¿Con qué problemas nos enfrentaremos con el uso de la herramienta de vigilancia de red en la red de la empresa con respecto a la Ley de Interceptación de Telecomunicaciones y la Ley de Privacidad?
¿Y qué políticas podrían implementarse para mitigar estos problemas?
Si está pensando en monitorear el tráfico de red de sus propios empleados:
Lo más importante que puede hacer es advertir a sus usuarios de que sus comunicaciones están sujetas a la supervisión de la compañía en cualquier momento, y no deben tener ninguna expectativa de privacidad en sus comunicaciones.
Si está pensando en desarrollar capacidades de vigilancia en sus redes:
Un riesgo de seguridad es que la capacidad de vigilancia proporciona una forma para que los atacantes escuchen el tráfico sin autorización. Sé que la capacidad de vigilancia solo está pensada para que la haga cumplir la ley, pero incorporarla en sus sistemas presenta el riesgo de que pueda ser mal utilizada.
Para un ejemplo revelador de este riesgo, lo invito a leer sobre el caso de las escuchas telefónicas griegas en 2004-2005, en la época de los Juegos Olímpicos de Atenas. En 2005, se descubrió que los sistemas de vigilancia de la compañía de telecomunicaciones griega habían sido comprometidos y estaban bajo el control de agencias externas desconocidas, que utilizaban la capacidad de vigilancia para interceptar a través de la red telefónica más de 100 teléfonos celulares pertenecientes a funcionarios gubernamentales clave: el primer ministro, el ministro de defensa, Ministro de Asuntos Exteriores, miembros del parlamento, etc. La capacidad de escuchas telefónicas se había desarrollado solo para el uso de la ley griega, pero alguien más tomó el control. Hicieron escuchas telefónicas durante 10 meses antes de que se detectara el compromiso; nadie se dio cuenta de quién lo hizo, pero dada la sofisticación del ataque, es natural sospechar de agencias de espionaje extranjeras.
Para obtener más información sobre los riesgos de crear vigilancia en redes, recomiendo los siguientes artículos:
Consulte con su departamento legal, pero todo lo que debe ser requerido es que usted proporcione una amplia notificación a los usuarios que pueden ser monitoreados. Estos deben ser en forma de avisos dentro de una Política de Uso Aceptable que está firmada por los empleados y contratistas antes de otorgar acceso a la red, así como los Banners de Advertencia implementados de una forma u otra en todos los equipos y aplicaciones en red.
Cualquiera que sea el formulario, su notificación debe cubrir los siguientes puntos:
(No soy abogado, y esto no es un consejo legal).
Lea otras preguntas en las etiquetas privacy network corporate-policy legal compliance