14 marzo 2011

Monitorizando un entorno ofimático con Integria IMS

Una de las preguntas que mas cuesta responder para alguien que gestione un entorno ofimático es ¿Qué es lo que están haciendo los usuarios con los PCs corporativos?

A diferencia de otros entornos como por ejemplo una fabrica, donde cada empleado tiene asignada una tarea muy concreta, probablemente asociada a una o unas pocas herramientas, un entorno ofimático es un territorio mucho mas hostil de cara a poder evaluar la actividad que se desempeña.

Integria IMS es una herramienta desarrollada por Artica que propone una solución a ese problema. Como parte de su versión enterprise incorpora un módulo de 'Activity Profiling' que permite auditar el uso que un usuario le está dando a un PC.

La herramienta funciona con un esquema cliente <--> servidor, en los PCs corporativos se instala un agente que se comunica con el servidor central y este procesa la información. Para visualizar los datos y configurar la herramienta disponemos de una cómoda interface web que tiene un look así


El agente es capaz de obtener los datos de la aplicación que se está empleando en cada momento (nótese que abrir una aplicación y usar otra implica que queda registrado el uso unicamente de la aplicación sobre la que se interactua no la que esta en background). Adicionalmente también detecta cuando hay interacción humana en ese equipo y cuando no (periodos de inactividad).

Con estos datos es capaz de trazar un perfil de cada usuario 'auto-imputando' el número de horas empleadas en cada aplicación, de forma que al final de la semana puedes saber si el usuario 'Juan' se ha pegado 15 horas usando software ofimático, otras 20 navegando, 5 más enganchado en el MSN y que ha empleado 10 horas para comer. También se puede conocer un detalle a mas bajo nivel de cada aplicación, por lo que se puede obtener el detalle de los documentos sobre los que estuvo trabajando, las páginas web sobre las que navegó y los usuarios con los que habló en el MSN.

Evidentemente el uso mas directo de esta herramienta es el análisis de productividad a nivel corporativo, pero también tiene una vertiente de seguridad sobre la que quiero profundizar en este post, contando como puede servir de herramienta forense para auditar accesos a documentos, unidades de red o inventariar el software empleado.

Acceso a documentos corporativos

A raíz del caso 'Wikileaks' uno de los puntos calientes a nivel corporativo es detectar y saber quién accede a según que información. Con Integria IMS es fácil hacer este seguimiento. Veamos un ejemplo:
Sospechamos que el usuario 'sbdtest' está accediendo a ciertos documentos sensibles de la compañía que hemos editado en formato PDF. Con una sencilla búsqueda sobre ese usuario y la aplicación asociada a documentos PDF 'AcroRd32.exe'

Podemos obtener exactamente que documentos han sido accedidos (y cuando) por este usuario en formato PDF

Si por ejemplo nos interesa saber cuantas personas han accedido a un documento en concreto en nuestra organización, podemos hacer la búsqueda sobre ese documento y sobre el total de usuarios

lo que nos devuelve los usuarios que han accedido y el momento

Acceso a recursos de red

Otra información valiosa a nivel corporativo es conocer quién, cuándo y a qué recurso compartido se ha conectado un usuario. Con una búsqueda sobre la IP (o hostname) de la unidad de red, obtenemos esa información:



¿Y si en vez de una unidad de red fuese un servidor Unix por SSH? tan fácil como buscar por su dirección IP (o hostname)


Lo que nos permitirá saber quien, cuando y cuanto tiempo ha estado conectado a ese servidor



Inventario de software

Una de las tareas mas complejas de abordar en una organización es conocer exactamente qué software se está empleando realmente en los equipos corporativos. Aunque apliques políticas restrictivas respecto a la instalación de software, sigue habiendo un riesgo latente en forma de aplicaciones portables que no requieren permisos de instalación.

Integria IMS registra cada aplicación que se ejecuta en cualquier PC y actualiza de forma dinámica la lista de aplicaciones localizadas en la organización. Esto permite tener un inventario real de qué aplicaciones se están usando y por quién


Analizar el perfil de navegación de un usuario

Supongamos que un PC de nuestra organización ha sido 'misteriosamente' comprometido por un troyano / virus, el usuario jura no saber cómo pudo suceder esto. Con Integria podemos analizar exactamente qué paginas web visitó este usuario en un periodo de tiempo determinado


Y ahora la pregunta del millón ¿Es esto legal? Según la legislación vigente en España, si informas al usuario que pretendes monitorizar el uso de los recursos corporativos, es legal

19 comments :

Juan Antonio Calles dijo...

Este tipo de herramientas se están utilizando en los últimos años para llevar a cabo la implantación de la norma ISO 20000 en las empresas. No se como andará de temas legales, pero las certificadoras lo permiten y no se yo hasta que punto se avisa a los usuarios... Otra herramienta (propietaria) parecida es Proactivanet (asturiana), muy completa también. Yo suelo montar otra más light, OneCMDB y ando probando con algún troyano (casero), que bien usados dan buenos resultados.

saludos

Madrikeka dijo...

Este tipo de herramientas siempre lleva a polémica con el tema de la intimidad y cosas de ese estilo, para mi no hay mucha polémica, por que cuando entro en una empresa utilizo sus recursos y herramientas, de algún modo soy consciente de que dichos recursos no son de mi propiedad, por lo que seguramente estén monitorizados o en algún momento me puedan formatear el equipo o miles de cosas.

Yo por eso tengo claro que jamás utilizaré mi correo de empresa para correos personales y que mi equipo del trabajo no lo utilizaré para cosas personales, ya que como he dicho, soy consciente de que esos recursos no me pertnecen, por lo que intento actuar consecuentemente.

En resumen, esta herramiente me vendría genial para ver que usuarios se están instalando portables y qué portables en los equipos, ahora monitorizo esa parte con OCS Inventory, pero no tengo claro si me muestra los portables, haré la prueba.

Como siempre, gracias por la herramienta.

Anónimo dijo...

Me parece francamente interesante la entrada...

En cuanto al último párrafo dedicado a la legalidad de estos sistemas, discrepo totalmente con él. No sólo basta informar, sino que la medida deberá haber superado test de proporcionalidad en sus tres vertientes de idoneidad, finalidad y proporcionalidad en sentido estricto), y, aún así, recientemente el TSJ de Madrid ha dictado una sentencia en contra de un control a un ordenador, habiendo avisado al trabajador (y al resto de la empresa) de los usos permitidos, y basándose en que el daño potencial para la empresa no había llegado a materializarse... Por tanto, habrá que estar atentos a ver si esta sentencia deviene en firme, o, si por el contrario, la reolución al recurso hace que la jurisprudencia mantenga el criterio anterior...

Saludos cordiales.

Luis Salvador Montero

Sursum Corda dijo...

Interesantísima herramienta!!! Parec muy completa, habrá que hacer alguna prueba...

En cuanto a la legalidad, es interesante el apunte que has hecho.

Saludos.

Yago Jesus dijo...

@Luis efectivamente el tema, como es natural, tiene su controversia. Si te fijas en este artículo http://blogs.lainformacion.com/legal-e-digital/2011/01/13/%C2%BFpuede-mi-jefe-%E2%80%9Cespiar%E2%80%9D-mi-correo-electronico/ se menciona un punto bastante esclarecedor:

'el derecho del empresario de verificar que los medios propiedad de la empresa que son facilitados al trabajador son efectivamente utilizados en el cumplimiento de la prestación laboral'

que aplica al 100% con Integria. Además hay un matiz importante, Integria NO sirve para leer correos, conversaciones de chat o similar, únicamente monitoriza que aplicación estás usando y la forma en la que la usas. Por ejemplo puedes saber que una persona X ha estado 4 horas en forocoches pero no lo que ha comentado ahí (por poner un ejemplo)

Anónimo dijo...

En lo que muchas empresas están trabajando hoy en día es en implementar soluciones de prevención más que de monitorización.

Por ejemplo, impedir que un usuario acceda a información con un determinado nivel de clasificación y que la envíe fuera de la compañía. Además, notificando al usuario que lo que está haciendo es malo malísimo

Monitorizar a los usuarios, uso de correo, uso de apps etc siempre puede tener connotaciones legales que perjudiquen a la compañía.

Además, si evitamos que los usuarios sean administradores de sus equipos y además trabajen por objetivos para que quieren saber las empresas a que dedican su tiempo los trabajadores (esto último es un poco irónico, lo se)

Yago Jesus dijo...

@Anónimo Creo que son conceptos diferentes, por una parte el hardening, la protección de activos y por otra la monitorización. Por ejemplo, por mucho hardening que le aplique a un servidor Linux, jamas detendría el syslog aunque opine que el sistema está protegido

Anónimo dijo...

Es open source? Es al menos freeware?

Yago Jesus dijo...

@Anónimo el core / framework si lo es, la parte enterprise requiere licencia aparte (y es la que contiene el módulo de Activity Profiling)

Anónimo dijo...

Al primer comentario,

Que tiene que ver esta herramienta con la ISO 20000? Creo que andas un poco perdido, o no has entendido lo que hace la herramienta

Juan Antonio Calles dijo...

Al último @anónimo, la ISO 20000, indica que se debe implantar una CMDB para el inventariado de elementos de la empresa y del sistema, elementos de red, HW, SW instalado, y un largo etc.

Y como bien dicen "Integria IMS registra cada aplicación que se ejecuta en cualquier PC y actualiza de forma dinámica la lista de aplicaciones localizadas en la organización. Esto permite tener un inventario real de qué aplicaciones se están usando y por quién"

Este tipo de herramientas se utilizan para implantar CMDBs pq permiten tener sincronizada la BBDD de la CMDB con la información real del sitema (aunque no sea el objetivo final por el que fue diseñada la herramienta).

saludos

FernandoC dijo...

Muy buena la idea de registrar las aplicaciones y accesos. Pero parece no ser opensource... alguien conoce alguna herramienta de este tipo que sea software libre?
Respecto a la legalidad de estas aplicaciones, media biblioteca dice una cosa y la otra mitad otra. En realidad 49% dice que si, 49% dice que no es legal y 2% (la zona gris) depende de la combinacion de juez y abogados que te toque. Y cuando va a la camara, se tiran los dados de nuevo... Haciendo una analogia seria como criticar que el dueño de un camion le ponga un tracker GPS para ver por donde anda y a que velocidad lo hace su chofer, esta en todo su derecho.(mi humilde opinion). Si la PC, los datos, el soft y la conexion a internet son de la empresa, tiene todo el derecho de controlar su uso y abuso.
Gracias de antemano por el pedido.
Fernando Corvalan
Rosario - Argentina

digitalverwindung dijo...

Muy interesante. Gracias

Anónimo dijo...

@yago quizás no me expliqué con claridad.

Evidentemente es necesaria la monitorización de los sistemas (syslog, registros de auditoría, etc)para poder manejar posibles incidentes. A lo que me refiero es que monitorizar el uso de otras cosas como redes sociales, usuarios con quien habló en el msn, etc esto es más delicado.

Cuando dice Madrikeka: "Yo por eso tengo claro que jamás utilizaré mi correo de empresa para correos personales"

Por mucho que los recursos le pertenezcan, dudo que una empresa acceda al contenido de tu correo ya que esto podrías utilizarlo en su contra.

Para las cuestiones de acceso a información confidencial etc, son más efectivas las soluciones de prevención porque evitan posibles fugas que no evitaríamos simplemente monitorizando.

Por lo demas, muy interesante la entrada

Anónimo dijo...

En relación al aspecto legal del uso de estas herramientas de control dentro del entorno empresarial, la doctrina del Tribunal Supremo es clara al respecto. Y recientemente hemos tenido otro pronunciamento, en la línea del TS, en la Audiencia Provincial de Madrid, Resolución 368/2010 que viene a recordar que el ordenador es una herramienta de trabajo, por tanto, sujeta a los controles que empresas deban realizar al amparo del art. 20.3 del Estatuto de los Trabajadores, siempre siguiendo un criterio de proporcionalidad.

Anónimo dijo...

@anonimo. Si, la ley es clara sobre todo en lo del criterio de proporcionalidad :)

Si la empresa lee todo mi correo profesional que además uso para temas personales, es proporcional o no?

Anónimo dijo...

el usuario visita petardas.com no tiene mal gusto el chaval XD

LordEthereal dijo...

Muy buena info, como siempre.
Tengo una duda, ¿cómo instalo el agente en los PC's corporativos?
Muchas gracias por anticipado.

Yago Jesus dijo...

@lordethereal Solicita una demo en la web