La Audiencia Nacional estima las demandas de UGT y CCOO contra el Proyecto Tracker de Telepizza, lo que supone la nulidad del sistema que obliga a los repartidores a llevar su propio móvil para que los pedidos sean geolocalizables
|
etiquetas: audiencia naciona , telepizza , teléfono
cincodias.elpais.com/cincodias/2018/10/03/midinero/1538587470_050609.h
Últimamente parece que nos quieren colar todo tipo de explotación con anglicismos.
cincodias.elpais.com/cincodias/2018/10/03/midinero/1538587470_050609.h
-Pero hay un problema: tendríamos que darles teléfono de empresa.
-Na... Pa'qué. Eso cuesta dinero. Si ya tienen su propio teléfono. Que instalen la app ahí.
Muy fan de alguna empresa que salió a la prensa que en lugar de darte los equipos informáticos te dan "xxx miles de euros" y unas especificaciones mínimas y comprate lo que más te guste/convenga. (y para quien no quiera eso la empresa te ofrece unos equipos también).
Y te lo digo por experiencia que en 2018 me han entregado un portátil NUEVO sin SSD...
www.insight.com/en_US/learn/content/2017/01182017-byod-statistics-prov
Por ejemplo en mi empresa se usa el móvil de empresa (Android) para los tornos de acceso, y no son pocos los compañeros que les gustaría seguir usando su iPhone, o simplemente no tener que cargar con 2 móviles.
Hablando de una app de "control de presencia" ¿que problema le ves?
Además que Android(y creo que iphone) tienen la posibilidad de borrar y otras acciones por la empresa incluso en el móvil personal(si este lo activa que puede ser requerimiento de la propia app), por ejemplo como pasa con las app de correo corporativo.
Si tu seguridad de la empresa depende de que el terminal esté auditado por tí en principio parece una mala practica de seguridad.
¿No es esa la definición de Pizza?
Hasta la masa la hacen ellos en el momento. En el telepizza todo viene empaquetado, y lo mas gracioso son bastante mas caras las pizzas del telepizza
semenqueso fundido...¿se nota que no me gustan na de na?
Tranquilo no eres el único.
Mi empresa es un retailer con un gran número de empleados (vendedores) y alta rotación en los puestos. Dar un móvil de empresa a cada empleado no es rentable ni económica ni operacionalmente y se convertiría en un gran problema de gestión con pocas o ninguna ventaja. Debido a eso no se me ocurriría un proyecto en el que el empleado tenga que usar un móvil propio y no se me ocurre como Telepizza prefirió algo así antes que explorar otras opciones
* Dar un móvil no es una opción
* Que usen su móvil no es una opción
¿que estas desarrollando para móviles exactamente y como se va a usar con esas condiciones?
Y en el ejemplo concreto de control de presencia, lo primero q se me viene a la mente es un trabajador listillo bajandose el programa no para instalarlo en su teléfono sino para meterlo a un emulador y usar un gps fake.
Por esos mismos problemas es una locura usar esos mismos terminales personales de los empleados para ese menester habiendo otras opciones para ello, permitiendo directamente posicionar las motos o las mochilas rojas para hacerlo directamente, con un dispositivo que realmente deje poco margen de manipulación al usuario.
Aquí lo que buscó realmente la empresa es buscar la solución más barata para ellos a sabiendas cómo está el mercado laboral y que los empleados iban a acabar tragando si o si.
Lo que no tiene sentido es lo que pasa en algunos lados que se pretende que el empleado ponga su terminal personal mezclandolo todo con las cosas del trabajo.
a) "BYOD" puedes hacer eso y que los aparatos estén igualmente auditados por la empresa.
b) "cantidad de aplicaciones que roban datos de multiples formas" ¿y porque pasará más en un portátil/móvil mio que en el de la empresa que también uso yo? (supongo que lo dices porque estarán completamente capados goto "a" aunque no aplicaría esto a lo que deciamos de usar el movil personal para fichar pero para algo como fichar solamente, que exporte datos no deberia ser un problema para tu seguridadIT)
c) "meterlo a un emulador y usar un gps fake" eso no es un problema de seguridad para tu sistemaIT sino un fallo en ese control(que aquí, claro, no es lo mismo, a nivel de seguridad, que hables de un comercial que de un técnico de seguridad de una central nuclear)
Por otro lado, alguien por aquí linkeaba noticia de que en EEUU ya es algo muy común(yo no lo sé) si es así, ¿donde están esos desastres?
Por otro lado, hablando de empresas IT y parafrasando creo que fue a un directivo de google, ¿Le das acceso a datos clave de tu empresa(y clientes) a tus empleados y no te fías ni de darle una visa con 1000euros de saldo o un portátil o móvil libre? (obviamente aquí el nivel de los empleados es clave, claro).
Si es para fichar con smartphone y el smartphone no puede ser ni del empleado ni del empleador, ya me diras que fichaje con smartphone hacen...
Es que suele ser importante en las empresas poner cosas que funcionen "de verdad" aunque claro no suele ser ni barato ni fácil, pero claro muchos tienen como DirectorIT al hermano de la novia del hijo y....
"mezclandolo todo con las cosas del trabajo" yo no he dicho eso. Pero si que me parece de cajón poder usar mi móvil para fichar, por ejemplo, en lugar de tener que llevar otro aparato/tarjeta para ese uso.
Y lo que no se nos ocurriría bajo ningún concepto es obligar al trabajador a usar su propio smartphone para una tarea obligatoria de la empresa, que es lo que ha hecho Telepizza, ninguneando a sus trabajadores de paso.
Ok, ahora lo entiendo, es que no me cuadraba...
"obligar al trabajador a usar su propio smartphone" Si si correcto y coincido, aunque darles la posibilidad completamente voluntaria si estaría bien, dar facilidades/comodidades/elección a los trabajadores siempre suele ser positivo.
¿O es que es algo de punto de venta "móvil" y el tamaño del smartphone se vuelve clave? (si no puedes dar datos se entiende...)
#15 en mi empresa se prohibió el año pasado, ahorras dos duros y genera más problemas que soluciones
a) A ver, eso es en estados unidos, en europa somos mucho más restrictivos con ese tema ya que nos tomamos la privacidad (y el derecho a que por ejemplo termines tu jornada laboral y no estés virtualmente localizable en cualquier momento porque tu movil de empresa es tu movil personal) más en serio. Hay artículos que a poco que rebusques verás sobre como por ejemplo en Alemania la penetración del BYOD es muy baja por este tipo de cuestiones.
b) Tu lo has dicho, porque el movil de la empresa o el portatil, si hay un proceso de seguridad va a tener capado lo que no sea necesario según el perfil del tipo de usuario. Osea es que a un comercial por ejemplo no le voy la libertad de meterse mierdas en el equipo, que por ejemplo si le podría dar a un técnico de campo que tenga que andar instalando software de terceros, o accediendo a paginas con certificados autofirmados (los tipicos que te vienen en appliances por ejemplo).
c) Sí es un problema de seguridad porque si le dejo instalarse la aplicación en su movil, eso significa que por ahí tengo que tener un repositorio desde el que puede bajarse un apk, e instalarlo donde quiera, o incluso hacerle reversing. Además que con esa práctica estoy poniendo en riesgo al usuario, porque le estoy obligando a que se vaya a la configuración del movil y deshabilite la configuración que solo permite instalar aplicaciones desde la tienda.
Pero además el BYOD, a mi entender, no significa "te lo instalo en tu movil/pc personal" sino " en lugar de entregarte un portatil, una pantalla y un movil para ti cuando te incorporas, te doy XXX euros y tu escoges el terminal que quieras(que cumpla requisitos) y si falta pasta porque eres un pijo de cojones pues la pones tú y si sobra te la quedas(o la politica que sea en la empresa). En ese caso el problema de seguridad respecto a escoger tu los los "devices" es prácticamente cero, ese aparato solo deberá usarse para trabajar y con las normas y capados que marque la empresa, al menos hasta que te vayas de ella. (aunque como digo no se como se está aplicando en EEUU realmente, lo que yo entendí y apoyo es lo que aquí digo)
Lo del móvil personal lo decía para temas como, p.e. una aplicación de fichaje como decía a quien contestaba.
de "c" no entiendo:
"e instalarlo donde quiera, o incluso hacerle reversing" ?¿?¿
"le estoy obligando a que se vaya a la configuración del movil y deshabilite la configuración que solo permite instalar aplicaciones desde la tienda"
Puedes publicarla en la tienda oficial también, pero como digo ha de ser algo voluntario y si quieres para usuarios avanzados, nunca dije para todos ni obligado.
es.wikipedia.org/wiki/Bring_your_own_device
Obviamente eso si genera, o puede generar, huecos de seguridad a cubrir.
La aplicación de fichar, puede parecer una trivialidad pero no deja de ser un mecanismo de seguridad muy importante. Es el "algo que tienes" de los factores de autenticación. Si eso no está bien securizado alguien podría robarlo, clonarlo y acceder como si fueras tú.
Instalarlo donde quiera me refería a instalarlo en otros dispositivos que no son en el que legitimamente debería estar instalado (emuladores por ejemplo). Hacerle reversing quiero decir hacerle ingeniería inversa es decir, destriparlo.
www.meneame.net/notame/3087593
"Si eso no está bien securizado alguien podría robarlo, clonarlo y acceder como si fueras tú" <--- A fichar por alguien e slo único que debería poder hacer si el resto del sistema es seguro. Luego sería importante en, por ejemplo una instalación militar o nuclear, pero no para saber si fernando ha esta "haciendo campana".
"Instalarlo donde quiera me refería a instalarlo en otros dispositivos que no son en el que legitimamente debería estar instalado"
El ejemplo de fichaje: NO veo el problema de que hagan lo que quieran con tu app de fichaje, es más lo aconsejable sería pedirle a hackers que lo intentaran.
Así que si le dices a un empleado que le das 1200 euros para comprar su portátil, se gastará 800(si el sobrante es para él) generalmente. (y tendrá SSD, no como me pasa ahora a mi)
En teclados, ratones y monitores si que ahorran normalmente respecto a lo que un usuario compraría, pero es que son autenticos racanos, yo ya voy por la 3vez(aunque en una de ellas me lo pagó la empresa) que me traigo mi teclado y mi ratón de casa(y luego me los vuelvo a llevar) porque me han puesto una mierda de "V7" o similar a una persona que pasa casi 8h usando esas herramientas. ¡Leñe!
Te pondré un ejemplo, a mi me dieron el año pasado este:
www.pccomponentes.com/portatil-lenovo-thinkpad-l470-intel-core-i5-7200
¿quien narices compra eso(y en esa epoca era más caro) pudiendo, por ejemplo, comprar esto?
www.pccomponentes.com/lenovo-ideapad-330-intel-core-i7-8550u-8gb-256gb
Y no es el caso más grave, pero el más reciente...
Una empresa como Telepizza que se dedica a quemar gente, hace montones de contratos al dia y se las sabe todas, ellos y todas las grandes y ademas se pasan los datos, una lista de DNIs es lo mas facil de hacer. Y cuando lo intentas en otra el sistema pita y tu curriculum va a la basura.
Esas empresas son una mierda y no compensa trabajar en ellas, para nada, al mes te iras mosqueado. Pero no les hagas una putada, que siempre se puede, por que te la guardan y no olvidan.
Si es que eso al final es una zona muy gris. Si por ejemplo resulta que el empleado le da por instalarse algun programa pirata (o el caso contrario, el empleador le facilita programas q son pirateados) y le pillan a quien hacemos responsable, quien es el dueño del equipo?
Todo depende, si es una empresa medianamente seria va a tener, al menos, doble factor de autenticación para acceder a segun que sitios, normalmente contraseñas para equipos y biometricas para zonas. Pero si van a lo low cost o a la chapuza te puedes encontrar empresas que con meter la tarjeta te desbloquea el ordenador y ya tienes acceso (y esto lo he visto en un sitio que paso de decir pero que es una entidad que maneja una infraestructura crítica de este país).
Y respecto al último parrafo, a ver, partimos de la base que la aplicación para fichar son basicamente dos partes, una que es la que da acceso digamos a los controles de seguridad. Eso, si está hecho con un protocolo moderno no es atacable por un hacker (un pentester más bien), porque ahí no vas a reinventar la rueda y vas a usar algo estandar tipo RFID con por ejemplo emulacion del sistema Mifare. Lo que si es atacable es el mecanismo que define como se alimenta ese sistema, como sabe la aplicación si eres pepito o juanito, para autenticarse como tal. Esa es la parte que a menos que compres algun tipo de solución completa te va a tener que programar tu departamento de IT o la subcontrata de turno, y ahí ya depende mucho de las capacidades que tengan, puede ser un puto coladero que no conviene para nada que los apk anden por ahi a la vista de cualquiera.
Si la empresa hace bien las cosas: El BYOD(a mi estilo) no es un problema real(aunque varía la casuística, soporte, etc).
Si la empresa hace chapuzas: El BYOD pueden traer problemas(que haciendo chapuzas por algún lado u otro tendrán problemas).
¿no?
Entonces la solución no es cargarse o demonizar el BYOD, sino: dejar de hacer chapuzas. (que si que no es tan fácil...)
Lo que tu dices, que yo realmente no considero que sea BYOD, es más bien una mezcla entre que te permita elegir el equipo con la matización esa de que pones tu más pasta y cuando acabe la relación laboral te lo quedas? Si no he entendido mal. Si es así, si mientras que estás en la empresa ese dispositivo es usado unicamente para trabajar, con los controles y procesos de seguridad adecuados pues no me parece mal.
También te digo una cosa, si me pongo el modo paranoico on, podría no parecerme bien que por ejemplo si te dan a elegir que pc quieres te pongas un xiaomi (por todo el tema del supuesto espionaje industrial proviniente de china), o uno que aunque sea muy bueno por sus espeficaciones lleve una cpu intel que no sea post spectre, meltdown y demás...
Y vuelves a tener razon con lo de Apple, grrr grrr grrr, me sale mucha bilis.
"si me pongo el modo paranoico on..."
Para mi entra dentro de "pon las especificaciones necesarias". (obviamente lo puedes pervertir haciendo que solo haya un modelo que las cumpla..., pero se entiende que no es la idea).
"post spectre, meltdown"
Precisamente las típicas compras de empresa no se suelen preocupar si compran una cpu de hace 3 años, ni de cambiar ese portátil del comercial de hace 5 años. (entra también dentro de: "hacer bien las cosas").
¿Lo de "aqui aqui" que es?, guapo.
Es que no es la primera reunión a la que asisto:
* !Vamos a hacer una app que haga esto, esto y esto y tal!
+ Jefe eso ya lo tenemos en esa aplicación de escritorio.
* ¡Pero no es una app!
+ Pero jefe no aporta nada hacerlo en móvil en este caso, si lo prefiere lo hacemos web y sirve para ambos.
*¡Quiero una app o me pongo a llorar!
(Dramatización, pero muy real)
Ni 30 segundos habria que dedicarle a ideas de esclavistas. Diria que no me esperaba que siguiesen el ejemplo de los esclavistas de globo, pero mentiria mas que casado con su master.
Soy exfumador desde hace 12 años (aun tengo miedo de volver a caer) y te aseguro que si en la calle alguien va fumando, aun se reconocer los olores de Chester, Winston, Malboro, Ducados y otras marcas.