¿CóMO CREAR POLÍTICAS DE REDES SOCIALES EN LAS ORGANIZACIONES?

Redes Sociales en las organizaciones

La adopción de las redes sociales sigue creciendo exponencialmente, y hoy queda claro para los CISOs que las estrategias para proteger sus redes y datos sensibles deben excluir cualquier lineamiento que desmotive esta tendencia. Están preocupados por los riesgos de las redes sociales, y con mucha razón, ya que los mismos no son pocos y particularmente son inusuales para quienes trabajan en la seguridad de información.

Pero hoy en día la mayoría de las organizaciones tienen claro que el mayor riesgo de las redes sociales es no estar presentes. Las razones para esta afirmación están en el hecho, tal como se ilustra en la Figura N° 1.

fig1

Accidental o intencionalmente, los empleados pueden fácilmente filtrar información crítica  a través de las redes sociales: En muchos casos, la divulgación obedece al uso inapropiado o impericia en el uso de las redes sociales o la tecnología en su conjunto, pero en otros obedece a decisiones del individuo al querer utilizar las redes sociales como un medio para facilitar la divulgación de información sensible para el negocio.

Por otro lado, se encuentran los cibercriminales quienes, aprovechando fallas o el uso imprudente de los usuarios, acceden a datos sensibles.   Los ataques haciendo uso de las redes sociales son peligrosamente efectivos  porque se estructuran de manera atractiva para cualquiera que acceda a estas redes y pueden dispersarse bajo la simulación de un usuario de confianza o, efectivamente, ser divulgado en buena intención por éste. Mensajes como “Te ves impresionante en esta nueva foto” direcciona a usuarios desprevenidos a sitios que emplean esquemas de “phishing” o códigos maliciosos para obtener información personal confidencial.

Si bien el uso de mensajes de interés general es una técnica muchas veces utilizadas en el pasado, las redes sociales han creado un entorno donde existen millones de persona conversando bajo una relación de falsa confiabilidad, donde se le puede dar el mismo peso de confianza a una fuente oficial de información como a un individuo con mínimas referencias.

Siguiendo con la idea anterior, una variación de las amenazas en las redes sociales proviene de comentarios de empleados o terceros, que pueden causar daños graves a la reputación. Gracias al flujo instantáneo de información y opiniones, un pequeño incidente en las relaciones públicas puede convertirse rápidamente en algo de mayores proporciones, si el entorno alrededor de la organización motiva a clientes y relacionados a promover la divulgación del mensaje. Debido a la naturaleza abierta y fuera de control por parte de las organizaciones, un incidente de este tipo debe ser atendido con estrategias que se alejan del ámbito de la seguridad de información, pero la prevención, educación, monitoreo y definición de los esquemas de contingencia son actividades sobre las cuales el CISO debe involucrarse.

fig2

¿Cómo las empresas pueden balancear la seguridad con las redes sociales?
Se debe emplear un enfoque integral tal como se presenta en la Figura N°2, el cual requiere que el negocio y la tecnología se unan y se comprometan plenamente a la iniciativa de redes sociales. Los dos deben analizar el contenido y las políticas en detalle, así como determinar la combinación adecuada de tecnologías disponible en la empresa para monitorear, clasificar y administrar los datos. Por ello, los aspectos que las Compañías deben tener en cuenta son:

•    Ser realistas:

No hay quien pare el flujo bidireccional de información y que el peor riesgo es no estar presentes en las redes sociales. Estando o no presentes, están hablando y realizando referencias buenas o malas de nosotros. En consecuencia, la organización puede asumir mantener una actividad mínima o nula, pero debe proteger su marca y monitorear con regularidad lo que está ocurriendo que sea de su interés.

•    Políticas y procedimientos que regulen el uso de las redes sociales e información corporativa

Como con cualquier implementación de una política, el primer paso relacionado a las redes sociales es formar una estrategia de Negocio que incluya la adopción de un plan a largo plazo para políticas, procedimientos y soluciones.   Es esencial que el negocio realice una clasificación de su información con el fin de que los empleados conozcan precisamente lo que es y no es información sensible. Asimismo, la política también tiene que delimitar los tipos de cuentas de redes sociales que la Compañía patrocina y especificar claramente quién es responsable de determinados tipos de comunicaciones; estas funciones operacionales suelen caer en el departamentos de mercadeo y servicio al cliente. La empresa también debe establecer supervisión gerencial para las redes sociales y saber cómo manejar un daño reputacional y responder a los comentarios críticos en línea, en caso de ocurrir el caso.

El establecimiento de estas políticas es sólo el comienzo, sin embargo, el verdadero trabajo está en los cambios de comportamiento de los empleados. El Negocio debe educar y capacitar a su personal sobre sus políticas de redes sociales y los riesgos de los medios de comunicación social. Se trata de una iniciativa en curso que requiere un compromiso inquebrantable.

•    Uso de la Tecnología para ayudar a proteger la seguridad e integridad de los datos y la red corporativa.

Las políticas y procesos no evitarán sin embargo la ocurrencia de errores o agresiones. Y en este punto se hace necesario la incorporación de tecnología de prevención de ataques y actividades inusuales. A tal fin, la organización debe utilizar soluciones de seguridad que escaneen el tráfico de la red en busca de códigos maliciosos, fuga de datos y otras actividades sospechosas. Las posibles estrategias incluyen la implementación de varias capas de seguridad en la puerta de enlace y puntos finales, clasificación de contenido, filtrado de contenido, y prevención de pérdida de datos. Sin embargo, la identificación de la combinación adecuada de estas herramientas de seguridad puede ser un gran desafío debido a que la tecnología Web 2.0 es nueva y en evolución. También es importante considerar que para una seguridad efectiva en las redes sociales, establecer dos modos de seguridad de TI: descentralizados y centralizados. En otras palabras, la compañía debe proteger tanto a la red como al usuario final.

Las redes sociales pueden brindar ventajas competitivas a las empresas, incluyendo el intercambio en tiempo real de información y análisis, una mejor colaboración y una relación más estrecha con sus clientes. También hace que los empleados se sientan valorados, conectados y que forman parte importante de la comunidad empresarial. Sin embargo, los riesgos están presentes y no son como para ignorarlos: Ataques de red, fuga y robo de información, daño a la reputación, y problemas de cumplimiento regulatorios son riesgos que una Compañía debe abordar antes de entrar a las redes sociales o permitir el acceso total a los sitios sociales a través de su red.

Las Compañías deben considerar acercarse a las redes sociales con una planificación de corto y largo plazo. Las actividades, los riesgos y las tecnologías asociadas con las redes sociales son emergentes y están en constante evolución. Es esencial, por lo tanto, que la compañía utilice una estrategia de ciclo de vida que puede satisfacer las necesidades actuales y adaptarse rápidamente a los cambios de las redes sociales.   Una seguridad eficaz en el uso de las redes sociales requiere una doble estrategia que fusiona la educación y el cambio de comportamiento de los empleados con la implementación de un ecosistema de tecnología robusto que vigile constantemente ante la amenaza. Este enfoque exige experiencia en cambios de comportamiento y conocimiento profundo de clasificación de la información, aplicaciones Web y seguridad empresarial. –

Roberto Sánchez V.
Socio de PwC Espiñeira Pacheco y Asociados Experto en Seguridad de la Información, Tecnología y Análisis Forense

Tomado de ComputerWolrd Venezuela www.cwv.com.ve