¡R.I.E.S.G.O.S en los medios sociales! Ojo avizor!

Tal y como hemos ido introduciendo en capítulos anteriores, el uso de los medios sociales y el mundo IT traen consigo unos riesgos heredados que por lo menos, las empresas debieran de estudiar (en la hora del café al menos, ¡por favor!). Hay voces que afirman que existen dos esferas [1] de riesgos en los medios sociales: una iría por la senda de la imagen pública y otra por la efectividad operacional. Un ejemplo de andar por casa [2] podríamos encontrarlo en el caso de Nestlé con su producto KitKat y el famoso aceite de palma. La negativa y censura por parte de Nestlé de las quejas y comentarios de sus consumidores le trajeron malas pasadas. Al final, la compañía de alimentos lácteos con tilde en la ‘é’, reculó y supo ponerse en el lugar de los consumidores.

A modo de lista, me gustaría resaltar algunos riesgos [1bis] que desde el punto de vista de las corporaciones, podrían ser delicadas:

• Campaña de desprestigio o ataques de posts negativos (prioridad media): dependiendo de quién y por qué se ha encendido esta llama (culpa de la compañía, malentendidos etc.), la empresa podría verse involucrada en una bola de nieve difícil de escapar de ella, ej. Comentario negativo en Twitter sobre tu empresa o alguna acción realizada.
• Mal o incorrecto uso de las TIC por parte de los empleados (prioridad alta): los dos pilares que son atizados y por los que los ciberdelincuentes actúan son principalmente: ataques dirigidos (phishing, spoofing, robo de identidad, ingeniería social) y viruses, malwares, etc. En mi humilde opinión, hay que intentar concienciar a la ciudadanía y a los empleados. Para ello habría que intentar reducir los siguientes porcentajes que parece que han salido de una película de Halloween (aprovechando la ocasión y los días que nos rodean en estas fechas): más del 50% de los usuarios de medios sociales permiten a conocidos acceder con sus credenciales, 26% de los usuarios comparten ficheros o documentación de acceso restringido mediante redes sociales, 64% de los usuarios que hacen uso de los medios sociales hacen click en enlaces de los cuales no saben nada de su destino.
• Falta de control de las cuentas corporativas para los medios sociales (prioridad media-alta): como empresa has de ser consciente de qué sitios tienes bajo tu control e intentar aumentar el grado de madurez de la seguridad de la información de tu empresa.Tendrías que preguntarte: ¿quién controla esos accesos? ¿quién monitoriza el uso del mismo?
• Riesgo de presencia online (prioridad media): como buen lector/a tecnólogo/a que eres, sabes que hay que reducir la superficie de exposición cuanto más mejor de tu conglomerado (sistema), pero claro, siendo una empresa y de cara a mantener una red de contactos y usuarios satisfechos, has de tener presencia online (página web corporativa, página en las redes sociales: Facebook, Twitter, LinkedIn etc.). Existe un riesgo moderado de que tu presencia online sea atacada masivamente utilizando las últimas y no tan últimas técnicas de hacking.
• BYOD (prioridad media-alta): quizá no tan relacionado con los medios sociales, pero relevante e importante a la vez. Ojito con las políticas de cada corporación en relación a infiltrar un dispositivo de fuera dentro del sistema de la empresa. ¡Quizá tengamos que ponernos escafandras y analizar al dedillo las tripas del dispositivo que traes! Jeje.

Por otro lado, como empresa has de tener frentes abiertos en todos los aspectos, ser conscientes de analizar los riesgos en diferentes casos de uso, me explico: existe un riesgo alto de ataques que puedes prevenir (mediante un diseño de una arquitectura adecuada, seguir patrones y directrices, aprenderte el informe OWASP (Open Web Application Security Project) cual biblia etc.), y estos efectivamente, sí que puedes combatirlos de antemano. En cambio, otras empresas no tienen en cuenta el riesgo de un ataque, filtración o incidencia relacionada con los medios sociales en el supuesto escenario en el que el ataque en sí es inevitable. Es decir, ¡¿qué hacemos si damos por hecho que hay algo que se nos escapa y que nos va a repercutir en la empresa?! La mentalidad sería algo así como: “Sé que (posiblemente) alguien pueda encontrar una brecha y entrar a nuestro sistema, ¿qué hacemos partiendo de esa premisa? ¿Cómo protegernos?”. Como corporación, logras un nivel de madurez en la seguridad mayor cuando tienes en cuenta ese aspecto.

Un factor, de hecho, que hace que los riesgos asociados a los medios sociales sean diferentes a otros riesgos encontrados en otras áreas IT es la velocidad. La información se extiende más rápido que cuando se te cae el vaso encima del mantel de tu madre en nochevieja. Y el careto (perdón con las licencias con el lenguaje) que se le queda al CIO al ver a la mañana siguiente que uno de tus empleados a picado el anzuelo en un ataque de phishing dirigido, es también proporcional al del 31 de Diciembre que hemos comentado. Muchas veces la ingeniería social puede resultar un arma muy accesible para los ciberdelincuentes.

El lado bueno es que parece que la concienciación y el entrenamiento de los empleados y ejecutivos de la corporación está aumentando poquito a poquito año tras año, un estudio [3] de la FERF (Financial Executives Research Foundation) muestra que mientras que en el 2011, la empresa tenía un conocimiento sobre los medios sociales y sus riesgos de un 21%, en 2013, se trata de un 36%. Así como que solo una de cada cuatro empresas tenían allá por el año 2011 políticas que regularan el uso de los medios sociales entre sus empleados, refleja otra encuesta [4].

Un estudio del 2014 mostró como un 62% de los usuarios de web, vuelcan su atención en Facebook cuando quieren interesarse o informarse sobre la política. Lo que puede ayudar a elevar la reputación de los políticos u en otras ocasiones a hundirla un poco más, un claro ejemplo de ello es la campaña presidencial [5] que me montó en torno a las elecciones del 2008 a la presidencia en EE.UU.

Varias veces escuche a un profesor del campus de Deusto de Bilbao que el eslabón más débil es la persona, ¡el usuario! Pues ciertamente, en las empresas ocurre otro tanto de lo mismo. No hay que ir mucho más lejos para corroborarlo, el ya archiconocido escándalo de Yahoo reciente donde se obtuvo información confidencial, curiosamente fue debido a la pesca!, Sí, sí, a la pesca! ¡¿Que no sabes lo que es?! Phishing! Vale, perdona, he jugado con las palabras, mea culpa. En definitiva, el phishing es un ataque bastante común y con el que se da acceso a posiblemente las entrañas del sistema con tan solo esas credenciales del empleado. Es una lástima, pero también fácil de evitar si sigues pautas adecuadas y estás ojo avizor y conciencias a tu trabajador.

Dado que un decálogo siempre es más fácil digerir para la vista  leer visualmente, os remito al siguiente enlace [6] de donde he cogido prestado algunos consejos y los he plasmado a lo largo de mi artículo de hoy (por si queréis profundizar más).

Otro aspecto que me gustaría tocar superficialmente para cerrar el telón por hoy definitivamente es un hecho que bien lo plasma Terri H. Chan [7] en su libro “Facebook and its Effects on User’s Empathic Social Skills and Life Satisfaction: A Double-Edged Sword Effect”. Se trata de que en ciertas ocasiones y segmentos de la población, la gente cuanto más tiempo invierte en Facebook, menos satisfacción sienten sobre sus vidas. La imagen que tienes sobre tu persona se deteriora cuando no ves que socialmente eres aceptado. A mi me gusta decir que Facebook, para determinadas cosas, es como un escaparate en el que solo se muestran las cosas bonitas; las otras “cosas” están bajo la alfombra, escondiditos. Muchas veces la definición de “amistad” se tercia un poco difusa en el mundo digital. Se que esta reflexión no tiene un punto de vista empresarial, pero consideré que también estaba relacionado de algún modo u otro.

Y en los próximos episodios… ¡qué hacer para mitigar los riesgos! ¡Cómo contrarrestarlos! Ponga un control en su vida.

????

Referencias:

[1] “What Every IT Auditor Should Know About Auditing Social Media”, ISACA, acceso el 4 de Noviembre de 2016, http://www.isaca.org/Journal/archives/2012/Volume-5/Pages/What-Every-IT-Auditor-Should-Know-About-Auditing-Social-Media.aspx

[2] “Caso KitKat, una mala estrategia de social media”, UVIC,  http://usr.uvic.cat/bloc/2013/04/07/caso-kit-kat-una-mala-estrategia-de-social-media/

[3] ”Social media risk”, IA Internal Auditor, https://iaonline.theiia.org/social-media-risk

[4] Anonymous, Employers are exposed to social media risks, Employers’ Law [1364-9493] 2011, Océano, pág.4

[5] ”Barack Obama presidential campaign”, Wikipedia,  https://en.wikipedia.org/wiki/Barack_Obama_presidential_campaign,_2008

[6] Savell, Lawrence. 15 Tips to Manage Social Media Risks, Risk Management 57, 2010, Océano, no.8

[7] Brian M. Gaff, Corporate Risks from Social Media, IEEE, vol.:47, 2014, pages. 13-15 (Océano)

“Social media”, Wikipedia, acceso el 10 de Octubre de 2016, https://en.wikipedia.org/wiki/Social_media