¡Erase una vez…, un control! Controles chulos para social media

Mis jovenzuelos lectores, espero que los riesgos desde el punto de vista empresarial hayan quedado claros. Al fin y al cabo, los medios sociales es la tercera actividad más popular que una persona random hace después del puesto número uno y dos que se lo llevan mirar el email y leer artículos (o libros). ¡Es lo que tienen las cosas estas que tienen pixeles y que emiten luz! ¡Algunos los llaman monitores! Estos objetos nos desinhiben un poquito más de lo que haríamos en la vida real. Un 15% de nosotros compartimos con nuestros allegados (y no tan allegados), información online que realmente no llegaríamos a compartir en el mundo físico, al menos así [1] lo detalla Kaspersky, una firma de seguridad IT muy conocida en el mundo.

¡Uno puede partir de una dirección email y acabar colándose por las resquebradizas fisuras de algún sistema empresarial o simplemente esperando al acecho tras enviar una serie de emails con logotipos y mensajes que pueden confundir al personal! La mayoría no, pero mucha gente afirma que ellas o ellos no son precisamente de interés para un cibercriminal. Algo que ciertamente podría ser verdad, pero en el caso de organizaciones, instituciones o PYMES podrían acabar siendo un verdadero honeypot que atrae hasta al hacker junior en sus comienzos… Aún y todo, de aquellos que reclaman no ser de interés para un hipotético cibercriminal, un 40% recibe emails sospechosos o mensajes desconcertantes en aplicaciones de mensajería. Los propios empleados y trabajadores (en plantilla, subcontratados, becarios) pueden ser excelentes embajadores de la compañía (hablando bien, representando la marca, dando charlas), pero a su vez, unas dianas más grandes que el reloj de la piscina descubierta de Artxanda.

Por ende, podría parecer interesante poner en práctica algún que otro control con los que nos sintamos, como organización mucho más cómodos y seguros.

Hay empresas que reconocen que los social media (en inglés) son herramientas muy chulas para facilitar sus tareas y objetivos de las mismas, pero a su vez, pueden representar un riesgo penumbroso (mala reputación, documentos filtrados). Los comités de auditoría debieran tomar cartas en el asunto y encarar dichos riesgos.

Del mismo modo que en clase de telemática aprendíamos la pila TCP/IP con un acercamiento top-down, hay gente que  sugiere acercarse al problema de los riesgos o mitigarlos, de una manera similar [2]: primero habría que identificar los riesgos (describir el riesgo, evaluar su probabilidad, detectar el impacto etc) luego especificar las herramientas que se llegarán a utilizar (en tu organización) para monitorear las áreas de riesgos así como de qué manera los resultados van a ser dirigidos y contemplados. Acto seguido poner en marcha esas herramientas e implementarlas y por último quedarte en constante vigilia a la vez que vas haciendo pequeños ajustes.

Una manera buena de comenzar sería generando y poniendo en común una guía, directrices o políticas [3] sobre los medios sociales con una documentada y clara estrategia para los recursos humanos (aún más relevante cuando te pueden seguir el camino de migas que dejas atrás y encontrar el nombre de la empresa donde trabajas). Es el empleado quien debiera tener muy presente que es un activo muy apetitoso y propenso a cometer alguna que otra metedura de pata involuntaria . Estas directrices vienen acompañadas normalmente por un documento o guía que detalla y encamina cual es la estrategia en relación a los medios sociales que la compañía está siguiendo (albergando por ejemplo, una definición extensa de lo que son los social media para la empresa también). No descartaría personalmente un proceso de reciclaje en la empresa (con los empleados, directivos etc.) en el sentido de impartir y actualizar los conocimientos y las bases del porqué del cuidado a tener en los medios sociales y la razón de ser de las guías y directrices. Es al fin al cabo, un recordatorio para mantener al día a los empleados y jefes sobre las últimas tendencias cibercriminales, los controles y nuevos posibles riesgos. Porque una vez más, el humano es el eslabón más débil de la cadena. Al final, se demuestra confianza [4] entre las personas de tu plantilla esforzándote por educarles y haciéndoles entender la misión de la empresa.

Antes hablábamos de monitorear las áreas de riesgos, y efectivamente, es un buen remedio, al menos para mitigar el impacto de los riesgos mencionados en anteriores posts. Yo lo enfocaría más por la senda de monitorear la actividad de tu organización en los medios sociales, a modo de alertas, debieras tener un sistema que te permita tomar decisiones o que te haga llegar un aviso cuando algo no cuadre bien en el ciberespacio. Del mismo modo, yo estaría ojo avizor a cualquier mensaje que pudiera hacer sentir mal al consumidor, y por tanto, procedería a su pronta eliminación. ¡O eso, o respondes a las inquietudes del cliente de turno con sus comentarios en Twitter, Facebook etc! Otorgad cierta prioridad a dedicar tiempo para responder en los medios sociales [4 bis]. Otro elemento interesante del que no me gustaría olvidarme es la segregación de responsabilidades. Internamente hablando, hemos de asegurarnos de que cada empleado tiene su propio ámbito de trabajo y no interviene en las responsabilidades de otro compañero. De esta manera, podríamos reducir el riesgo de meter la pata al postear, escribir algún artículo o subir datos en vuestra página web corporativa sin que el responsable tenga constancia de ello (o incluso sin haber dado permiso de hacerlo público).

¡Atención! Llámalo backup, copia de seguridad, pendrive, DVD… (¡sé que has tenido que cerrar los ojos en esas dos últimas palabras!). Es realmente [5] y con toda humildad, un acción preventiva que las organizaciones o pequeñas empresas debieran de implantar en su lista de controles. Ataques como los ransomware pueden paralizar tu actividad empresarial ipso facto, lo cual te puede generar pesadillas. En general, para controles de seguridad, el responsable de turno en la empresa tendría que proactivamente ponerse en contacto con el departamento de sistemas y definir un roadmap para blindar vuestras instalaciones “digitales” (protegerlas de vulnerabilidades).

Y para acabar, no te olvides de mantener actualizadas las políticas de seguridad y comportamiento sobre los medios sociales cada cierto tiempo (las que he comentado antes), y que éstas sean comprensibles por el pueblo! ¡O sea, por tus empleados! Por muy tecnólogo que sea tu perfil, has de procurar allanar tu vocabulario y que impregne a la mayoría del personal [6]. Un caso anecdótico es el del departamento de justicia de Victoria (¡Australia!), echadle un ojo, porque responde a una forma de transmitir información muy amigable:

Hay voces que abogan por crear un documento que reúna políticas de seguridad para post-incidentes [7] también, es decir, una serie de procedimientos para analizar cuáles fueron nuestros errores, analizar qué controles fallaron, el ámbito del incidente, aprender lecciones y detallar los pasos venideros para evitar que se repita el problema.

¡Al final, van a tener razón con aquello de que es mil veces mejor prevenir que curar! 🙂

Referencias:

[1] Tuttle, Hilary, Users not grasping social media risks. Risk Management [0035-5593], 2014 vol.:61 pág.:44

[2] “Monitoring Social Media for Risks, Control Issues and opportunities”, cmswire, http://www.cmswire.com/cms/customer-experience/monitoring-social-media-for-risk-control-issues-opportunities-015194.php , acceso el 17 de Noviembre

[3] James Field , John Chelliah , (2013) «Employers need to get to grips with social-media risks: Two key policies required to cover all the bases», Human Resource Management International Digest, Vol. 21 Iss: 7, pp.25 – 26

[4] “Top five risks companies face when using social media”, techxb,  http://techxb.com/top-five-risks-companies-face-when-using-social-media, acceso el 18 de Noviembre

[5] “5 Ways CFOs Can Implement an Effective Cybersecurity Strategy”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-ways-cfos-can-implement-an-effective-cybersecurity-strategy-03.html, acceso el 18 de Noviembre

[6] He, Wu, (2012) A review of social media security risks and mitigation techniques, Journal of Systems and Information Technology [1328-7265] vol.14 iss:2 pág.:171 -180 (Océano)

[7] “5 Essential Incident Response Checklists”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-essential-incident-response-checklists-06.html, acceso el 18 de Noviembre

Experts Advise Corporate Audit Committees To Focus on Addressing Social Media Risks
Odom, Che. Accounting Policy & Practice Report (2011), pág.:755-756.

Field, James, Human Resource Management International Digest [0967-0734] (2013) vol.:21 iss:7 pág.:25 -26

Corporate Risks from Social Media, Computer (2014), pág.: 13 – 15