1

Controles para el uso de las redes sociales por parte de una empresa

Toda empresa que se precie debe tratar de controlar los posibles riesgos que puedan aparecer en sus procesos de trabajo. Para ello, se debe auditar todos esos procesos. Es decir, que se debe comprobar si se están tomando las suficientes medidas de seguridad para evitar que ocurran esos problemas, o al menos, si ocurren, que sean los menos dañinos posibles.

En esta vida no tenemos ni tiempo ni recursos para realizar
todo lo que querríamos. A las empresas les ocurre lo mismo en todos los ámbitos
que se te ocurran, y obviamente, la auditoría no es una excepción. Para ello se
deben controlar los riesgos En el anterior articulo ya he hablado de cuales son
los riesgos más importantes a la hora de escoger qué es importante auditar. En
este nuevo post vamos a ver ese paso siguiente en el que se crean los controles
para evitar que esos riesgos ocurran.

Perdida de reputación

La reputación y la buena imagen han adquirido mayor valor
desde la aparición de las redes sociales. Eso ha llevado a las empresas a estar
siempre alerta de cualquier movimiento que pueda afectar a esos factores. Para
ello se han generado nuevos controles que tratan de evitar que algún pequeño
percance no se convierta en una bola de nieve gigante que se lleve la
reputación de la empresa por delante. Para controlar ese descontento, en un artículo
de ISACA [1] nos recomiendan mantener un control proactivo de los comentarios
negativos que se hagan hacia nuestra empresa. Esto quiere decir que alguien
debe encargarse de revisar los comentarios que se hagan sobre algo que tenga
que ver con nuestra empresa y que trate de solucionar ese descontento o que
rebata las afirmaciones falsas.

También se debe definir una estrategia de contenidos con la
que el encargado pueda comprobar que las publicaciones están siguiendo la
estrategia elegida.

Riesgo financiero

El riesgo financiero está asociado a la incertidumbre, es
decir, a la posibilidad de que ocurra algo que se traduzca en pérdidas para la
compañía. Este riesgo está muy ligado al resto puesto que cualquier percance en
el resto de riesgos se acaba traduciendo en perdidas monetarias. Pero dejando
de lado esos riesgos extraordinarios, si se puede controlar el gasto corriente
que la empresa realiza en redes sociales. Se puede comprobar la rentabilidad de
este gasto o si se está siguiendo la estrategia correcta entorno a las redes
sociales, si comparamos los beneficios obtenidos en comparación con meses o
años anteriores.

Infringir leyes

Dentro del ámbito legal he encontrado dos normativas que se
deben tener en cuenta al estar presentes en las redes sociales. Primero, se
debe comprobar que al realizar acciones publicitarias se cumple con lo que
exige la normativa [2]. Segundo, se debe cumplir con la nueva modificación de
la ley de derechos de autor [3] publicada el 2 de marzo de este mismo año. En
este punto sería interesante disponer de un experto en auditoría legal.

Ciberseguridad

Dentro de los controles de ciberseguridad lo primero es
tener un plan de control de contraseñas. En este sentido, el instituto nacional
de ciberseguridad hizo un documento [4] con recomendaciones y una checklist con
controles para garantizar la seguridad de las contraseñas.

Además de tener controladas las contraseñas de las cuentas,
se debe monitorizar desde qué dispositivo se accede a estas redes. Lo más
recomendable es que esos dispositivos no tengan acceso a la red interna de la
empresa. De este modo si logran hackear la cuenta, por algún fallo del personal
que se encarga de gestionar las cuentas, solo tendrán acceso a ese dispositivo
y no a toda la red de la compañía.

Empleados descontentos

Se debe tener mucho cuidado con el control de accesos del
personal que haya sido despedido o que se encuentre descontento. Si se despide
a un empleado con acceso a las cuentas de las redes sociales de la compañía, se
deben cambiar esos accesos, puesto que el empleado, puede empezar a mandar
mensajes negativos a diestro y siniestro dañando la imagen de la compañía.
También se debe comprobar que en la lista de empleados con acceso a las redes sociales
solo estén los empleados que deben trabajar en ello.

Con esto ya hemos identificado cuales son lo controles que
se deben realizar para cada riesgo. Pero con esto no basta. El auditor debe
asegurarse de: Primero, que los controles se han implantado de forma correcta.
Segundo, que tras ver los resultados, decidir si los controles pueden necesitar
ser actualizados. Y tercero, plantearse si son necesarios nuevos controles.

Referencias:

[1] << What Every IT Auditor Should Know About
Auditing Social Media >>, ISACA, https://www.isaca.org/Journal/archives/2012/Volume-5/Pages/What-Every-IT-Auditor-Should-Know-About-Auditing-Social-Media.aspx

[2] << Cómo se regula la publicidad. Conoce las leyes
y la normativa >>, Jesuïtes Educació, https://fp.uoc.fje.edu/blog/como-se-regula-la-publicidad-conoce-las-leyes-y-la-normativa/

[3] << Real Decreto Legislativo 1/1996, de 12 de
abril, por el que se aprueba el texto refundido de la Ley de Propiedad
Intelectual, regularizando, aclarando y armonizando las disposiciones legales vigentes
sobre la materia. >>, BOE, https://www.boe.es/buscar/pdf/1996/BOE-A-1996-8930-consolidado.pdf

[4] << Políticas de seguridad para la pyme:
contraseñas >>, INCIBE, https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/contrasenas.pdf




Adentrándonos en la identidad digital (Parte 2 FIN)

Seguimos adentrándonos en la identidad digital enumerando más características acerca de ésta.

Confidencialidadcarpeta_top_secret_confidencial

Es la capacidad del sistema de evitar que un tercero intercepte y explore los datos que está recibiendo o
transmitiendo (n° de tarjeta de crédito, cuenta bancaria, etc.). Este nivel de
seguridad se alcanza con el cifrado, pero es la identidad digital quien encapsula las credenciales necesarias para hacer esto.

Integridad de los datos

Para estar seguros de que nadie escucha los datos que a diario intercambiamos, es importante saber que nadie ha manipulado la línea durante la transmisión. Es decir, estar seguro de que el documento que recibimos es el mismo, el original, el que la otra identidad digital nos ha remitido y que no ha sido alterado o dañado. Esto se logra mediante la firma digital y las técnicas especiales de criptografía acerca de la clave pública y privada. La tecnología que permite el uso del cifrado y del certificado digital, es emitido por una autoridad de certificación reconocida por las normas internacionales, conocido como Infraestructura de clave pública o más conocida en ingles Public Key Infrastructure (PKI).

Prueba de la fuente

Si las identidades digitales poseen las credenciales de la firma digital, pueden realizar transacciones específicas, en las que los datos enviados con la firma digital se codifican de una manera, que demuestra que los datos en realidad han sido enviados. La prueba de la fuente está estrechamente relacionada con los datos descritos anteriormente y también utiliza técnicas de cifrado de PKI, pero con un propósito diferente. Esto demuestra que una identidad digital específica ha firmado y transmitido unos datos específicos.

El no repudio

500px-SigningAdemás, gracias a la PKI se pueden proporcionar evidencias indiscutibles de un envío o recepción de datos en la red. Existen dos modos:

No repudio de la fuente: Prueba de quién es el remitente de los datos de una transacción.

No repudio del destino: evidencia de que los datos han llegado a un destinatario específico.

Generalmente se requiere el servicio de “no repudio” en aquellas operaciones en las que tenemos que tener garantías de envío / recepción de flujos telemáticos.

Reputación

La reputación digital (reputación Web) es la imagen que surge del análisis de las opiniones que los usuarios de la red intercambian en línea y la información pública presente en los canales de comunicación puestos a disposición de la web 2.0. Debido a que la información es en línea y accesible para cualquier persona, a menudo son la primera forma de contacto y la primera fuente de información, pero tiene poca relevancia en la determinación de la opinión que los usuarios pueden formar sobre la persona / empresa / entidad, etc.

El futuro

En cuanto al futuro, es obvio que el concepto de identidad digital ecommerce-transaccionevolucionará para incluir la capacidad de expresar
las diversas interacciones humanas en las que interviene la identidad personal. Pero como todo cambio, éste se verá impulsado por los acontecimientos económicos, políticos y sociales. La identidad digital proporcionará nuevas herramientas, pero no va a cambiar los fundamentos de lo que es la identidad en sí. Más bien la identidad digital devolverá la facilidad de uso y la fiabilidad de las transacciones basadas en la identidad que existe desde el principio de la raza humana, cuando las interacciones eran cara a cara con las demás personas que ya se conocian entre sí (o ambos eran conocidos por otros), pero al mismo tiempo protegiendo la seguridad y la responsabilidad en las transacciones.




Responsabilidad social empresarial (RSE) y stakeholders en la planificación estratégica

El análisis del entorno externo a la empresa es uno de los pasos menos conocidos de una correcta planificación estratégica, y cabe destacar la especial importancia de la gestión y el compromiso con los system stakeholders o grupos de interés, ya que una empresa se desarrolla en un entorno vivo, no hermético.

stakeholders
La responsabilidad social contribuye de manera activa al mejoramiento social, económico y ambiental por parte de las empresas, normalmente con el objetivo de mejorar su situación competitiva, valorativa y su valor añadido.

Los stakeholders son todas aquellas personas a las que la actividad comercial de la empresa provoca un impacto, así como todas  quienes puedan afectar a la propia empresa. Este término fue acuñado por R. Edward Freeman en 1984 en su obra: “Strategic Management: A Stakeholder Approach” y se ha venido utilizando desde entonces.

La empresa debe hacerse consciente de los stakeholders internos y directos, así como externos e indirectos, y en consecuencia disponer de una planificación que contemple a todos estos.

Ésta y la sociedad circundante se encuentran fuertemente interrelacionadas, y debe establecerse en el momento y lugar adecuados, para evitar presiones indeseadas.
Se trata de un factor importante en el éxito de las empresas, sobre todo en las PYMES, ya que dependen en mayor medida de su entorno inmediato, y mucho menos de otros ingresos como pudieran ser las exportaciones, y desatender la preferencia de los consumidores y las tendencias del mercado, pudieran constituir un error fatal.

Por estos es, que muchas empresas realizan productos alternativos para abarcar los consumidores que conforman nichos de mercado, en su afán de conseguir una buena imagen para sí mismos, lo que se conoce como branding. Entre otros tenemos el caso de una conocida marca de refrescos que perdía dinero por mantener un producto, pero a la que no le convenía la mala reputación que les produciría el ignorar a los consumidores de un sector significativo de la sociedad y retirar éste de la gama de productos.

Día a día cada vez se tiene más en cuenta la responsabilidad social a la hora de planificar la estrategia de la empresa, pero hay una fuerte controversia acerca de dónde está el punto de inflexión entre las obligaciones que la empresa debe que asumir con la sociedad y donde deben hacerse cargo los órganos e instituciones públicos, a fin de cuentas, esto implica que la empresa invierta unos recursos en este asunto, que pudiera invertir en otros asuntos, y he aquí donde una buena planificación puede marcar la diferencia.