Llevo más de 10 años dedicado a la seguridad informática. De ellos, los dos primeros, utilicé portátiles corporativos, suministrados por mi empresa, para desarrollar mi trabajo. Sin embargo, desde 2003 hasta día de hoy, he utilizado mis propios portátiles, comprados con el sudor de mis camisetas.
Por supuesto que, cuando la empresa correspondiente me ha pedido que envíe algún tipo de datos que pueda ser necesario o considerado como propiedad de la empresa, jamás he tenido ningún problema en enviarlos o copiarlos donde se me diga.
Actualmente, y después de 3 años en esta misma dinámica de "portátil propio" en la misma empresa, me piden que sincronice los datos que tenga de la empresa con una carpeta cuando me toque ir a la central en un país vecino. Se supone que además quieren instalarme un agente de sincronización en el mismo "que no controle yo". ¿Hasta que punto es lícito esto?
Al igual que sucede con el correo electrónico, yo doy por sentado que si mi empresa me provee de una cuenta de correo, será utilizado para trabajar; y todo aquello que sea personal, por supuesto que lo enviaré/recibiré desde una cuenta personal.
Así pues, si mi empresa desde el primer día no me provee de un portátil, porque yo me ofrezco a utilizar el mío, con mis herramientas, programas y datos necesarios para realizar mi trabajo, ¿por qué tengo que permitir que se instale un programa ajeno a mí que posiblemente vulnere mi intimidad y privacidad? Yo no soy quien instala ni configura el agente para decidir qué carpetas se sincronizan y cuales no. ¿qué pasará si me niego?
Sé que en el caso del correo electrónico hay jurisprudencia que dan la razón a ambos lados: al empleado porque, al monitorizar su correo, se vulnera su privacidad; y a la empresa, porque el correo es una herramienta de trabajo que la empresa te provee y como tal, lo que envíes y recibas es propiedad de la empresa.
Sin embargo, en el caso de un portátil propio, si desde el primer día has acordado (con jefes que ya no están en las filas de la empresa, claro) que serías completamente capaz de desempeñar tu labor con tu propio equipo, ¿cómo es de lícito que se me exija instalar un agente en mi equipo o "darle acceso" remoto o físico a un tío de sistemas (que desconozco si se lava las manos o no después de ir al baño)? ¿Cómo puedo saber que el individuo de sistemas cotilleará algo más que lo que debería en mi PC?
Por supuesto, mi información sensible está en un contenedor cifrado "con 7 llaves" que no estaría montado en el momento del asalto pero, ¿Y si el agente que me instalan, además de hacer un sencillo backup, fuera un troyano con un keylogger? ¿Debería crear varios ficheros con datos que provengan de /dev/urandom?
En esta ocasión, en vez de contaros algo y su solución, os pido lectores, vuestra opinión. ¿Os habéis visto alguna vez en una situación parecida? ¿Os negasteis a ello? ¿Claudicastéis y permitistéis que metieran mano a vuestro pc?
Fuente: Securitybydefault
0 Response for the "El portátil ¿Propio o corporativo?"
Publicar un comentario