientemente del medio (portátil) te requieren para que realices un tarea laboral.

Pero sacaría una conclusión: se trabaja con el ordenador de la empresa y nada en su interior es tuyo. Temporalmente lo podrás utilizar para tus cosas, pero que sepas que todo el "curro" lo tienes que hacer en "el ordenador del curro". Pídeles uno.

Tus cosas en "el ordenador de casa".

si quieres te montas, cosas como dropbox y cuentas email con otro soft etc.. si quieres acceder desde "el ordenador del curro" a "tus datos".
Pero siempre consciente que el ordenador es del que te lo ha dado y te paga.

Saludos
Borde

Anónimo dijo...

En ese caso concreto no he estado nunca pero en un cliente nos sucedió algo parecido.
La historia es que el cliente quería que sus trabajadores se autenticasen en una aplicación intna de la empresa utilizando el DNI electrónico.
Inicialmente no hubo problema hasta que algún o algunos trabajadores dijeron que no iban a utilizar medios personales (su DNI) para poder realizar su trabajo.
La cosa no llego a los tribunales pero la empresa cambio la autenticación de esta aplicación a otra con certificados "tradicionales" de cliente distribuidos por la empresa.
Mi recomendación es que no utilices medios personales para la empresa (ni tu pc, ni tu tiempo extra, ni nada) porque, al menos en mi experiencia, no te agradecerán absolutamente nada y ademas cuando decidas dejar de hacer algo que antes hacías de forma "altruista" (sin que te paguen horas extra, o usar tu propio pc, etc) ademas estará mal visto. No les mal acostumbres.

svoboda dijo...

Al ofrecer tu portátil para realizar tu trabajo, estás comprometiendo un recurso, que aunque es tuyo, está sujeto a los requerimientos de la empresa ya que ellos te han ofrecido la oportunidad de tener uno corporativo. Como la herramienta de sincronización que comentas forma parte de la política de empresa y de las herramientas que utiliza esta, para cumplir correctamente todos los requerimientos deberías de instalar la herramienta en tu portátil, ya que el no hacer impediría que realizases una de "tus tareas", que es la de realizar esa sincronización.
Ahora bien, a mi me parecería más normal, aceptar el portátil de la empresa y nunca volcar información de carácter personal en él (siempre en la medida de lo posible claro), y quizás, si ves muy necesario compartir cosas entre tu ordenador personal y el corporativo, montarte tu un sistema de sincronización de carpetas entre ellos, instalado y controlado por ti.
Si simplemente lo haces por la comodidad de no cargar con dos portátiles, empieza a pensar en cargar con un disco duro de 2.5'' o similar para tus datos personales (ya sea solo almacenar, o un sistema operativo arrancado desde USB) para solo tener que cargar con un portátil y un mini disco duro. Créeme, el peso del disco duro ni se nota.

hercet dijo...

Si yo fuese la empresa no dejaría que ninguna información perteneciente a la misma estuviese en un portatil que yo no controlase...

En cualquier caso es sencillo, o tragas o usas un coorporativo.

Anónimo dijo...

Me parece que es cuestión de quien se adelanto a la proposición del portatil privado, me explico.

Si eres tu el que le dice a la empresa desde el primer momento que usaras tu propio portatil, omitiendo el hecho de que te puedan dejar uno o no, pienso que tendrias que dar el brazo a torcer.

Si por el contrario, ellos no te han ofrecido nada, y no tienes mas remedio que usar tu propio equipo, ahi pienso que la cosa cambia, pues te has visto necesitado de tu propia herramienta; TU la aportas. Que menos que NO obligarte a poner software no deseado.

Anónimo dijo...

En su día, la empresa debería haberte hecho firmar un documento que trasladará los riesgos de seguridad asociados al uso de un portátil personal.
Si, ahora, la empresa no lo corrige, ni te ofrece un portátil corporativo, o bien, tu no lo aceptas; lo mejor es buscar trabajo.
Es absurdo que propongan instalar un agente en tu portátil.
Saludos, J

drull2 dijo...

Yo siempre lo he tenido claro , para trabajo, portátil de empresa, con las herramientas adecuadas para poder realizar un trabajo.
que yo sepa un electricista que trabaja por cuenta ajena , por ejemplo, se le suministra el material para realiza su trabajo.

Hay que acostumbrar a les empresas a proveer las herramientas necesarias para poder realizar nuestro trabajo, en nuestro caso el hierro ( portaka) y mas importante EL SOFTWARE apropiado para ello, todo con licencias si se trabaja con software propietario ( of course).
En este punto es donde las empresas digamos que cojean y si utilizas tu portátil se lavan las manos muy rapidamente, a la par que se ahorran dinerito en en licencias.

Saludos.

Anónimo dijo...

Creo que en el terreno laboral, y en el de protección de datos, está claro: si el ordenador es tuyo y no hay pacto en contra, como es el caso (ya que si lo hay, no está escrito y la otra parte -caso de pacto verbal- ya no está en la empresa), no pueden obligarte a instalar en tu ordenador nada en contra de tu voluntad (ni, por supuesto, auditar nada de nada...). Incluso aunque el ordenador fuese corporativo, ni siquiera podrían auditar tus datos personales si no te han advertido previamente de esta posibilidad y del uso permitido y/o prohibido que puedes hacer de este activo que la empresa pone a tu disposición, en principio, salvo prohibición expresa, para tu uso profesional y personal. O al menos, en este sentido se ha pronunciado la Agencia en numerosas ocasiones, tanto en informes, procedimientos sancionadores, e incluso en el apartado de Controles Empresariales -páginas 26 y 27- de la Guia "La protección de datos en las relaciones laborales".

Además, también existen en el mismo sentido algunas sentencias judiciales que argumentan -igual que lo hace la Agencia- que al acceder la empresa a los datos personales que pudieras tener en el ordenador facilitado por ella misma, existe un tratamiento de los datos, y por tanto, deben cumplir con el deber de información previo, es decir, deben advertirte de qué uso te autorizan y a qué medidas de control te pueden someter.

Otro tema diferente es el relativo a la seguridad de la información de la empresa. Como quiera que la empresa no se puede y no se debe permitir, como ya se ha comentado en otros comentarios anteriores, mantener un recurso con datos propios fuera de su control de seguridad, parece lógigo, que ante tu negativa, la empresa optase por ponerte portátil corporativo aplicando al mismo su política y medidas de seguridad, y no te quedaría otra que aceptarlo respetando lo que establezca vuestro manual de uso de equipos tecnológicos o similar... Solución buena en este caso, la que proponía Svoboda antes de llevarte un HD externo para tus temas perrsonales...

Por último, comentar que doy por sentado en toda la parte anterior de mi comentario que eres un trabajador por cuenta ajena con contrato laboral, ya que si la relación que te une a tu empresa es mercantil, entonces estarías en posición de encargado de tratamiento, y en este caso, habría que atender a lo que regulase vuestro contrato en materia de medidas de seguridad, y en todo caso, respetando lo establecido en el artículo 82 RDLOPD -opino que por analogía entre locales y medios materiales que alojan los datos y su tratamiento- respecto a la prestación de servicios en locales -medios- del responsable del fichero (tu empresa) o en tus locales -tus medios-

Salvo mejor opinión.

Luis Salvador Montero

Juan Antonio Calles dijo...

Yo te doy mi punto de vista con mi experiencia trabajando en consultoría. Según dice la ISO/IEC 20000, que es la norma utilizada para garantizar la calidad de un SGSTI, TODO elemento Hardware (Y software) debe estar registrado en la CMDB, asi que si se hiciesen bien las cosas no deberías poder utilizar el portatil en tu empresa sin que haya sido previamente analizado por el administrador y registrado, por motivos de seguridad, ya que por ejemplo puede venir con un troyano desde casa. Pedro, de Conexión Inversa, dió en el Up To Secure del pasado miércoles un caso con un Mac que se coló en una empresa de banca y la lió parda. El caso, pongas tu el portatil o lo ponga la empresa, debe registrarse en la CMDB porque supone un riesgo para el SGSTI y por tanto debe estar controlado en todo momento por la empresa, por lo que tendrían desde mi punto de vista derecho a hacerlo.

Lo que yo haría, sería negarme, porque tampoco querría al igual que tú que tuviesen control sobre mis datos. Así que la empresa lo que tiene que hacer es facilitarte el material, en este caso un portatil y que este sí esté controlado por ellos.

Gallaecio dijo...

Que te compren un portátil exclusivamente para trabajar, o se olviden.

Es como si trabajases en casa, y tuviesen derecho a ponerte cámaras para controlarte (y las pondrían sin poder estar tú completamente seguro de dónde).

No quieroq ue pierdas tu trabajo, pero parece que están transpasando una línea.

peluzza dijo...

Mi postura es clara, sencilla e inamovible:
Si quieren tener acceso y control sobre mi trabajo, la infraestructura la debe poner la empresa.

Posiblemente te suponga llevar encima dos portátiles o dispositivos distintos, pero creo que está meridianamente claro utilizando el símil del teléfono móvil de empresa.

peluzza dijo...

Añado a mi respuesta una razón de peso enorme para utilizar siempre material corporativo.

Si se produce una brecha de seguridad desde tu portatil... ¿Quien es el responsable de la fuga de información corporativa?
Obviamente si utilizas tu portatil, el responsable eres tu, si utilizas un entorno corporativo, lo será el encargado de TIC de tu empresa.

vierito5 dijo...

Yo uso las 2 cosas y tengo que cuenta lo que no debo/puedo hacer.

Asumo a donde pueden (comprobado) y podrían acceder y pongo yo los límites ^__^

GauHontz dijo...

Hola,

Yo me negaría rotundamente, que faciliten un portatil corporativo, que usaría unicamente de forma profesional. También tendría claro en que minuto exacto acaba mi jornada laboral para dejar de usar el mismo. Que vamos regalando el trabajo y así nos va a este colectivo...

Lorenzo Martínez dijo...

Hola a todos!!! primero que nada os quiero agradecer el apoyo que lectores y amigos me habéis dejado con vuestras opiniones en este post (y en el enlace que colgué en Facebook). A todos vosotros MUCHAS GRACIAS!

Es muy interesante leer vuestras opiniones y ver cómo cada uno tiene una visión diferente sobre si debería claudicar a que me tocaran el portátil personal; tanto como que estoy en mi total derecho a negarme a ello, así como las diferencias entre si los datos son míos o de la empresa.

Si esto hubiera ocurrido desde un primer momento en mi empresa, o un margen de tiempo de unos dos meses, sería medianamente aceptable, pero es que llevo tres años trabajando con mi portátil sin tener que sincronizar nada (suerte también de la naturaleza de mi trabajo) con la central, más allá de ciertos ficheros de pedidos, actividad, vacaciones, etc,… pero de forma asíncrona según voy viendo que es necesario.

Lo que parece una postura común en vuestras opiniones, y que parece ser que será lo que sucederá, es que me proveerán de un portátil corporativo que "tendré que usar" para mi trabajo. Sin embargo, habrá que ver si las especifcaciones técnicas son suficientes para ejecutar las máquinas virtuales necesarias para hacer demos, presentaciones, JVM, etc,… con cierta soltura que no haga que el cliente se me duerma mientras arranco todo!

Pienso que lo mejor será intentar "negociar" como indicaba Borja algo así como "mira, yo me comprometo a sincronizar los martes, pero déjate de agentes y de historias"…

Como digo, muchísimas gracias a todos por todo!

BlackSpiral dijo...

HI.
Supongo deberías exponer esta situación a tus jefes y llegar a un acuerdo, algo así como:
"vale monitoreame pero tu dame un equipo de la empresa"
si la empresa se niega a darte el equipo de trabajo necesario para que ejecutes tus labores estas en tu derecho de negarte a la intromisión en tu propio equipo.

La empresa debe valuar que le conviene.

Ademas siendo una empresa de seguridad informatica seguro que entenderán por que tu negativa a darles acceso a tu propio equipo.

Carla Folie dijo...

QUE TE DEN UN PORTATIL. Fin del asunto.

Es mucho peor el tema de los portátiles que dan a nuestros hijos en el colegio, capados y sin root, que ejecutan programas que no controlamos dentro de nuestras propias casas y haciendo uso de nuestra conexión wifi para que, en principio, puedan hacer los deberes del cole... ¡Qué forma más fácil de meter un virus en todas las casas!

Esto sí que es una invasión total de la privacidad.

Luis A. Catalán Grau dijo...

Hola,
yo creo que lo hiciste mal cuando llegaste a ese acuerdo con los jefes que ya no están. Piensa que si el portatil se cae o averia será el tuyo y no el de la empresa que con el afan de reducir costes ha llegado a ese acuerdo contigo. Yo no permitiria que instalasen nada de la empresa en mi portatil privado. sino que sea la empresa la que me provea de las herramientas necesarias para trabajar, vamos, que se gasten la pasta qeu hoy en dia un portatil no cuesta mucho.
Animos, un saludo.

bicho_O dijo...

Yo no sé porque todavía no quemas ese lugar!! ¬¬ Es un tema muy polémico y creo que no hay más que apegarse a las políticas de la empresa.

Pablo dijo...

Creo que OS habéis columpiado un poco con está entrada.

Lorenzo Martínez dijo...

@Pablo -> ¿Columpiado por? Explícate... Supongo que es una situación que puede pasarle a cualquiera. ¿A lo mejor a tí también no?

Anónimo dijo...

Llevo muchos años trabajando en multinacionales donde "si o si " el portátil / estación es corporativo. No pierdas el tiempo en controversias, en mi opinión las leyes están para servir al ciudadano o son susceptibles de re-interpretarse - nótese la ironía -. En otras palabras verán lo que yo quiera y cuando sea estrictamente necesario. ¿tu empresa tiene canción?

Álvaro Del Hoyo dijo...

Buenas, Lorenzo

El problema es que se dé la respuesta que se dé a tu pregunta la cosa no cambia demasiado.

Lo que se produce es una concentración de informaciones privadas y corporativas en un equipo informático. Por tanto se pueden dar conflictos de derechos entre ambas partes.

Existe ya jurisprudencia del Tribunal Supremo que viene a recomendar el establecimiento de unas normas de uso de los activos de información de la organización.

Con ello se reduce la expectativa de intimidad que podamos tener sobre nuestras informaciones privadas, al tiempo que se la empresa informa sobre las políticas y procedimientos de seguridad.

En uno u otro caso, aunque se haya tratado de definir todo perfectamente, se darán casos de conflicto que se habrán de resolver en base a la doctrina de la proporcionalidad: ¿es la medida que se pretende adoptar idónea, necesaria y proporcionada? Si se supera este triple test la medida empresarial será conforme a Derecho, en caso contrario no será legítima.

En cualquier caso, creo que es mejor para ambas partes usar el equipo corporativo y establecer unas normas que equilibren el uso profesional y el privado, con respeto a la dignidad del trabajador.

Sergio Hernando dijo...

Hola,

Tema delicado donde los haya. Lo frecuente en estos temas es que la gente tenga una version sesgada e incompleta que hace que las opiniones se distorsionen.

Yo al menos estoy a favor de la integracion de estos aparatos en las corporaciones, pero no a cualquier precio. Al menos se me ocurren:

a) Deben tener cifrado y posibilidad de ser borrados remotamente, caso de perdida o robo.

b) Debe poderse evaluar, centralmente, si la maquina esta al dia de parches antes de conectar a la red.

c) Debe poderse evaluar si la maquina tiene unas minimas politicas de seguridad activas antes de conectar en la red.

Y es aqui donde se arma la marimorena: la gente es reacia a soltar GPOs y mecanismos similares en equipos domesticos, por las implicaciones que pueden existir desde el punto de vista legal. Y los usuarios no se enteran de que no todo el mundo puede mantener una infraestructura de iPads solo para que tu conectes el tuyo.

Tiempo atras, en un evento de BT celebrado en Amsterdam, tuve el gusto de sentarme en una mea redonda que estaba encabezada por Schneier: en su opinion, y la comparto, esto es imparable y tarde o temprano las corporaciones tendran que dar via libre a los equipos personales para ser usados en las redes corporativas. Hasta entonces lo que pueden ir haciendo las empresas es preparar la infraestructura de soporte y concenciar a los usuarios de como hay que hacer las cosas.

Un saludo,

Juanma dijo...

Desde luego no me gustaría ser cliente de una empresa que permite a sus empleados utilizar portátiles particulares para trabajar.
Es un tema interesante, sobre todo si lo amplias a smartphones y las políticas BYOD (bring your own device) que se comienzan a ver (para reducir costes sacrificando seguridad creo yo).
Una solución de compromiso en estos casos pasa por VDI haciendo que el empleado ponga simplemente el hard para un terminal tonto.

L0rum4 dijo...

A mi me ha pasado esto, en la empresa que trabajo actualmente.

Lo que hice en mi caso fue aceptar que instalaran el agente que ellos requerían para mi pc, pero eso si, que yo supiera que se esta sincronizando... y para ello acordamos que crearía una carpeta con un nombre y solo a esa, dicho agente tendría acceso...

El hecho es comentar tus dudas a tus jefes o superiores.

Saludos

Adama dijo...

Yo no me he encontrado en esta situación, pero creo que les diría que eso no entraba en el trato que tenía con los anteriores jefes y que me proporcionaran uno corporativo.

O si temes represalias... "Oops... Se me ha roto el portatil ¿no teneis uno por ahí...?" :P

Manu dijo...

Hola,

según tu exposición: "si mi empresa desde el primer día no me provee de un portátil, porque yo me ofrezco a utilizar el mío, con mis herramientas, programas y datos necesarios para realizar mi trabajo, ¿por qué tengo que permitir que se instale un programa ajeno a mí que posiblemente vulnere mi intimidad y privacidad? Yo no soy quien instala ni configura el agente para decidir qué carpetas se sincronizan y cuales no. ¿qué pasará si me niego?",
creo que queda claro que la empresa no te da portátil porque tú prefieres usar el tuyo. Esta aquí fenonemal, yo mismo llevo dos portátiles, uno corporativo y otro personal con mis herramientas y demás (precisamente para evitar esta controversia, y esto lo vengo haciendo desde hace muchos años). Obviamente no dejaré que la empresa introduzca SW en mi equipo personal, pero porque los datos que pueden ser propiedad intelectual de la empresa los paso al portátil corporativo (en tu caso lo puedes llamar servidor corporativo de datos, por ejemplo), y ahí sí, que hagan lo que quieran. Obviamente mi portatil personal NO se conecta a la red Corporativa por seguridad (sea lo bueno que sea).
En tu caso, y dedicándote a la seguridad, me llama mucho la atención que pongas el grito en el cielo por instalar un software de sincronización y/o NAC, más aún, me preocupa que, por ejemplo, el consultor de seguridad hable de 'los de sistemas' como tíos extraños que no se sabe si se lavan las manos, cuando seguramente a los de sistemas lo único que les preocupa es que se cumpla con la especificación de seguridad que alguien como tú seguramente ha implantado o asesorado para implantar en la empresa...
Con este tipo de exposiciones no ayudas a implementar políticas que permitan un uso adecuado de los recursos e IT y a la securización de los mismos, o ¿acaso el tio de sistemas se tiene que fiar de que como eres un fiera en seguridad tu portátil está perfectamente asegurado y es infranqueable, con lo que la seguridad de la red corporativa está asegurada por ser quien eres?, si esto fuese así no se podría hacer bien nuestro trabajo (y hablo desde el punto de vista de un Administrador aplicando ISO27001, o sí??.

Saludos.