ESTRATEGIAS DE CONTROL DE LAS NUEVAS EN LA EMPRESA
Transcript of ESTRATEGIAS DE CONTROL DE LAS NUEVAS EN LA EMPRESA
ESTRATEGIAS DE CONTROL DE LAS NUEVAS TECNOLOGÍAS EN LA EMPRESA ESTUDIO SOBRE LA GESTIÓN DE PERSONAS Y RECURSOS TECNOLÓGICOS PARA PREVENIR CONDUCTAS ABUSIVAS Y DELICTIVAS EN LA EMPRESA
ribasyasociados
ribasyasociados
Autores
José R. Agustina Profesor de Derecho Penal y Criminología UIC Ana Alós Ramos Abogada laboralista de Uría Menéndez Javier Sánchez Marquiegui Asesor Jurídico de Colt Technology Services
ribasyasociados
Colaboradores
IESE Universitat Internacional de Catalunya UIC Ribas y Asociados
ribasyasociados
86%
14%
Sí
No
Existencia de una política de uso
ribasyasociados
20%
54%
26%
Comunicación de la polí0ca de uso a los empleados
Está incluida como parte integrante del contrato de trabajo o se ha establecido mediante acuerdos colecAvos con los trabajadores
Se ha colgado en la intranet corporaAva y/o en los tablones de anuncios
Se ha hecho llegar por correo electrónico a los trabajadores
ribasyasociados
38%
41%
3%
18%
Uso con fines personales
Prohíbe totalmente el uso personal de los medios informáAcos por parte de los trabajadores
Permite el uso personal moderado de los medios informáAcos por parte de los trabajadores
Permite el uso personal de los medios informáAcos por parte de los trabajadores siempre que tenga lugar fuera del horario laboral
No establece ninguna restricción al uso personal de los medios informáAcos por parte de los trabajadores.
ribasyasociados
35%
12% 27%
26%
Límites al almacenamiento de información en soportes extraíbles
No
No, pero hay mecanismos técnicos que impiden almacenar información corporaAva en soportes extraíbles
Sí, pero es necesario el consenAmiento de un responsable y hay límite de volumen de información que se puede extraer
Sí, hay políAca de uso pero no hay mecanismo técnico de control
ribasyasociados
67%
24%
9%
0%
Mecanismos de prevención de fuga de información corpora0va u otras conductas
No
Sí, existen disAntas tecnologías que conjuntamente persiguen dicho objeAvo
Sí, se dispone de una solución específica a tal efecto (p.e., Data Leakage PrevenAon) para detectar fugas de información)
Sí, se dispone de una solución específica a tal efecto (p.e., Data Leakage PrevenAon) para otro Apo de conductas (acoso, injurias, reputación de la empresa)
ribasyasociados
ribasyasociados
ribasyasociados
8%
18%
16%
11%
47%
Tipo de daños
Daños personales (injurias, acoso, pornograWa infanAl, etc.)
Daños materiales
Daños a la propiedad intelectual, industrial o al know-‐how de la empresa, o al deber de confidencialidad que la empresa puede ostentar de datos de terceros
Daños a la imagen de la empresa
Reducción del rendimiento laboral del trabajador
ribasyasociados
16%
21%
30%
10%
10%
13%
Polí0cas de supervisión para situaciones de especial riesgo
No
Sí, para el caso de trabajadores que han preavisado su marcha
Sí, para el caso de trabajadores a los que se ha decidido despedir
Sí, para el caso de trabajadores que asuman especiales responsabilidades por el departamento al que pertenecen
Sí, para el caso de trabajadores u otros miembros de la empresa de un determinado rango
Sí, para el caso de trabajadores que incurran en conductas específicamente Apificadas (p.e. exceso volumen en los correos)
ribasyasociados
27%
15%
19%
39%
Acción de la empresa
Disponemos de un protocolo informáAco que nos permite realizar la invesAgación sin noAficárselo previamente al trabajador
Disponemos de protocolo informáAco pero, no obstante, se informaría previamente al trabajador
No disponemos de un protocolo informáAco y se informaría al trabajador antes de proceder con la invesAgación de su equipo
No disponemos de un protocolo informáAco y no se informaría al trabajador antes de proceder con la invesAgación de su equipo
ribasyasociados
44%
22% 4%
30%
Logs para determinar persona y ordenador de acceso hace 3 meses
Sí, dichos logs están disponibles
No, el período de Aempo durante el cual se manAenen dichos registros es inferior a los 3 meses necesarios para invesAgar el escenario actual
En teoría deberían estar disponibles pero en este caso no lo están (indisAntamente del moAvo)
No se almacenan estos logs
ribasyasociados
0
2
4
6
8
10
12
14
16
18
Extracción mediante memorias USB
Sí y no quedan registros de los documentos extraídos
En general no excepto en determinados perfiles. En cualquier caso se registran las copias de documentos realizadas a disposiAvos externos como las memorias USB En general no excepto en determinados perfiles. No queda registro ñaguno de la información extraída
ribasyasociados
37
6
22
13 12
3
0 5 10 15 20 25 30 35 40
Reacción habitual ante incumplimiento
ribasyasociados
Comparativa 2002 - 2011
2002 2011
Prohibición de uso privado 38% 38%
Autorización uso moderado 29% 41%
ribasyasociados
Nivel de tolerancia
2011 Tienen normas de uso de los recursos TIC 86,5%
Actualizan periódicamente las normas de uso 89,9%
Actualizan con una periodicidad fija 45%
Realizan un control continuado de su cumplimiento 15,6%
ribasyasociados
Riesgos adicionales 2012
Política de ahorro de costes Dispositivos móviles con mayor capacidad Consumerización Redes sociales
Prueba del control
IdenAficación de los escenarios de riesgo
Establecimiento de los controles
Prueba cronológica de la existencia del control
Prueba cronológica de la eficacia del control
Evidencia cerAficada
Repositorio de evidencias cerAficadas
ribasyasociados
Repositorio de evidencias de cumplimiento
ribasyasociados
ribasyasociados
Diagonal 640 1B 08017 Barcelona 934940748 639108413 http://www.ribasyasociados.com