Intimidad vs. Productividad
“La Audiencia Provincial de Madrid permite que una empresa lea los correos de un trabajador sin su consentimiento y sin haber pactado antes una política de privacidad.”
Este auto entra en contradicción con la doctrina del Tribunal Supremo, que establece que el acceso del empresario al ordenador de un trabajador no puede ser ni arbitrario ni desproporcionado, debiendo tener indicios o fundadas sospechas de una conducta inapropiada y no puede tener la posibilidad de hacerlo de forma menos intrusiva.
En el caso que nos ocupa, la Audiencia ha determinado que la empresa tuviera acceso a los mails del trabajador debido a los indicios de que éste pudiera estar facilitando información confidencial de la empresa para competir deslealmente con ella.
Para solucionar estos problemas, desde Áudea recomendamos que las empresas pacten o informen a sus empleados de sus “políticas de uso de los medios informáticos” y de sus “políticas de privacidad”, de tal forma que el empleado sea consciente de que el uso del equipo informático debe ser, exclusivamente, para llevar a cabo las actividades necesarias en el desarrollo de sus funciones dentro de la empresa.
Así es posible que el control empresarial de los medios productivos de la compañía, no limite el derecho a la intimidad del trabajador (consagrado en el artículo 18.1 de la Constitución), más aún cuando se ha establecido previamente que el ordenador o en general, los equipos informáticos, son instrumentos de producción titularidad del empresario.
El auto de la Audiencia Nacional, ha creado un precedente peligroso, pues si el trabajador no es informado, a través de las “políticas de uso de los medios informáticos” y las “políticas de privacidad”, de las consecuencias de la utilización de estos medios para fines personales, el empresario no tendría facultades de control de utilización de los mismos, y si podría estar incurriendo en una vulneración del derecho de intimidad del trabajador.
Áudea Seguridad de la información
Departamento Legal
Marta Sánchez Valdeón
Implantación de un Servicio de Control de Versiones con SVN, Apache y Autenticación contra el Directorio Activo
Recientemente hemos implantado en nuestra oficina un sistema de control de versiones basado en subversión (http://es.wikipedia.org/wiki/Subversion). Con el fin de ayudar a quién quiera hacer algo parecido vamos a publicar algunos de los puntos principales que hemos adoptado. En nuestro caso, partimos de un entorno formado por un servidor Linux y donde los usuarios utilizan Windows XP.
En primer lugar, la facilidad de uso es siempre primordial, para que los usuarios no sean reticentes a comenzar con su utilización en su trabajo habitual. Por esta razón se instaló en los equipos cliente el software TortoiseSVN (http://tortoisesvn.net/) Este software se
integra como plugin en el explorador de Windows, y con un simple botón derecho es posible acceder a cualquiera de las múltiples opciones que esta herramienta nos ofrece. Su instalación es muy sencilla, tan sólo es necesario descargarse la última versión del software y seguir los pasos indicados, siendo necesario reiniciar el equipo posteriormente para obtener todas las funcionalidades.
En cuanto al servidor, para facilitar su utilización se integró el servidor de subversión con el servidor web Apache que ya utilizábamos para nuestra Intranet, de modo que no se requiere añadir nuevas reglas en el firewall para acceder al servicio. Para conseguir esta funcionalidad, habría que añadir al fichero de configuración del “virtual host” correspondiente las siguientes líneas:
<Location /subversion>
DAV svn
SVNPath “/SVN/subversion/repos”
</Location>
Posteriormente debemos forzar al servicio Apache a que vuelva a leer el fichero de configuración, algo que se puede conseguir con el siguiente comando en entornos Linux:
service apache reload
Y para verificar que hemos realizado estos pasos correctamente, podemos hacer uso del navegador, introduciendo la url correspondiente, que debe ser algo como http://ip_servidor/subversion
El siguiente punto a tratar es añadir un grado de seguridad adicional en el servicio, como es la protección del acceso al mismo mediante usuario y contraseña. En este punto se estudiaron diversas variantes, pero siempre con el objetivo de facilitar al máximo a los usuarios la utilización del servicio. A nivel de administrador, la alternativa más sencilla es posiblemente hacer uso de la directiva “htaccess”, ampliamente documentada en internet.
Pero sin duda, la solución idónea que se nos presentó es integrar la autenticación en subversion con la autenticación contra el directorio activo, de modo que los usuarios tuvieran que introducir sus credenciales de acceso de Windows para poder acceder al contenido. De este modo, el usuario no tiene que recordar unas nuevas credenciales, y el administrador no tiene que realizar las típicas tareas de gestión de usuarios. Esto se consigue añadiendo las siguientes líneas al fichero de configuración del virtual host donde hemos configurado el acceso a SVN.
<Location /subversion>
DAV svn
SVNPath “/SVN/subversion/repos”
AuthType Basic
AuthName “Introduce tus credenciales de Active Directory”
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL
ldap://ip_ldap:389/OU=OUP,DC=DC1,DC=DC2,DC=com?sAMAccountName?sub
AuthLDAPBindDN “CN=user,OU=OUP,DC=DC1,DC=DC2,DC=com”
AuthLDAPBindPassword “password”
require user usuario1 usuario2
</Location>
En este caso concreto, se permite el acceso al servicio tan sólo a los usuarios usuario1 y usuario2.
En AuthLDAPURL se debe introducir la dirección de LDAP de consulta, en AuthLDAPBindDN el DN del identificador del usuario que se va a utilizar para acceder al servicio LDAP y en AuthLDAPBindPassword su contraseña
En este punto, se destaca que el usuario que se utiliza en la directiva “AuthLDAPBindDN ” debe ser un usuario de sólo lectura, sin privilegios de escritura. Esto es especialmente importante debido a que es necesario introducir la contraseña del mismo en el fichero de configuración. En cualquier caso, los privilegios de lectura del contenido de este fichero deben ser restringidos al máximo posible a nivel de sistema operativo, minimizando de este modo el riesgo al que se encuentra expuesto el sistema.
Como siempre, cualquier duda que podáis tener al respecto, ¡no dudéis en preguntar!
Nuria Acinas
Consultor Seguridad TIC
Áudea Seguridad de la Información
APADIS recibe la colaboración de Áudea Seguridad de la Informaciónpara implementar la normativa de la LOPD
Las Entidades del Tercer Sector también deben ponerse al día con la normativa de la LOPD, aunque no están preparadas para su implementación, por la falta de preparación y de recursos para poner en marcha las exigencias de la ley.
APADIS ha sido una de las ONG’s pioneras en cumplir con estos requisitos gracias a la colaboración de Áudea Seguridad de la Información que, como parte de su política de Responsabilidad Social Corporativa, ha realizado una consultoría a la Asociación para la adecuación a lo que marca la ley de los procedimientos de tratamiento de datos personales.
Áudea, se enmarca dentro del concepto actual de empresa moderna que trasciende los planteamientos tradicionales que afirman que la consecución del beneficio es el único objetivo de las empresas, mostrando una mayor implicación del entorno empresarial en los problemas sociales, medioambientales y de derechos humanos.
De esta manera Áudea contribuye a la consecución de la Misión de APADIS: “Mejorar la Calidad de Vida de las personas con discapacidad y la de sus familias”.
