Suscríbete a nuestro RSS Feed
Cuando una empresa tiene empleados que necesitan, de alguna forma, en usar Internet, es común que estos suelan tomarse ciertas libertades, perjudicándose a si mismos… como también a quien los emplea.
Muchas veces, los empleadores creen que realizar controles por software es imposible o muy costoso… por lo que en este artículo, presentaremos algunas herramientas del Software Libre para lograrlo.
Introducción
Hace unos días, visitando una empresa donde conozco a los dueños, me encontré con una triste realidad. Sucede que incursionaron en el negocio del diseño de páginas y aplicaciones Webs, para lo cual han contratado nuevo personal para esas tareas, diseñadores y programadores web.
Dado que estos nuevos empleados desconocen como aprovechar esa libertad que concede la empresa, es usual ver que los mismos derrochan tiempo de su trabajo en realizar otros tipos de actividades… lo cual no está para nada bien, dada la confianza que le tienen sus superiores.
Peor es el asunto, cuando uno pregunta cuales son los tipos de controles que ejercen sobre sus empleados… y la respuesta es llana, simple… “Los miramos de vez en cuando…”, con el claro resultado de esta medida (cuando no te miran, te haces el que trabajas… pero en realidad… lo que estás haciendo no tiene nada que ver con lo que te han encomendado).
El día que fui de visita, desde el lugar en donde yo estaba parado… podía ver la actividad de cada uno de los nuevos empleados… por lo que pude desayunarme de varias libertades que se toman a la hora de hacer su trabajo, como visitar foros (y enviar comentarios, por si quedaba alguna duda), revisar los sitios de descargas (y bajarse algún que otro programa nuevo), responder correos personales (con el pequeño detalle que su labor no requiere interacción con el correo), jugar juegos en Flash, y muchas otras actividades que claramente estaban fuera de su labor.
No soy una persona que desee limitar las libertades de sus empleados, pero tampoco me gusta ver que esas libertades pasan a un estado de libertinaje, en donde -si no me controlan, hago lo que quiero-.
A la situación planteada, le comenté a uno de los dueños, sobre la posibilidad de emplear herramientas para realizar un control (al estilo Gran Hermano) de todas las operaciones que se realizan sobre las computadoras que maneja cada uno de los empleados (estos nuevos, y los viejos también).
La primera impresión del sujeto fue que dichas herramientas eran costosas o difíciles de implantar, por lo que no le interesaba de momento.
Dada su respuesta, procedí a mostrarle como en pocos minutos descargaba un software de VNC (TightVNC) y lo ejecutaba en dos máquinas -de los superiores- para mostrarle como funcionaba… y el tema de que no tenía costo alguno dicho programa (dado que explicarle que es Software Libre, es entrar en un bucle infinito… por lo que me es más fácil decir que -si corresponde- no tiene costo, y además, que su código fuente está disponible por si se quiere modificar algunos aspectos en particular).
Una vez que conoció el programa, sin duda comenzaron las preguntas… por lo que tomé nota de muchos aspectos que le interesaban saber… y trataré de volcarlos a continuación en forma resumida, para quienes sumergirse en el tema… puedan hacerlo con una base de partida.
El Gran Hermano que todo lo ve: VNC
Una de las herramientas más interesantes para los empleadores, son los clientes y servidores VNC, que permiten visualizar lo que está haciendo otro usuario, en un tiempo cercano al real (la diferencia de de milésimas de segundos, y varía según el ancho de banda disponible de la red).
El uso de este tipo de herramientas permite, por un lado, ver sin molestar (no es lo mismo que tu jefe esté parado atrás, a que te esté viendo en -cualquier momento-), mientras que por otro lleva al empleado a ejercer su trabajo de forma limpia (de forma algo forzada, claro), o mejor dicho… sabe que cualquier cosa que haga, podría ser vista por un superior, lo que limita su libertad de acción… (a menos que quiera arriesgarse).
Ojo, el hecho de que un superior pueda ver todo lo que hacemos no limita el hecho de que podamos ver una página web o un correo, eso si… siempre y cuando tengamos permiso para hacer tales tareas. Esto restringe muchísimo las actividades que realizan los empleados, minimizando la pérdida de productividad durante las horas de trabajo.
No estamos diciendo que los empleados se conviertan en esclavos, sino que simplemente aprovechen su tiempo para trabajar… y si han cumplido con el objetivo pactado, felicitaciones… son libres de realizar otras tareas, hasta que les encomienden una nueva.
Como dijimos anteriormente, las VNC funcionan gracias a un servidor y un cliente. El servidor se instala en la máquina que quiere ser controlada, mientras que el cliente se instala en las máquinas que quieren funcionar como visores (las que acceden a los servidores).
TightVNC es una de las herramientas que nos será útil para realizar esta tarea. Desde su web podemos ver la documentación, o bien ir directamente a descargar. Esta herramienta tiene licencia GPL, aunque siempre dan la bienvenida a una donación (y más si van a sacar provecho comercial de la misma).
Lo bueno de la herramienta, es que el cliente es multiplataforma (gracias a JAVA), y el servidor funciona tanto en Windows como en Unix/Linux (y hasta puede usarse un cliente desde el móvil mismo).
La instalación en Windows es por demás fácil, solo descargar el paquete, abrirlo y seguir las instrucciones. En cuanto a Linux, debo decir que al menos en Ubuntu está disponible desde los repositorios (servidor y varios clientes), por lo cual la instalación también es bastante fácil.
Existen otras soluciones en software para la misma utilidad, pero en muchos casos son gratuitas y no abiertas en código, por lo que queda a criterio de ustedes comprobar que tan útiles son (algunas son mucho más -bonitas-, pero para mi caso, menos útiles…).
En el caso que la máquina a controlar esté utilizando Mac OS 9/X, será necesario optar por Vine (OSXvnc), que no es libre.
Web: TightVNC | Descargar TightVNC
Rastreando sus destinos: Web Proxy
Otro tipo de control que puede ser útil, es el realizado por un Web Proxy, ubicado entre las conexiones internas de la empresa, con las que salgan a Internet. Para este tipo de solución, se puede hacer uso de algunos Routers que traen incorporadas herramientas de control, aunque en mi caso trato de evitar recomendar estos, dado que los costos normalmente quedan afuera de la típica pequeña y mediana empresa (al menos, en lo que su presupuesto les permite).
Para hacer un Web Proxy, todas las peticiones para navegar, deben pasar por una máquina que haga de servidor… siendo esta la única que debe tener un software especial instalado (claro, las otras usan un navegador configurado a estos fines). A su vez, la propia red debe estar configurada para que el Router con salida a Internet, solo permita las conexiones desde el servidor con Web Proxy y quizás alguna que otra máquina de los superiores, o aquellas que no quieran estar restringidas bajo el control (aunque, si se aplica un control, lo mejor es que sea para todos por igual… ya que el acceso físico a otra computadora en una empresa pequeña, es muy fácil y común).
Una de las opciones para crear un Web Proxy es Squid, que también está bajo la licencia GPL, y que puede descargase gratuitamente desde su web, junto a su código fuente.
Este producto tiene soporte para múltiples sistemas operativos, como ser Windows (NT/2000/XP/2003), Linux, Mac OS X, NetBSD, entre otros; por lo que cubre la mayoría de sistemas utilizados en las pequeñas y medianas y empresas.
Atención: esta herramienta, no es fácil de instalar… no porque sus desarrolladores lo compliquen, sino porque la configuración de un Proxy requiere de cierto conocimiento en seguridad y redes (dado que tendremos que evitar que el mismo pueda ser accedido desde fuera de nuestra red, para evitarnos otros tipos de problemas). Es por esto, que no recomendamos que lo hagan sin ayuda de alguien que conozca del tema (por experiencia previa, en todo caso).
Una vez instalado el servidor, se deberá proceder a configurar la red para que las peticiones de Web pasen por medio de dicho Proxy (ya que si van directo al Router, y este lo permite, el control sería nulo). A su vez, será necesario que cada navegador sea configurado para hacer uso de dicho Proxy.
Finalmente, cuando todo el Proxy está en funcionamiento y las computadoras bajo control hacen uso de Internet por medio del mismo, entonces será necesario instalar algunas herramientas que nos ayuden a entender los registros que guarda Squid.
Dentro de su página oficial, poseen una sección exclusiva de Scripts en donde nos encontraremos herramientas (algunos son comerciales) como Sarg, SRG o IAM, que serán de gran ayuda para procesar la información de la forma que queramos… según lo que necesitemos saber (que sitios fueron visitados, desde que máquina, a que hora, cuanto bando de ancha consumen y mucho más).
Web: Squid | Descargar Squid | Descargar Scripts | Otros: Sarg | SRG | IAM
Guardando lo descargado: Caché
Sin entrar mucho en tema con este aspecto, se puede configurar Squid para que almacene por determinado tiempo cada archivo descargado (lo cual requiere, claramente, un buen soporte de almacenamiento… cada día más baratos), lo que nos permitirá ver si los usuarios de la red descargan archivos con contenido malicioso, o bien con fines no relacionados al trabajo que realizan (pornografía, por ejemplo).
Incluso, se pueden implementar medidas de seguridad con antivirus que examinen (o filtren) cada archivo descargado, pero esto es entrar en un tema más profundo… y que requerirá que algún informático los asesore puntualmente si tienen lo que se necesita (un servidor que pueda procesar toda la información de la red, acorde al uso de la misma) y si es necesario en su empresa.
Aspectos legales, de la mano de un abogado
Seguramente, desde el inicio del artículo, muchos se estarán acordando de todo mi árbol genealógico por sugerir este tipo de medidas para una empresa, dado que limitaría mucho el acceso a sitios de interés personal… (como TechTear) y en muchos casos, nos dejaría sin acceso a Internet de forma -libre-.
Sin duda, todos queremos libertad, pero por eso debemos -en cierta forma- pactar con la empresa para que, una vez terminada nuestra labor, podamos realizar otro tipo de actividades sin importar que sean o no afines de la empresa.
Esto podría generar controversia, pero se puede disminuir con el simple hecho de pactar que tipos de sitios si pueden ser visitados, o en todo caso, cuales no (una lista negra forzada por medio del Web Proxy, o bien pactada entre el empleado y su empleador).
Pero, esto no queda solo ahí… dado que en la empresa que les comenté, una de las dudas más fuertes fue la de “pero… ¿esto es legal?”, algo que me sorprendió… dado que están al tanto de los temas de la privacidad (algo que supuestamente estaríamos violando con estos controles).
Para entender más del tema, nada mejor que hablar con un abogado… y es por esto que me puse en contacto con el Dr Gastón L. Bercún, a quien bombardee ligeramente con preguntas por correo, para saber en que líos nos podríamos meter.
A continuación, lo presento en forma de Q&A para mejor comprensión:
- Federico Almada: ¿La empresa puede ejercer este tipo de controles? ¿Debe avisar a los empleados, si estos están siendo controlados?
- Dr. Gastón L Bercún: La empresa puede ejercer todo control sobre las herramientas que provee, siempre que el control, la forma y su nivel y condiciones sean previamente avisados a los empleados. Un empleado no puede usar la pc, el teléfono o la conexión a internet, así como su tiempo, para lo que quiere, el empleador puede controlar eso, pero siempre tiene que preavisar los mecanismos de control.
- Federico Almada: ¿Existen casos en el pasado en donde la empresa haya tenido un fallo en contra por -espiar- a sus empleados?
- Dr. Gastón L Bercún: Los fallos que existen contrarios a este control, han existido por la falta de aviso de las medidas de control que las empresas adoptaban, lo que fue interpretado como avasallamiento de la privacidad.
- Federico Almada: ¿Algún consejo legal para los empleadores/dueños de pequeñas y medianas empresas?
- Dr. Gastón L Bercún: El consejo es siempre adoptar políticas claras de uso de las herramientas y recursos provistos por la empresa, y hacerlos firmar por los empleados, guardando cada parte una copia.
Nota: Desde ya agradecemos al Dr. Gastón L Bercún por la información aportada, precisa y de gran utilidad, y los invitamos a visitar su Sitio Web en caso de que necesiten asesoramiento sobre este u otros temas legales.
Conclusión
La verdad es que no sabría como cerrar este artículo sin ser más redundante. El empleador debe saber que puede realizar estos controles, siempre y cuando sigamos los consejos de avisar con antelación, que nos da el Dr. Gastón L Bercún.
A su vez, deben saber que el software está disponible a un precio accesible o nulo, por lo que solamente sería necesario buscar a un informático que haga la tarea, en el caso que sea necesario (quien solo cobraría por los honorarios, y no por el software, claro está).
En cuanto a la otra parte, la controlada (el empleado), hay que destacar que con este tipo de controles… si bien se limitan las libertades del acceso -sin restricciones- a Internet (dejando de ser tal), esto provocará un grado mayor de productividad tanto en él, como en sus pares… y si como empleado uno nunca abusó de esa libertad, no debería de preocuparse. A la vez, podrán conseguir con su equipo de trabajo, objetivos de forma más real, con tiempos más pulidos (ya que el ocio excesivo, queda fuera de juego), lo que seguramente provocará otro tipo de postura más positiva por parte de sus superiores a futuro…
Dejo el debate abierto, por si alguien quiere presentar otras herramientas que les hayan sido útiles o que crean necesarias agregar, siempre y cuando sean libres (dado que a eso va el artículo) o no (siempre y cuando lo aclaren). A su vez, quienes quieran exponer vivencias respecto a este tema, están invitados a hacerlo… desde ambos lados, empleadores y empleados.
Un sincero agradecimiento al Dr. Gastón L Bercún.
Federico Almada
Suscríbete a nuestro RSS Feed
La ventaja de ser informático es que sabemos como dejar una PC en casa con un servidor SSH corriendo, desde el trabajo abrir una conexión al mismo con un túnel (puTTy es excelente para esto incluso si nos obligan a trabajar en Windows), y usar dicho túnel como proxy en nuestro querido FireFox.
Todo lo que el soft registra son datos que se envían y reciben encriptados a una PC afuera y nada saben de lo que va en la misma. ^^
Juan,
El tema es que el informático de por sí sabe cuidar su máquina, ya que depende de ella y lo entiende… como también comprende su valor -dentro de la empresa- (sino la tiene, no puede realizar gran parte de su labor).
Aún así, la solución que propones puede ser filtrada si se analiza todo el tráfico saliente y entrante, que por más -cifrado- que esté, no pasará inadvertido para el informático de turno, y terminará siendo capado… ^^
Saludos
p.d: soy proyecto de informático :D así que te entiendo… y ese informático de turno, muchas veces no se toma tan en serio su trabajo…
De hecho, es perfectametne seguro. Romper una llave SSL de 128 bits por fuerza bruta requiere aproximadamente un trillón de años según estimaciones de hace sólo un par de años. Podés consultar a Verisign o The Yankee Group para más datos, ambos trabajan mucho con este tema.
Juan,
Te me has confundido… en ningún momento digo que se pueda “romper” el cifrado, eso es otro tema, sino que si el tráfico que veo es raro (porque es cifrado, muy entendible no va a ser) y no son precisamente peticiones de las aceptadas (digamos, que solo permitamos tráfico x http), entonces tranquilamente se puede filtrar…
Saludos
Si filtran el puerto lo cambias. Si filtran por ip, la rotas (dudo alguien tenga IP fija en su casa). Nunca van a filtrar todo el tráfico no-HTTP y no-FTP, porque dejan de funcionar miles de aplicaciones. No podés acceder a servidores remotos, no podés transferir archivos en forma segura ni siquiera usando SFTP, etc.
Si alguien viene a preguntarte que es eso, simplemente decís “anoche estuve trabajando desde casa y me estoy bajando por SCP los archivos”. Nadie te penaliza por ser workoholic.
Estas soluciones son excelentes para la secretaria que juega a las damas online o el contador que revisa su FaceBook, pero como dije, nosotros si los queremos cagar los cagamos.
Juan,
No quiero seguir dándole vueltas al asunto, porque el punto ya está dicho. La idea del artículo es -controlar- el -tráfico saliente y entrante- a la hora de -navegar por Internet-, siendo el caso de que los usuarios necesiten de dicho acceso y limitando el acceso a otro tipos de usos, dado que los servidores de archivos normalmente están dentro de los límites de la red, como otros tipos de servidores (correo, por ejemplo) necesarios para el uso de los empleados.
Es decir, no aconsejo el bloqueo por lista negra (que es bastante laborioso e inútil) sino por lista blanca, permitiendo el acceso a determinado tipos de aplicaciones que -si le serán útiles- y -si son necesarias- según qué tipo de empleado sea el que acceda a la red. Un programador tendrá sus necesidades… un diseñador tendrá otras… y así con los superiores, secretarias y demás.
Y… en el caso de que alguno tenga la viveza de aprovechar de las salidas, no estipuladas por la empresa, entonces se verá con dicho empleado la situación (un informático tendrá excusa… el resto, no).
Saludos
Federico,
Felicitaciones por la nota y gracias por permitirme participar en ella.
Saludos,
Gaston Bercun
http://www.bercun.com/blog
Hay programas VNC que te permiten configurar y hacer que cada ves que alguien quiera ver tu maquina, te aparezca un cuadro de aceptar/rechazar lo cual te da tiempo de cerrar las ventanas que quieras y cuando te empiezan a monitorear no ven nada extraño.
Igual existirían muchas otras manera de controlarnos como las mencionadas en el articulo pero que esto “provocará un grado mayor de productividad”… mmm hoy en día las empresas hablan de Retención de Talentos, Cultura Empresarial y mas, entre las cuales se toman medidas como poner una mesa de billar o ping pong, tener un televisor en la hall y demás ocurrencias con el fin de evitar que se vayan sus empleados a otras compañías ( claro esto está conectado con que RRHH hizo bien su labor en el reclutamiento de personal ).
Por lo tanto el que se tenga libertad en el uso de la PC e Internet hará que las personas responsables se sientan cómodas en su trabajo y no estén mandando CVs a la competencia para cambiarse, y los que no son responsables así les bloquees todo aunque sea jugaran solitario pero no se harán mas productivos.
Por ultimo, si restringir accesos es tan importante para los encargados de seguridad que siempre bloquean el messenger al resto de los empleados por el bien de la empresa, porque nunca se bloquean esas salidas a ellos mismos??
Saludos, otra opción para los costosos router’s, es utilizando alguna máquina vieja de la empresa e instalarle alguna distribución (GNU/Linux) gratuita, como Smoothwall, o IPCop, yo uso la primera y con muy buenos resultados, ya que puedes instalarle filtro de contenidos, web proxy, DMZ (Con DHCP aparte), antivirus, firewall (todas estas en forma de add- ons), y personalizable y muchas de estas gratis.