Mi director ejecutivo quiere acceso permanente a los correos electrónicos de todos los empleados. ¿Cómo explico que esta es una idea terrible?

Nuestro CEO quiere que nuestro proveedor de TI configure su cliente de correo electrónico para que pueda ver los correos electrónicos de trabajo de cada empleado en su bandeja de entrada todo el tiempo. Para resumir, le preocupa que sea difícil comunicarse con un empleado específico, por lo que le pidió que le diera sus correos electrónicos y luego decidió que también podría obtener acceso preventivo a los correos electrónicos de todos en nuestra empresa de ~ 15 personas.

Tal como lo veo, esta es una idea absolutamente terrible por todo tipo de razones. Justo al lado de la parte superior de mi cabeza:

  • En este momento, para obtener acceso a los correos electrónicos de alguien, debe pedirle a nuestro proveedor de TI que lo organice. Esto requiere autorización y un registro de auditoría. Esto se perdería en el futuro.
  • Hace que el acceso a la computadora del CEO sea el eslabón más débil en seguridad interna y protección de datos.
  • En relación con esto, no es una computadora increíblemente segura. Habitualmente lo deja conectado cuando no está.
  • Enorme potencial de abuso.
  • Debilita permanentemente todos los controles y la protección de datos internos
  • Podría ser un incumplimiento general de las regulaciones (que podría abrirnos a una demanda laboral. No estoy seguro. No es un abogado).
  • No quiero que alguien espíe mi bandeja de entrada, y tampoco nadie más.
  • Erosiona la confianza de los empleados, porque se siente como espiar, independientemente del motivo.

Entiendo su preocupación y sus motivos. Creo que realmente quiere hacer lo correcto, pero no ha pensado en las ramificaciones de lo que está pidiendo.

Solo soy un empleado (tenemos un director de recursos humanos/cumplimiento que no está en la oficina hoy). ¿Cómo comunico de manera efectiva mis inquietudes al CEO? Sé que legalmente pueden hacer esto. Estoy pidiendo consejo sobre cómo persuadirlos para que no lo hagan.

Relacionado, pero no completamente duplicado: ¿Puede HR/Jefe solicitar su nombre de usuario y contraseña?
Los comentarios no son para una discusión extensa; esta conversación se ha movido a chat . Las respuestas a la pregunta del OP pertenecen a las respuestas y comentarios y las bromas y lamentos sobre la situación pertenecen al chat.
@JaredSmith Estoy de acuerdo en que están claramente relacionados, pero en mi opinión, son lo suficientemente diferentes como para adaptarse al alcance de cada sitio de forma separada. Uno pregunta por qué es una mala idea, y el otro pregunta, ¿cómo se lo explico a mi jefe?
@Lumberjack No creo necesariamente que publicar sobre este problema en ambos lugares sea "incorrecto" de ninguna manera, solo agregando transparencia.
Para que conste, no hay buenas ideas o malas ideas. Hay ventajas y desventajas para cada curso de acción. Una vez que haya establecido los pros y los contras, solo es cuestión de sopesarlos. Si necesita convencer a alguien de que es una "mala idea", pero no es suficiente presentar la lista de pros y contras, debe aceptar que no puede convencerlo.
El director ejecutivo tiene mejores opciones que monitorear el correo electrónico, lo cual consume mucho tiempo y amenaza a los empleados que presumiblemente valora. Hay herramientas de monitoreo de productividad que puede instalar, o puede implementar una política (con consecuencias) de que los empleados que no están programados para PTO deben responder dentro de las 2 horas a un correo electrónico, un mensaje directo de Skype o un mensaje de Slack enviado entre el inicio de la jornada laboral oficial (¿9 am?) y 2 horas antes de la finalización (¿4 pm?). Esa es una expectativa justa y una manera mucho mejor de manejar.
Los empleados deben ser conscientes de que su correo electrónico se vigila activamente. Muchos problemas legales pueden acechar aquí.
Es perfectamente apropiado publicar la misma pregunta en diferentes sitios, siempre que el enfoque de la pregunta esté en línea con el alcance del tema de cada sitio. Preguntando aquí "¿cuáles serían las implicaciones de seguridad de esto?" probablemente estaría fuera de tema y preguntar sobre seguridad de la información "¿cómo convenzo a mi jefe para que no haga esto?" probablemente estaría fuera de tema allí. Misma premisa, distinto enfoque.
Si la empresa es objeto de una demanda, esto podría resultar contraproducente en gran medida, ya que el demandante afirmará razonablemente que el CEO estaba o debería haber estado al tanto de todo lo que se envió en cualquier correo electrónico.
Una idea alternativa que debe presionar es la idea de un correo electrónico grupal que generalmente responde difficult_dan@example.com, pero está configurado para high_availability@example.com(y configura a sus clientes para configurar el encabezado de respuesta: como high_availability@example.com)
"Sé que legalmente pueden hacer esto". ¡En realidad en muchas jurisdicciones no pueden! Puede haber un proceso para que una persona adecuada acceda a una bandeja de entrada específica en determinadas circunstancias, pero un proceso genérico como este infringirá muchas normas de privacidad.

Respuestas (6)

Usted dice que tiene un Oficial de Cumplimiento. Me parece que deberías pedirle alguna orientación al respecto. Si no está en la oficina hoy, puede esperar. Dudo que algo malo pueda pasar en unos pocos días.

Si se encuentra con cierta incertidumbre, simplemente presione las implicaciones de seguridad de que una computadora tenga acceso a todos los correos electrónicos de la compañía y lo que podría suceder si esa computadora se deja desbloqueada y desatendida...

Como comentario adicional, parece que su CEO realmente no tiene idea de lo que está sucediendo en la empresa (si un empleado puede pasar desapercibido durante dos semanas). Podría ser mejor corregir este comportamiento y la falta de supervisión mediante llamadas/correos electrónicos/informes de estado/lo que sea regulares para ponerse al día. Hay una clara falta de comunicación básica.

También puede señalarle al oficial de cumplimiento que el director ejecutivo está dejando su computadora (aparentemente con información muy confidencial de la empresa incluso sin acceso a los correos electrónicos de otros usuarios) desbloqueada y desatendida. Eso debería ser un gran problema en sí mismo, e incluso si están de acuerdo con que él tenga acceso a los correos electrónicos, un requisito previo debe ser que se aplique una política de bloqueo inactivo (3 minutos o menos idealmente) en su computadora para minimizar el ventana para el acceso no autorizado a su computadora.
OP no debería necesitar explicar que esta es una idea terrible. El asesor legal de la empresa debe ser esta fuente autorizada. (El Oficial de Cumplimiento suena como una gran opción para esto en una pequeña empresa).

No deberías hacerlo. Es poco probable que realice algún cambio, y puede dañar su reputación con el jefe.

El director general podría haberle hecho esta solicitud a su proveedor de TI en privado, pero optó por hacerlo frente a todos ustedes. Este fue un cálculo de su parte.

Quiere que sepa que sus correos electrónicos de trabajo pueden y serán revisados. Es muy posible que sea un error de su parte (estamos de acuerdo en esto), pero si es así, es un error en el que ha pensado . Ha tomado una decisión, y es poco probable que sus argumentos lo convenzan.

Debido al efecto Streisand , su afirmación de que esta es una mala idea podría convertirlo en un objetivo y someter su bandeja de entrada de correo electrónico a un mayor escrutinio.

Tampoco recomendaría llevarlo a Recursos Humanos. En mi opinión, hablar directamente con Recursos Humanos en lugar de con el CEO sería peor. RRHH está ahí para proteger los intereses de la empresa, no los recursos en sí.

Si es absolutamente necesario presentar una queja, debe hacerlo en persona directamente con el director ejecutivo, cara a cara, sin nadie más en la sala. Explíquele por qué la decisión es mala para la empresa. No hables de tus sentimientos ni te incluyas de ninguna manera. Hablar de la empresa y de los empleados. Hable acerca de la moral y la retención de empleados.

Es poco probable que cambie su postura, pero si es bueno como director general, te escuchará y puede que te respete por tu valentía si no pareces un quejumbroso.

Si fuera yo no lo haría, pero si lo hiciera lo haría personalmente, uno a uno, y hablaría de las preocupaciones de la empresa, no de mis propias preocupaciones desde una perspectiva personal.

Este es en realidad el raro momento de usar "efecto" como verbo.
Gracias @Kevin. Después de confirmar su afirmación, he editado mi pregunta. ¡Gracias de nuevo!
Un buen CEO debe confiar en sus empleados hasta que se demuestre lo contrario; exigir explícitamente acceso con carta blanca a los correos electrónicos de todos demuestra un nivel horrible de desconfianza orwelliana, por lo que los últimos tres párrafos de esta respuesta no son realmente aplicables. La protección de los intereses de la empresa por parte de RR. HH. cubre este problema, ya que crea un entorno laboral hostil, y Legal también debería participar porque esto abre una gran cantidad de responsabilidades que absolutamente no valen la pena correr el riesgo.
Involucrar o no a Recursos Humanos depende en gran medida de si el director ejecutivo es también el propietario de la empresa o no.
Buen punto @RobertDundon
No sé de dónde se te ocurre "pero optó por hacer la petición delante de todos vosotros". No sabemos que había más de una persona. Sospecho que le estaba pidiendo a la persona que ejecutara la solicitud.
@Paparazzi Está en el historial de edición. La publicación original era mucho más detallada.
Era mejor antes de las ediciones.
Estoy de acuerdo con esto, el hecho de que el personal lo sepa significa que se les está dando una advertencia sutil, entre otras cosas. Porque esto se lograría fácilmente sin su conocimiento y conozco lugares donde secretamente obtienen copias de todos los correos electrónicos.
Esta respuesta está bien siempre que se dé de una persona paranoica a una persona paranoica. Si la confianza no está ahí para empezar, no se puede desperdiciar. En todos los demás casos, no piense así y sea honesto al decirle a su jefe cómo esta medida compromete la confianza básica que necesita para funcionar como empleado.
No explica qué haría para evitar hacer esta solicitud directa del CEO. "Yo no lo haría" dijiste. Entonces, ¿qué harías?

El personal apropiado de la empresa debe y tendrá acceso a todas las cuentas de la empresa cuando sea necesario. No hay argumento de privacidad; cualquiera que crea que cualquier cosa que se haga en el equipo de la empresa es privado no es realista en el mejor de los casos. La tienda de IS, si nadie más, ciertamente tiene acceso ahora a menos que tenga un entorno excepcionalmente protegido con claves de cifrado administradas desde otra parte de la empresa.

Sin embargo, existen cuestiones sobre la definición de "personal apropiado" y "en caso de necesidad". Sin duda, hay algunos datos, por lo general, entre otros, problemas de salud y algunos tipos de datos de clientes (por ejemplo, información de HIPAA, en los EE. UU.), que no deben exponerse, excepto en casos de necesidad específica , para proteger a la empresa de demandas. Y hay cuestiones generales de seguridad y rendición de cuentas.

El CEO tiene razón sobre la necesidad de un proceso para hacer esto. El CEO se equivoca al querer que el proceso sea “porque me apetecía”. El camino correcto aquí es dejar en claro que se necesitan controles para proteger a la empresa y establecer un mecanismo adecuado para abordar el problema legítimo dentro de esos controles.

La empresa necesita acceso. El CEO no necesita acceso continuo sin iniciar sesión. Implemente una política explícita de retención y control de datos que reconozca esas limitaciones. Hay muchas buenas referencias sobre este tema, sobre todo en las secciones de SE que se centran en la seguridad y la administración del sistema.

Para resumir, le preocupa que sea difícil comunicarse con un empleado específico, por lo que le pidió que le enviara sus correos electrónicos.

No explica lo que significa "difícil de contactar", pero supongamos que significa que la persona solo necesita responder correos electrónicos y llamadas telefónicas importantes el mismo día durante el horario comercial, y ese no es el caso actualmente.

¿Qué problemas se resolverían al permitir que el CEO lea el correo electrónico de esta persona? ¿El empleado no responde a los clientes o socios? Si es así, entonces tal vez la persona esté sobrecargada o en el rol equivocado.

¿Por qué es difícil contactar a este empleado, en primer lugar? ¿Viaje? ¿Otras responsabilidades? El director ejecutivo, RRHH o el gerente directo de ese empleado debe trabajar con ese empleado para elaborar un protocolo de comunicación que sea aceptable para todas las partes. Si el empleado es simplemente irresponsable, entonces no tiene sentido crear gastos administrativos adicionales para el director ejecutivo haciendo que cuide al empleado. El CEO debe poder confiar en quienes trabajan para él para hacer su trabajo, y debe centrarse en la estrategia de nivel superior en lugar de los detalles de nivel inferior que presumiblemente le ha confiado a este empleado. Si esta persona no puede comunicarse de manera confiable y puede causar daños, como permitir que un trato fracase al no responder dentro de un período de tiempo razonable, entonces esos deberes deben encomendarse a otra persona.

y luego decidió que también podría obtener acceso preventivo a los correos electrónicos de todos en nuestra empresa de ~15 personas.

Ya ha identificado muchas razones por las que esta es una mala idea. Es posible que simplemente no lo haya pensado y pensó que sería una solución conveniente para evitar problemas similares con otros empleados. Si te sientes cómodo hablando con él directamente, hazlo. De lo contrario, informe a un gerente apropiado sobre su inquietud y pídale que hable con él al respecto, posiblemente sin nombrarlo (si eso es una inquietud).

Si esto se lleva a cabo, en el mejor de los casos, su director ejecutivo tendrá que dedicar más tiempo a duplicar el esfuerzo de otra persona al leer los correos electrónicos y, en el peor de los casos, se estará exponiendo potencialmente a responsabilidades legales en el futuro. Si alguien hace algo inapropiado y no interviene porque no tuvo tiempo de leer un hilo de correo electrónico sobre conducta sexual inapropiada o soborno u otra actividad ilegal, no se verá bien que tenga todos estos correos electrónicos en su bandeja de entrada. Tal vez contrate a una secretaria para manejar su correo electrónico en algún momento. Se podría argumentar que debería haber estado al tanto porque tenía acceso ilimitado al correo electrónico de todos, pero no actuó.

Simplemente puede informarle a su director general sobre las vulnerabilidades de seguridad. Lo que creo que su CEO está tratando de lograr es simplemente monitorear lo que sucede en la organización. Hay una mejor manera. Desde la configuración de correo electrónico, puede configurar para reenviar cualquier correo electrónico, que un empleado envíe o reciba, al director ejecutivo sin dar acceso directo al director ejecutivo. Esta es una práctica normal. lo he experimentado Por configuración me refiero a dónde configuras los correos electrónicos oficiales, no la interfaz. FYI, no baja la moral de los empleados.

Reenviar todos los correos electrónicos de la empresa al director ejecutivo implica prácticamente los mismos riesgos de seguridad que otorgarle acceso a su buzón; ahora, una brecha de seguridad en uno de los dispositivos del director ejecutivo ya no solo expone la información confidencial que maneja el propio director ejecutivo, sino cualquier información confidencial que viaje a cualquier parte de la empresa. Como he dicho en otros comentarios, esta es una Mala Idea™. No es una "práctica normal", e incluso si no afectó su moral, hay muchos que lo interpretarán como una señal de desconfianza y cuya moral se verá afectada.
Creo que te refieres a "moral", no a "moral".

Debe decirle a su CEO que contrate o consulte a un investigador de TI. Están mucho más calificados que su CEO y pueden encontrar fácilmente más "suciedad" en el empleado deshonesto que su CEO.

Están capacitados para ello y saben cómo hacer su trabajo sin que su empresa tenga problemas legales.

Creo que si presenta esto como un argumento de venta a su director ejecutivo, funcionará: "encontrar más suciedad", "menos problemas legales potenciales".

Por supuesto, no sé qué tan amigable eres con tu CEO, pero si tu relación es buena, podrías preguntarle: "Si quieres un pastel, ¿lo harías tú mismo o dejarías que un profesional lo hiciera?". Lo mismo para una investigación: Contratar profesionales.

La pregunta es cómo evitar que el jefe haga algo malo. Tu respuesta es decirle al jefe que deje que lo haga un profesional. ¿Qué dirías si el jefe estuviera exigiendo las llaves de los autos de sus empleados? "Dile que contrate a un piloto de Fórmula 1 para que te lleve en esos autos".
@reinierpost Tocar el correo electrónico de todos está mal. Investigar a un empleado no está mal y para hacerlo de la manera correcta, lo mejor es contratar a un profesional, porque como aficionado es mucho más probable que hagas cosas en el proceso que ESTÁN mal y lastimes a personas que no querías. lastimar.
Pieter B: ¿De verdad le gustaría trabajar para un empleador que contrata a investigadores privados para espiar a sus empleados?
Mi director ejecutivo quiere acceso permanente a los correos electrónicos de todos los empleados. ¿Cómo explico que esta es una idea terrible?
RespuestasAquíPolítica de privacidad1y, 0v