Social media y networking desde una perspectiva corporativa – Controlando y auditando

Download PDF

¡Hola a tod@s!

Son varios ya los posts respecto al tema que nos compete, hemos arrojado algo de luz sobre diferentes aspectos: riesgos, relevancia… Hoy, vamos a ponerle la guinda al pastel. Vamos a abordar cómo se deben auditar y controlar la social media y las formas de hacer networking en nuestras organizaciones. Auditar y poner controles es lo que nos va a permitir evitar los riesgos, o, por lo menos minimizarlos. En este sentido, vamos a tratar de explicar los controles a implantar y el proceso para auditar correctamente y proteger nuestra empresa. Pongámonos a ello.

[Read more…]

Medios sociales y networking desde una perspectiva corporativa – Riesgos

Download PDF

Hola a tod@s!

Hasta ahora hemos analizado el contexto y la relevancia de la social media para sobre todo las empresas, pero también para individuos. Somos conscientes de la importancia de las redes sociales y el networking, sin embargo, no tenemos del todo claro los riesgos a los que nos enfrentamos en caso de no controlarlas adecuademente. A lo largo de este post abordaremos el tema de los riesgos: ¿A qué nos enfrentamos exactamente?¿Quién o qué supone un riesgo?¿Cuánto pueden dañarnos? Son preguntas que deberíamos hacernos y a lo largo de esta entrada trataremos de responder. La idea es identificar los riesgos y clasificarlos en base al impacto que puedan tener. De esta forma tendremos una idea clara y podremos en el siguiente post dilucidar las herramientas adecuadas para evitar estos riesgos.

[Read more…]

Medios sociales y networking desde una perspectiva corporativa – Relevancia

Download PDF

Hola a tod@s!

El post de hoy viene a ser la continucación del anterior. Después de hacer esa pequeña introducción sobre el tema a tratar, hoy toca bucear y buscar con más exactitud la importancia de la social media y el networking para las empresas. Existen muchas y variadas razones por las que es vital un adecuado uso de las redes sociales y a lo largo de esta entrada trataré hacer hincapié en las más importantes. Además, mencionaré un caso práctico de una empresa que se sometía a una audición sobre su presencia en la web y podremos ver a los problemas a los que se enfrentaban.

[Read more…]

Riesgos de la identidad digital: Introducción

Download PDF

La identidad digital es todo lo que manifestamos en el ciberespacio e incluye tanto nuestras actuaciones como la forma en la que nos perciben los demás en la red. 

(Aparici y Osuna Acedo, 2013)

El término de la identidad digital también llamada identidad 2.0, empieza a emplearse en la década de 1990 con la introducción de los ordenadores personales.  Se trata de una revolución anticipada de la verificación de la identidad en línea utilizando tecnologías emergentes centradas al usuario.

En resumen, todas nuestras actuaciones dentro del espacio digital (imágenes, comentarios, etc.) conforman nuestra identidad o perfil digital. Por tanto, es imprescindible tener en cuenta que a través de esto los demás nos verán de un modo u otro en el ciberespacio. [1]

Para que nos sigamos situando en qué es la identidad digital, a continuación, menciono cuáles son sus características y propiedades:

image18

Social: En ningún momento se llega a comprobar si una identidad es real o no.

Subjetiva: Depende del reconocimiento de los demás y de cómo perciban a la persona.

Valiosa: Se utiliza para investigar cómo es esa persona o empresa y así ayudar a tomar decisiones sobre ella.

Indirecta: No permite conocer a alguien personalmente.

Compuesta: La huella digital se construye por las aportaciones de la persona y de las demás personas que la rodean, sin necesidad de dar consentimiento.

Real: La información de la identidad puede producir efectos tanto positivos como negativos en la vida real.

Contextual: La divulgación de información en un contexto erróneo puede tener un impacto en nuestra identidad digital y, por tanto, en nosotros.

Dinámica: La identidad digital está en constante cambio o modificación. [2]

 

En el caso de las organizaciones, los riesgos de la identidad digital son una de las cuestiones más importantes. Al igual que cada individuo debe tener cuidado con la huella que deja, las compañías deben cuidar mucho su reputación. Por ello, aunque que la identidad digital ayude notablemente a mejorar las calidades de los negocios o a que las empresas contraten a personas a través de Internet, hay que tener en cuenta que obtener una información falsa o incluso hacer un mal uso de los datos, nos lleva a una vulnerabilidad, tanto personal como empresarialmente hablando.

En la mayoría de los casos, y sobre todo en las multinacionales, los empleados tienen que seguir la política global, es decir, existe una estrategia digital corporativa la cual ayuda a reducir los riesgos de la identidad 2.0. Pese a eso, he encontrado una encuesta hecha a varios trabajadores de distintas compañías, en la que los encuestados consideran que la huella digital sólo es parcialmente controlable. En su opinión, el principal factor de riesgo es el “empleado”, tanto para la imagen de la compañía como para la seguridad de la misma. [3]

Resultado de imagen de Bring your own identityHoy en día existe una “fatiga de identidad”, es decir, los usuarios tienen demasiadas cuentas, con demasiados usuarios y contraseñas. Para intentar evitar dicha fatiga, algunas compañías han conseguido que la experiencia del usuario sea más cómoda, migrando dicha conexión a sitios que ofrecen un proceso más rápido y sencillo (Facebook, Google, LinkedIn…). A este proceso se le llama BYOI (Bring Your Own Identity), Imagen relacionadapero a pesar de que se puede obtener beneficio de ello, como, por ejemplo, reducir los costes administrativos al evitar el olvido de contraseñas y nombres de usuario, también tiene riesgos. Uno de ellos sería en el caso de que la identidad digital subyacente se viese comprometida, lo que le llevaría al usuario a realizar esfuerzos considerables para restablecerla. Sin embargo, se pueden reducir esos riesgos, por ejemplo, creando un proceso de autenticación basado en el riesgo. Este proceso evaluará una variedad de factores configurables como la hora del día, la ubicación geográfica, etc. [4]

Por lo tanto, he llegado a la conclusión de que la huella digital radica sobre todo en los comportamientos y acciones de los perfiles sociales de la propia organización y de los empleados. Lo que me lleva a reflexionar sobre la seguridad que existe en la red y como una violación de la privacidad o un robo de identidad podría dañar una reputación, ya sea de la organización como de la persona misma. Ante esta situación debemos tener cuidado con los riesgos que acarrea tener un perfil digital, y poner precauciones para evitar cualquier posible incidencia o problema. Pero… ¿Cómo? ¿Cuántos riesgos existen? ¿Cuál es su magnitud?

Continuará…


Referencias

[1] Wikipedia. <<Identidad 2.0>>. Acceso el 5 de octubre de 2017, https://es.wikipedia.org/wiki/Identidad_2.0

[2] Gobierno de Canarias. <<Características y propiedades de la identidad digital>>. Acceso el 5 de octubre de 2017, http://www3.gobiernodecanarias.org/medusa/ecoescuela/seguridad/identidad-digital-profesorado/caracteristicas-y-propiedades-de-la-identidad-digital/

[3] Ben Ayed, G. (2011). Digital Identity Metadata Scheme: A Technical Approach to Reduce Digital Identity Risks. Advanced Information Networking and Applications (WAINA), 2011 IEEE Workshops of International Conference on, 607-612.

[4] ISACA. http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=321

 

Medios sociales y networking desde una perspectiva corporativa – Introducción

Download PDF

Hola a tod@s!

La mayoría conocemos la importancia de los medios sociales y los contactos hoy en día. A diario usamos Facebook, Twitter, WhatsApp, LinkedIn… Una larga lista de medios y redes sociales que habitualmente utilizamos desde una perspectiva individual y personal. Sin embargo, las empresas también hacen uso de estos medios. En este post voy a tratar de acercarnos más al punto de vista corporativo en cuanto a medios sociales y hacer contactos se refiere.

Si bien puede parecer que es un tema estrecha y únicamente relacionado con el marketing, también es un tema a tener en cuenta en el mundo auditoría. Por un lado, debemos considerar los riesgos a los que se enfrenta una empresa en las redes sociales, tanto a nivel de entidad como a nivel individual de sus empleados. Por otro lado, las redes sociales pueden generar valor añadido a nuestras empresas en diferentes aspectos [1]. No voy a profundizar en  este tema ya que es algo que vamos a sacar a colación en los siguientes posts pero como bien se puede apreciar las redes sociales juegan un papel importante para las corporaciones. Es más, no se puede, ni se debe obviar el hecho de que los medios sociales son herramientas fundamentales a la hora de hacer networking. ¿Y ya sabemos la importancia de los contactos en el mundo del bussiness, o no?

[Read more…]

¡Erase una vez…, un control! Controles chulos para social media

Download PDF

Mis jovenzuelos lectores, espero que los riesgos desde el punto de vista empresarial hayan quedado claros. Al fin y al cabo, los medios sociales es la tercera actividad más popular que una persona random hace después del puesto número uno y dos que se lo llevan mirar el email y leer artículos (o libros). ¡Es lo que tienen las cosas estas que tienen pixeles y que emiten luz! ¡Algunos los llaman monitores! Estos objetos nos desinhiben un poquito más de lo que haríamos en la vida real. Un 15% de nosotros compartimos con nuestros allegados (y no tan allegados), información online que realmente no llegaríamos a compartir en el mundo físico, al menos así [1] lo detalla Kaspersky, una firma de seguridad IT muy conocida en el mundo.

¡Uno puede partir de una dirección email y acabar colándose por las resquebradizas fisuras de algún sistema empresarial o simplemente esperando al acecho tras enviar una serie de emails con logotipos y mensajes que pueden confundir al personal! La mayoría no, pero mucha gente afirma que ellas o ellos no son precisamente de interés para un cibercriminal. Algo que ciertamente podría ser verdad, pero en el caso de organizaciones, instituciones o PYMES podrían acabar siendo un verdadero honeypot que atrae hasta al hacker junior en sus comienzos… Aún y todo, de aquellos que reclaman no ser de interés para un hipotético cibercriminal, un 40% recibe emails sospechosos o mensajes desconcertantes en aplicaciones de mensajería. Los propios empleados y trabajadores (en plantilla, subcontratados, becarios) pueden ser excelentes embajadores de la compañía (hablando bien, representando la marca, dando charlas), pero a su vez, unas dianas más grandes que el reloj de la piscina descubierta de Artxanda.

Por ende, podría parecer interesante poner en práctica algún que otro control con los que nos sintamos, como organización mucho más cómodos y seguros.

social_overload1

Hay empresas que reconocen que los social media (en inglés) son herramientas muy chulas para facilitar sus tareas y objetivos de las mismas, pero a su vez, pueden representar un riesgo penumbroso (mala reputación, documentos filtrados). Los comités de auditoría debieran tomar cartas en el asunto y encarar dichos riesgos.

Del mismo modo que en clase de telemática aprendíamos la pila TCP/IP con un acercamiento top-down, hay gente que  sugiere acercarse al problema de los riesgos o mitigarlos, de una manera similar [2]: primero habría que identificar los riesgos (describir el riesgo, evaluar su probabilidad, detectar el impacto etc) luego especificar las herramientas que se llegarán a utilizar (en tu organización) para monitorear las áreas de riesgos así como de qué manera los resultados van a ser dirigidos y contemplados. Acto seguido poner en marcha esas herramientas e implementarlas y por último quedarte en constante vigilia a la vez que vas haciendo pequeños ajustes.

Una manera buena de comenzar sería generando y poniendo en común una guía, directrices o políticas [3] sobre los medios sociales con una documentada y clara estrategia para los recursos humanos (aún más relevante cuando te pueden seguir el camino de migas que dejas atrás y encontrar el nombre de la empresa donde trabajas). Es el empleado quien debiera tener muy presente que es un activo muy apetitoso y propenso a cometer alguna que otra metedura de pata involuntaria . Estas directrices vienen acompañadas normalmente por un documento o guía que detalla y encamina cual es la estrategia en relación a los medios sociales que la compañía está siguiendo (albergando por ejemplo, una definición extensa de lo que son los social media para la empresa también). No descartaría personalmente un proceso de reciclaje en la empresa (con los empleados, directivos etc.) en el sentido de impartir y actualizar los conocimientos y las bases del porqué del cuidado a tener en los medios sociales y la razón de ser de las guías y directrices. Es al fin al cabo, un recordatorio para mantener al día a los empleados y jefes sobre las últimas tendencias cibercriminales, los controles y nuevos posibles riesgos. Porque una vez más, el humano es el eslabón más débil de la cadena. Al final, se demuestra confianza [4] entre las personas de tu plantilla esforzándote por educarles y haciéndoles entender la misión de la empresa.

policy

Antes hablábamos de monitorear las áreas de riesgos, y efectivamente, es un buen remedio, al menos para mitigar el impacto de los riesgos mencionados en anteriores posts. Yo lo enfocaría más por la senda de monitorear la actividad de tu organización en los medios sociales, a modo de alertas, debieras tener un sistema que te permita tomar decisiones o que te haga llegar un aviso cuando algo no cuadre bien en el ciberespacio. Del mismo modo, yo estaría ojo avizor a cualquier mensaje que pudiera hacer sentir mal al consumidor, y por tanto, procedería a su pronta eliminación. ¡O eso, o respondes a las inquietudes del cliente de turno con sus comentarios en Twitter, Facebook etc! Otorgad cierta prioridad a dedicar tiempo para responder en los medios sociales [4 bis]. Otro elemento interesante del que no me gustaría olvidarme es la segregación de responsabilidades. Internamente hablando, hemos de asegurarnos de que cada empleado tiene su propio ámbito de trabajo y no interviene en las responsabilidades de otro compañero. De esta manera, podríamos reducir el riesgo de meter la pata al postear, escribir algún artículo o subir datos en vuestra página web corporativa sin que el responsable tenga constancia de ello (o incluso sin haber dado permiso de hacerlo público).

¡Atención! Llámalo backup, copia de seguridad, pendrive, DVD… (¡sé que has tenido que cerrar los ojos en esas dos últimas palabras!). Es realmente [5] y con toda humildad, un acción preventiva que las organizaciones o pequeñas empresas debieran de implantar en su lista de controles. Ataques como los ransomware pueden paralizar tu actividad empresarial ipso facto, lo cual te puede generar pesadillas. En general, para controles de seguridad, el responsable de turno en la empresa tendría que proactivamente ponerse en contacto con el departamento de sistemas y definir un roadmap para blindar vuestras instalaciones “digitales” (protegerlas de vulnerabilidades).

Y para acabar, no te olvides de mantener actualizadas las políticas de seguridad y comportamiento sobre los medios sociales cada cierto tiempo (las que he comentado antes), y que éstas sean comprensibles por el pueblo! ¡O sea, por tus empleados! Por muy tecnólogo que sea tu perfil, has de procurar allanar tu vocabulario y que impregne a la mayoría del personal [6]. Un caso anecdótico es el del departamento de justicia de Victoria (¡Australia!), echadle un ojo, porque responde a una forma de transmitir información muy amigable:

Hay voces que abogan por crear un documento que reúna políticas de seguridad para post-incidentes [7] también, es decir, una serie de procedimientos para analizar cuáles fueron nuestros errores, analizar qué controles fallaron, el ámbito del incidente, aprender lecciones y detallar los pasos venideros para evitar que se repita el problema.

¡Al final, van a tener razón con aquello de que es mil veces mejor prevenir que curar! :)

Referencias:

[1] Tuttle, Hilary, Users not grasping social media risks. Risk Management [0035-5593], 2014 vol.:61 pág.:44

[2] “Monitoring Social Media for Risks, Control Issues and opportunities”, cmswire, http://www.cmswire.com/cms/customer-experience/monitoring-social-media-for-risk-control-issues-opportunities-015194.php , acceso el 17 de Noviembre

[3] James Field , John Chelliah , (2013) “Employers need to get to grips with social-media risks: Two key policies required to cover all the bases”, Human Resource Management International Digest, Vol. 21 Iss: 7, pp.25 – 26

[4] “Top five risks companies face when using social media”, techxb,  http://techxb.com/top-five-risks-companies-face-when-using-social-media, acceso el 18 de Noviembre

[5] “5 Ways CFOs Can Implement an Effective Cybersecurity Strategy”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-ways-cfos-can-implement-an-effective-cybersecurity-strategy-03.html, acceso el 18 de Noviembre

[6] He, Wu, (2012) A review of social media security risks and mitigation techniques, Journal of Systems and Information Technology [1328-7265] vol.14 iss:2 pág.:171 -180 (Océano)

[7] “5 Essential Incident Response Checklists”, itbusinessedge, http://www.itbusinessedge.com/slideshows/5-essential-incident-response-checklists-06.html, acceso el 18 de Noviembre

Experts Advise Corporate Audit Committees To Focus on Addressing Social Media Risks
Odom, Che. Accounting Policy & Practice Report (2011), pág.:755-756.

Field, James, Human Resource Management International Digest [0967-0734] (2013) vol.:21 iss:7 pág.:25 -26

Corporate Risks from Social Media, Computer (2014), pág.: 13 – 15

¡R.I.E.S.G.O.S en los medios sociales! Ojo avizor!

Download PDF

Tal y como hemos ido introduciendo en capítulos anteriores, el uso de los medios sociales y el mundo IT traen consigo unos riesgos heredados que por lo menos, las empresas debieran de estudiar (en la hora del café al menos, ¡por favor!). Hay voces que afirman que existen dos esferas [1] de riesgos en los medios sociales: una iría por la senda de la imagen pública y otra por la efectividad operacional. Un ejemplo de andar por casa [2] podríamos encontrarlo en el caso de Nestlé con su producto KitKat y el famoso aceite de palma. La negativa y censura por parte de Nestlé de las quejas y comentarios de sus consumidores le trajeron malas pasadas. Al final, la compañía de alimentos lácteos con tilde en la ‘é’, reculó y supo ponerse en el lugar de los consumidores.

A modo de lista, me gustaría resaltar algunos riesgos [1bis] que desde el punto de vista de las corporaciones, podrían ser delicadas:

  • Campaña de desprestigio o ataques de posts negativos (prioridad media): dependiendo de quién y por qué se ha encendido esta llama (culpa de la compañía, malentendidos etc.), la empresa podría verse involucrada en una bola de nieve difícil de escapar de ella, ej. Comentario negativo en Twitter sobre tu empresa o alguna acción realizada.
  • Mal o incorrecto uso de las TIC por parte de los empleados (prioridad alta): los dos pilares que son atizados y por los que los ciberdelincuentes actúan son principalmente: ataques dirigidos (phishing, spoofing, robo de identidad, ingeniería social) y viruses, malwares, etc. En mi humilde opinión, hay que intentar concienciar a la ciudadanía y a los empleados. Para ello habría que intentar reducir los siguientes porcentajes que parece que han salido de una película de Halloween (aprovechando la ocasión y los días que nos rodean en estas fechas): más del 50% de los usuarios de medios sociales permiten a conocidos acceder con sus credenciales, 26% de los usuarios comparten ficheros o documentación de acceso restringido mediante redes sociales, 64% de los usuarios que hacen uso de los medios sociales hacen click en enlaces de los cuales no saben nada de su destino.
  • Falta de control de las cuentas corporativas para los medios sociales (prioridad media-alta): como empresa has de ser consciente de qué sitios tienes bajo tu control e intentar aumentar el grado de madurez de la seguridad de la información de tu empresa.Tendrías que preguntarte: ¿quién controla esos accesos? ¿quién monitoriza el uso del mismo?
  • Riesgo de presencia online (prioridad media): como buen lector/a tecnólogo/a que eres, sabes que hay que reducir la superficie de exposición cuanto más mejor de tu conglomerado (sistema), pero claro, siendo una empresa y de cara a mantener una red de contactos y usuarios satisfechos, has de tener presencia online (página web corporativa, página en las redes sociales: Facebook, Twitter, LinkedIn etc.). Existe un riesgo moderado de que tu presencia online sea atacada masivamente utilizando las últimas y no tan últimas técnicas de hacking.
  • BYOD (prioridad media-alta): quizá no tan relacionado con los medios sociales, pero relevante e importante a la vez. Ojito con las políticas de cada corporación en relación a infiltrar un dispositivo de fuera dentro del sistema de la empresa. ¡Quizá tengamos que ponernos escafandras y analizar al dedillo las tripas del dispositivo que traes! Jeje.

Por otro lado, como empresa has de tener frentes abiertos en todos los aspectos, ser conscientes de analizar los riesgos en diferentes casos de uso, me explico: existe un riesgo alto de ataques que puedes prevenir (mediante un diseño de una arquitectura adecuada, seguir patrones y directrices, aprenderte el informe OWASP (Open Web Application Security Project) cual biblia etc.), y estos efectivamente, sí que puedes combatirlos de antemano. En cambio, otras empresas no tienen en cuenta el riesgo de un ataque, filtración o incidencia relacionada con los medios sociales en el supuesto escenario en el que el ataque en sí es inevitable. Es decir, ¡¿qué hacemos si damos por hecho que hay algo que se nos escapa y que nos va a repercutir en la empresa?! La mentalidad sería algo así como: “Sé que (posiblemente) alguien pueda encontrar una brecha y entrar a nuestro sistema, ¿qué hacemos partiendo de esa premisa? ¿Cómo protegernos?”. Como corporación, logras un nivel de madurez en la seguridad mayor cuando tienes en cuenta ese aspecto.

Un factor, de hecho, que hace que los riesgos asociados a los medios sociales sean diferentes a otros riesgos encontrados en otras áreas IT es la velocidad. La información se extiende más rápido que cuando se te cae el vaso encima del mantel de tu madre en nochevieja. Y el careto (perdón con las licencias con el lenguaje) que se le queda al CIO al ver a la mañana siguiente que uno de tus empleados a picado el anzuelo en un ataque de phishing dirigido, es también proporcional al del 31 de Diciembre que hemos comentado. Muchas veces la ingeniería social puede resultar un arma muy accesible para los ciberdelincuentes.

El lado bueno es que parece que la concienciación y el entrenamiento de los empleados y ejecutivos de la corporación está aumentando poquito a poquito año tras año, un estudio [3] de la FERF (Financial Executives Research Foundation) muestra que mientras que en el 2011, la empresa tenía un conocimiento sobre los medios sociales y sus riesgos de un 21%, en 2013, se trata de un 36%. Así como que solo una de cada cuatro empresas tenían allá por el año 2011 políticas que regularan el uso de los medios sociales entre sus empleados, refleja otra encuesta [4].

SM_Caution_for_Invite_flat

Un estudio del 2014 mostró como un 62% de los usuarios de web, vuelcan su atención en Facebook cuando quieren interesarse o informarse sobre la política. Lo que puede ayudar a elevar la reputación de los políticos u en otras ocasiones a hundirla un poco más, un claro ejemplo de ello es la campaña presidencial [5] que me montó en torno a las elecciones del 2008 a la presidencia en EE.UU.

Varias veces escuche a un profesor del campus de Deusto de Bilbao que el eslabón más débil es la persona, ¡el usuario! Pues ciertamente, en las empresas ocurre otro tanto de lo mismo. No hay que ir mucho más lejos para corroborarlo, el ya archiconocido escándalo de Yahoo reciente donde se obtuvo información confidencial, curiosamente fue debido a la pesca!, Sí, sí, a la pesca! ¡¿Que no sabes lo que es?! Phishing! Vale, perdona, he jugado con las palabras, mea culpa. En definitiva, el phishing es un ataque bastante común y con el que se da acceso a posiblemente las entrañas del sistema con tan solo esas credenciales del empleado. Es una lástima, pero también fácil de evitar si sigues pautas adecuadas y estás ojo avizor y conciencias a tu trabajador.

Dado que un decálogo siempre es más fácil digerir para la vista  leer visualmente, os remito al siguiente enlace [6] de donde he cogido prestado algunos consejos y los he plasmado a lo largo de mi artículo de hoy (por si queréis profundizar más).

Otro aspecto que me gustaría tocar superficialmente para cerrar el telón por hoy definitivamente es un hecho que bien lo plasma Terri H. Chan [7] en su libro “Facebook and its Effects on User’s Empathic Social Skills and Life Satisfaction: A Double-Edged Sword Effect”. Se trata de que en ciertas ocasiones y segmentos de la población, la gente cuanto más tiempo invierte en Facebook, menos satisfacción sienten sobre sus vidas. La imagen que tienes sobre tu persona se deteriora cuando no ves que socialmente eres aceptado. A mi me gusta decir que Facebook, para determinadas cosas, es como un escaparate en el que solo se muestran las cosas bonitas; las otras “cosas” están bajo la alfombra, escondiditos. Muchas veces la definición de “amistad” se tercia un poco difusa en el mundo digital. Se que esta reflexión no tiene un punto de vista empresarial, pero consideré que también estaba relacionado de algún modo u otro.

Y en los próximos episodios… ¡qué hacer para mitigar los riesgos! ¡Cómo contrarrestarlos! Ponga un control en su vida.

😊

Referencias:

[1] “What Every IT Auditor Should Know About Auditing Social Media”, ISACA, acceso el 4 de Noviembre de 2016, http://www.isaca.org/Journal/archives/2012/Volume-5/Pages/What-Every-IT-Auditor-Should-Know-About-Auditing-Social-Media.aspx

[2] “Caso KitKat, una mala estrategia de social media”, UVIC,  http://usr.uvic.cat/bloc/2013/04/07/caso-kit-kat-una-mala-estrategia-de-social-media/

[3] ”Social media risk”, IA Internal Auditor, https://iaonline.theiia.org/social-media-risk

[4] Anonymous, Employers are exposed to social media risks, Employers’ Law [1364-9493] 2011, Océano, pág.4

[5] ”Barack Obama presidential campaign”, Wikipedia,  https://en.wikipedia.org/wiki/Barack_Obama_presidential_campaign,_2008

[6] Savell, Lawrence. 15 Tips to Manage Social Media Risks, Risk Management 57, 2010, Océano, no.8

[7] Brian M. Gaff, Corporate Risks from Social Media, IEEE, vol.:47, 2014, pages. 13-15 (Océano)

“Social media”, Wikipedia, acceso el 10 de Octubre de 2016, https://en.wikipedia.org/wiki/Social_media

 

¡Menú de degustación! El porqué de los medios sociales.

Download PDF

Ya no es una excepción, es la REGLA, los medios sociales son un potencial, o dicho de otra manera son vistos como un ROI (Return of Investment) en toda regla. Realmente, en el análisis previo que una empresa hace, ésta ha de tomar en cuenta una serie de pasos preliminares para asentar una plataforma de medios sociales buena que dará pie, a su vez, a plantar puentes entre diferentes distribuidores, otras empresas etc. Generando unas posibles alianzas que permitan extender tu red de contactos. Podríamos decir que forma parte de una estrategia de marketing de los contenidos en las redes sociales, es como si fuera un pequeño cambio de cultura. Siempre se llega a ese punto donde has de decidir en qué medio social meterte, qué nicho te interesa más como empresa y preguntas intríngulis similares.

Tener un menú de posibilidades amplio para tus clientes (Facebook, YouTube, Twitter, LinkedIn asistencia a clientes mediante Skype …), les hace felices. Muchas veces, he de reconocer, que a título personal, me encanta ver cómo de fácil es acceder a la marca (empresa, compañía) en la que estoy interesado: o bien por su muro en Facebook (con todos los detalles de contactos), su feed en Twitter para no perderme ninguna noticia o anuncio, y canales multimedia para estar al tanto de las últimas novedades teniendo solo que ver y escuchar. Además, yo diría que me da hasta un punto más de confianza, me siento agradable viendo su menú de degustación. Si las empresas tuvieran que justificar el porqué de su presencia en los medios sociales sería como pez en el agua para ellos. ¡Me las quitan de las manos señores! Los motivos proliferan cual niño en el txiki-park: la distancia entre la empresa y el cliente se reduce considerablemente, el diálogo es inmediato y recíproco y además también nos permiten utilizar técnicas de medición para crear un historial o un flujo de información.

iStock_000027555541_Small-1260x840

El párrafo anterior es importante porque, ¡toc-toc! ¡¿quién está ahí?! ¡El consumidor! La razón de la presencia digital de las empresas es principalmente el consumidor, el cliente. Eso no es una sorpresa para cualquier astuto lector que tenemos entre nosotros en PublicaTIC. Pero claro, inconscientemente o no, los clientes demandan ciertas características en las empresas, como por ejemplo, los beneficios. ¡Confesad, vamos! Siempre hemos pecado y acabado registrándonos en una página random (en la jerga de los computer scientists) y/o dándole a like (o similares) a algún sitio web para beneficiarnos de algún descuento o entrar en un sorteo. Otras características son por ejemplo, la cercanía y rapidez: hemos dejado los sellos en el cajón de la casas de nuestros abuelos y hemos pasado a enviar mensajes que se envían en ceros y unos (a.k.a emails!). En definitiva, un conjunto de necesidades que el usuario demanda.

Pero todo ello, no está exento de  problemas. Al fin y al cabo es una superficie de exposición la que estás creando, y los muy entendidos del campo de la seguridad de la información saben muy bien que cuanto más superficie de exposición, más “peligro”. Es decir, más posibilidades de meter la pata, más contenido que actualizar, posibles filtraciones de datos, propagación de malware, violación de la privacidad. Por ende, empresas con intención de incorporar los medios sociales en su estrategia han de procurar adoptar aproximaciones que encaren los riesgos, los impactos y su mitigación, así como una gobernanza adecuada y medidas de garantía. La balanza entre los beneficios y los riesgos es algo de lo que tú como empresa debieras de preocuparte. Así como tener un conocimiento razonable de las posibles amenazas tú como empleado de la empresa y también de su estrategia de medios sociales y networking. En las próximas entregas veremos las amenazas y las vulnerabilidades, los riesgos y las posibles técnicas de mitigación sin olvidarnos también de las consideraciones sobre la seguridad.

social-media-plan1

Dicho lo cual, luego además, en nuestro armero favorito de casa, también encontramos espadas de doble filo. ¿Habéis oído hablar de DARPA Twitter Bot Challenge? Resulta que esta iniciativa [1] puesta en marcha por DARPA (Defense Advanced Research Projects Agency) nace para combatir un enemigo también recién nacido como quien dice. Se trata de una competición de cuatro semanas de duración en la que varias universidades o entidades desarrollan por motu propio una aplicación o algoritmo que sea capaz de detectar los archiconocidos “bots influyentes”. Razones de peso para movimientos como este son, por ejemplo, los procesos de reclutamiento por parte del grupo terrorista ISIS que lleva a cabo aprovechándose de los medios sociales y extendiendo así, el radicalismo. Bots, que en ciertos escenarios se convierten en un riesgo de libertad de expresión. Un 8.5% de los usuarios de Twitter son bots y parte de éstos son tan sofisticados que algunas veces se tercia difícil identificarlos. Y digo de doble filo, no por la iniciativa de DARPA, sino por el terreno en el que algunas empresas se puedan meter para ser aún más influyentes.

Este post ha intentado arrojar luz sobre las evidencias reales que tienen las compañías para tener una presencia digital, dejando constancia, que no siendo el pilar más importante de una compañía, es, sin embargo, un elemento clave en la línea de negocio de la misma. ¿Qué será lo próximo? Ahondaremos en los riesgos y sobretodo en los controles para remediarlos. He ido introduciendo pinceladas anteriormente pero solo con intención de abrir el apetito. ¡¿Nos vamos de banquete?! 😉 😉

Referencias:

[1] V.S Subrahmanian, Amos Azaria, Skylar Durst et al. “The DARPA Twitter Bot Challenge”, Computer Security Threat. IEEE computer society (06-2016) p.38-46

ISACA, “Social Media: Business Benefits and Security, Governance and Assurance Perspectives” White paper, Mayo 2010

“Guia completa sobre estrategia de contenidos en redes sociales”, Marketing en Directo, acceso el 20 de Octubre de 2016, http://www.marketingdirecto.com/punto-de-vista/la-columna/guia-completa-sobre-estrategia-de-contenidos-en-redes-sociales

“Las empresas y los medios sociales utilidades y expectativas del consumidor”, Marketing Actual, acceso el 20 de Octubre de 2016, http://marketingactual.es/social-media/social-media/las-empresas-y-los-medios-sociales-utilidades-y-expectativas-del-consumidor

¡Post-it amarillo fluorescente! Medios Sociales

Download PDF

El fenómeno de las redes sociales lo tenemos tan bien integrado e interiorizado en nosotros que ya forma parte de nuestro día a día. Aquel chaval joven de Harvard al que le apeteció crear un portal web por puro ocio (como que no quiere la cosa) con una serie de caras de los estudiantes (predominantemente chicas) de dicha universidad, detonó una idea (con la desdicha de los hermanos Narendra y algún que otro detalle importante) que sin lugar a dudas dio sus frutos. Con 1650 millones de usuarios activos por mes, y presente en 140 idiomas distintos, ese “portal web”, es ahora conocido como Facebook, convertido por antonomasia la red social más conocida de la historia. Por supuesto, no todo gira en torno al “libro de caras”, también tenemos Twitter, Instagram, Google+, LinkedIn, MySpace, YouTube, páginas de citas online, enciclopedias online con una comunidad gigante tras ellas, así como los que en su día estuvieron activos también: Tuenti. Dado que no solo estamos hablando de redes sociales al uso, el espectro es tan amplio como uno quiera. Tanto los usuarios como las organizaciones pueden crear su propio contenido (y compartirlo) en cualquier sitio online ya sea para discusiones abiertas, streaming de video, microblogging, publicaciones de eventos, wikis, podcasts, etc.

Hoy más que nunca estamos expuestos a una rutina de red social nunca antes vista, evidentemente. Las empresas, las organizaciones, el pequeño comercio, “todo” el mundo quiere tener un hueco en la inmensidad de las redes sociales. Muchas veces, no por gusto, sino por necesidad. Aquella empresa, comercio o tienda que no contemple las TIC como una pata más de su sustentación, tiende a ser olvidada y perderse las oportunidades que le brinda estar “digitalizado”: una página con todos tus servicios, contactos, un muro que envía notificaciones cada vez que publicas algo, llegar a mucha más gente, potenciar tus fortalezas (mediante imágenes, vídeos, comentarios de otra gente) y un largo etcétera. Accenture, AT&T, CocaCola y Hewlett-Packard son empresas que llevan el social media al pie de la letra y las que lo utilizan con fines de marketing.

Los medios sociales representan un cambio de cómo nos comunicamos, algo en lo que creo afirmativamente (para bien o para mal). Es fácil de usar, no requiere costes, prácticamente todo el contenido es creado por los propios usuarios, te permite subir contenido visual (multimedia) y además el medio social utiliza como herramienta principal la web, algo al alcance de mucha gente en el mundo hoy día.

El escaparate mediático que existe en la nube, como hemos comentado, ofrece ventajas, pero también existen riesgos, inconvenientes, falsas creencias, el famoso postureo, filtraciones, robos de identidad, sabotajes y una lista que continúa y que bien conocen los que se sientan en la sombra del mal.

Conversationprism

Quiero encarar este post de una manera que haga ver al lector que los medios sociales y las redes de contactos desde el punto de vista de la empresa es un capítulo en la vida de las organizaciones especialmente importante y a la que habría que prestar atención un poquito, solo un poquito.

Nunca viene mal un poco de humor, y me gustaría haceros llegar varios casos que podríamos catalogar como “epic fails” (desdichas desafortunadas). Lo introduzco como aperitivo porque en los siguientes artículos ahondaremos más en los riesgos identificados en esta temática, los posibles controles a llevar a cabo, sugerencias, pérdida o exposición de información personal etc. ¡Fotografiar lugares de trabajo donde los empleados pasan su día a día no es trabajo baladí! Si te descuidas tan solo un poquito, puedes pifiarla a lo grande y alzarte en la escala del campeón al mayor descuido. Hacerse con un post-it amarillo fluorescente y tener escrito el usuario y contraseña de la red inalámbrica o de acceso a un determinado sistema no suele ser una práctica muy saludable. ¡Te puedes dar algún que otro susto! ¡Twittear una foto tomada de una oficina con el ID del cliente, usuario y contraseña escritos en una pizarra no te deja exento de algún que otro atragantamiento a la hora de comer! De hecho, la auditoría interna no siempre ha tenido en cuenta los medios sociales dentro de su análisis desde el inicio de los tiempos. Muchas veces, porque se percibió que los medios sociales estaban fuera de las fronteras de la empresa

owen-smith-password

CrmPWAAAHYHD

El concepto de identidad digital también es algo que poco a poco hemos de tener presentes como ciudadanos. Me gustaría estar frente a vosotros los lectores, y hacer una pregunta a mano alzada para ver cuántos de vosotros levantaríais el brazo: ¿cuantas identidades digitales consideras que tienes en Internet? Bueno ha sido corta y ha durado poco la intriga pero muchos os sorprenderías de que el número es alto e incluso en ciertos ejemplos en concreto, no recordaríais que os registrasteis en aquella página web “chunga” que te permitía simplemente poder hacer lo que querías hacer en ese momento y luego olvidaste que te habías hecho un hueco en los “asientos virtuales” de Internet. Desde el prisma de las organizaciones, limitar el acceso de los empleados a la generación de contenido de medios sociales, cortar de raíz el BYOD y/o dedicar un perfil específico como el de Community Manager o Social Media Manager son contramedidas que te evitarían esos sudores fríos y la ola invisible escalando por tu espalda cuando te llaman y te dicen aquello de “Houston, tenemos un problema” o simplemente cuando te das cuenta que acabas de meter tú mismo la “zarpa” en tu blog, facebook, etc.

Concienciar al empleado, aplicar buenas prácticas, reducir el área de exposición de una empresa, identificar brechas…, son los entrantes del menú que vamos a tratar con los medios sociales desde el punto de vista de la empresa en los siguientes artículos. ¡¿Os aventuráis a ver qué encontramos?! 😉

Referencias:

Managing Privacy Risk in a Social Media-Driver Society”, KnowledgeLeader, acceso el 10 de Octubre de 2016, https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/GUManagingPrivacyRiskinaSocialMediaDrivenSociety!OpenDocument

Social media”, Wikipedia, acceso el 10 de Octubre de 2016, https://en.wikipedia.org/wiki/Social_media

Cómo afrontar el uso de medios sociales en la empresa”, Con Tu Negocio (Movistar), acceso el 10 de Octubre de 2016, http://www.contunegocio.es/redes-sociales/como-afrontar-el-uso-de-medios-sociales-en-la-empresa/

Politicians’ password accidentally tweeted to thousands”, Naked Security, acceso el 3 de Octubre de 2016, https://nakedsecurity.sophos.com/2016/09/08/politicians-password-accidentally-tweeted-to-thousands/

¿NUEVAS AMENAZAS EN SOCIAL MEDIA O NUEVAS FORMAS DE AMENAZA?

Download PDF

Me preguntaba qué tipos de riesgos acarreaba el uso de las redes sociales hace unos años y si estos habían cambiado, evolucionado o habían permanecido estables a la fecha en la que nos encontramos. En este sentido, he leído un resumen del informe publicado por ISACA en 2010 y titulado “Social Media: Business benefits with security governance and assurance perspectives”.

En aquel año ISACA citó entre los principales peligros a los virus y el malware, el secuestro de marca, la falta de control sobre el contenido, las expectativas poco realistas de los usuarios sobre la velocidad del servicio y el incumplimiento de las normas de gestión de registros de los datos. Los anteriores constituirían por tanto, el top de los cinco riesgos más importantes de las redes sociales, por aquellos años.

En esa époimagen 1 para el ultimo blogca, ISACA, recomendaba a las compañías adoptar las redes sociales aunque, al mismo tiempo, animaba a los empleados a que cobrasen conciencia de los riesgos que conlleva la utilización y el manejo de las mismas y en ese sentido animaba a la dirección empresarial a ofertar a dichos empleados, el conocimiento necesario para aplicar un uso correcto a los medios sociales. Hacía especial hincapié, por tanto, en que el malware, el daño a la marca o la pérdida de productividad podían ser algunas de las consecuencias del uso del Social Media en el lugar de trabajo y por las que los CIO deberían estar preocupados. [Read more…]