Qué es el Bossware

En una nueva era de trabajo desde cualquier lugar, son muchas las empresas que buscan monitorear la fuerza laboral cada vez más adepta al trabajo remoto.

ESET, compañía líder en detección proactiva de amenazas, analiza este tipo de políticas, ya que si se ejecutan bien, pueden traer beneficios en la productividad y la protección de los activos de la empresa, pero también acarrear conflictos con la privacidad de los empleados que podrían terminar desmotivados, e incluso accionando posibles demandas.

El bossware refiere a distintos tipos de software de monitoreo que rastrean qué programas se utilizan durante el día y durante cuánto tiempo, o, en una vigilancia más intrusiva, registran la pantalla del trabajador y las pulsaciones de teclas.

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica comenta:

Debe quedar claro que el monitoreo de empleados no es una iniciativa que deba tomarse a la ligera. La planificación cuidadosa del bossware debe ser la consigna principal para cualquier organización que la considere.

El seguimiento puede abarcar correos electrónicos (contenido y remitentes/destinatarios), historial del navegador, usos de aplicaciones, pantalla del dispositivo y pulsaciones de teclas, webcams, uso del teléfono y contenido de las llamadas, imágenes de cámaras (en la oficina), rastreo GPS de vehículos, seguimiento de la ubicación de la tarjeta de acceso y/o seguimiento del estado físico de los signos vitales y estados de ánimo.

Las personas defensoras de Bossware mencionan que el uso del software de monitoreo puede ayudar a las organizaciones de varias maneras:

Por otro lado, hay desventajas potenciales, tales como:

  • Omite registrar el tiempo dedicado a pensar, resolver problemas y otras tareas no digitales, lo que brinda a la gerencia una visión parcial de la productividad del equipo de trabajo.
  • Aumenta los niveles de estrés y puede desmotivar al personal y minar la moral.
  • Compromete la privacidad, con las consiguientes implicaciones legales para el empleador.
DESTACADO:  10 tendencias en ciberseguridad que marcarán los próximos años

Si se decide implementar un esquema Bossware debe estar alineado a las leyes y regulaciones locales:

  • El RGPD permite, por ejemplo, en toda la Unión Europea la supervisión del lugar de trabajo, pero dentro de un conjunto específico de directrices. Las organizaciones deben crear políticas claras que informen a su personal sobre cualquier esquema de monitoreo y trabajar arduamente para que las implementaciones sean lo más discretas posible. No se permite el monitoreo encubierto y exhaustivo de cosas como el uso de Internet y el contenido de las comunicaciones. Las organizaciones que desean monitorear comunicaciones privadas como correos electrónicos también deben delinear una base legal clara para hacerlo. Existen reglas estrictas sobre la protección de los datos del equipo de colaboradores, asegurando que solo se utilicen para los fines para los que se recopilaron, y que solo se recopile información relevante, durante el tiempo mínimo necesario.
  • En los Estados Unidos, por otro lado, la ley federal de privacidad de la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA) permite el monitoreo de comunicaciones electrónicas como el correo electrónico, siempre que sea para fines comerciales legítimos y se realice en un dispositivo otorgado por el trabajo. También sanciona el monitoreo de las redes sociales y la actividad de Internet, e incluso el registro de teclas y las grabaciones de pantalla. Sin embargo, si bien las leyes federales no requieren notificación previa de dicha actividad, algunas leyes estatales pueden exigir que los empleadores obtengan el consentimiento antes de implementar el monitoreo de los empleados. Las organizaciones también son responsables de la seguridad de los datos que recopilan, y todas deben tener una política claramente definida sobre el monitoreo o no de los empleados.
DESTACADO:  Columna de opinión: "Brecha salarial de género, un reflejo de la sociedad"

No hay dos organizaciones o marcos legales iguales, pero ESET comparte prácticas justas de alto nivel que se pueden incluir:

  • Considerar alternativas a la supervisión del personal, como sesiones de capacitación y/o revisiones periódicas del desempeño.
  • Considerar si el monitoreo es necesario en toda la organización o si podría limitarse a una parte más pequeña del negocio
  • Considerar y delinear la base legal para implementar el esquema.
  • Asegurarse de que el monitoreo sea necesario y proporcionado y no se entrometa demasiado en la vida del equipo de trabajo.
  • Considerar el alcance de su monitoreo. ¿Incluirá correos electrónicos, aplicaciones y uso de Internet y llamadas? Para evitar problemas legales, puede ser útil recordar al personal que use solo sus dispositivos personales para asuntos personales y solo dispositivos de trabajo para asuntos corporativos.
  • Ser lo más transparente posible con el personal sobre lo que planea hacer y por qué, documentado en su totalidad en una política clara y estandarizada.
  • Asegurarse de que los datos recopilados estén protegidos contra pérdidas, daños o robos y que solo sean visibles para usuarios autorizados.
  • Seguir las prácticas de minimización de datos eliminando los datos recopilados tan pronto como ya no sean necesarios.

Gutiérrez Amaya de ESET Latinoamérica resume:

La transparencia y el diálogo son clave para mantener al personal a bordo en una nueva era de trabajo híbrido. Las mejores políticas lograrán un equilibrio difícil pero necesario entre las demandas de la organización y los derechos de privacidad.

ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a open.spotify.com.

Recomendamos