Conclusiones del 2do Security Chat & Beers (Redes Sociales)
Siguiendo con nuestra serie de reuniones del Security Chat & Beers (más información de las reuniones acá) tuvimos la posibilidad, esta vez, de conversar con algunos colegas acerca del impacto del uso de las redes sociales dentro del ámbito de las empresas y como este impacto es reflejado también en las conductas fuera de la empresa. Como en todos los SC&Bs, tenemos un ambiente relajado que permite compartir nuestras experiencias con el resto de los asistentes, pero a su vez planteamos una serie de preguntas para disparar estas experiencias, empezando con una pregunta básica: ¿Cómo es percibido el uso de redes sociales en su empresa? Asumiendo que, el uso de las redes sociales y su explosión entre las personas encontró a todos los administradores desprevenidos, la percepción de estos sitios fue cambiando desde hace un tiempo. Sin ir muy atrás en el tiempo, muchas empresas tomaban el uso de las redes sociales con un carácter meramente personal y que lo único que hacían era dispersar a la gente. Sin embargo, esta percepción fue cambiando, siendo el día de hoy que muchas empresas usan las redes sociales como medio de comunicación “más directo” con sus clientes. En este punto me gustaría detenerme un poco y dedicarle un par de líneas adicionales. Desde la aparición masiva de Facebook, ahí por el 2008, muchas redes sociales han aparecido, tenido su apogeo y murieron, como por ejemplo Hi5, MySpace, Fotolog, etc. Algunas, se han regionalizado, por ejemplo, la red social Orkut es más popular que Facebook en Brasil, pero no ha tenido mayores repercusiones en Argentina. Cuando pensamos en redes sociales, en realidad pensamos en estas tres redes: Facebook, Twitter y en mucho menor medida, LinkedIn…sí, por ahí lejos, también esta Google+. Sin embargo, el término de red social hoy se aplica a cualquier web en donde un usuario pueda generar su listado de contactos y subir dentro de su perfil contenido, no obstante, todo el SC&B giró en torno a, principalmente Facebook. La problemática que traen las redes sociales es digna de contemplarse, ya que es posible encontrar algún riesgo por donde se la mire. Si bien como decíamos anteriormente, ya el foco de la discusión no se encuentra en el “es una pérdida de tiempo o un foco de improductividad” sino más bien en el “¿Cómo puedo asegurar la actividad de las personas en las redes sociales?” o peor aún en el “¿Cómo puedo asegurar la imagen empresarial en las redes sociales?”. Pero veamos primero que pasa “puertas adentro” o mejor dicho¿De qué forma afecta a la productividad de los usuarios el uso de las redes sociales dentro de la empresa? Para entender un poco esta pregunta, es necesario saber dónde estamos parados hoy con respecto del uso de Internet en las empresas. Hasta hace algún tiempo atrás, el uso de la web estaba restringido a algunos sectores de la empresa, por lo general aquellos directores o gerentes que usaban la web ya en sus casas y estaban acostumbrados a ella. Con el paso del tiempo, los costos de los accesos a Internet fueron disminuyendo, logrando una mayor penetración en la población y un mejor acceso desde las empresas. Este punto, acompañado con la puesta en marcha de varios servicios online hizo que las políticas restrictivas respecto del uso de la web fueran desapareciendo. Sin embargo, era necesario contar con cierto “orden” para que el uso de la web no se convirtiera rápidamente en abuso de la misma o una actividad que resulte ofensiva a otros. De esta manera, las empresas comenzaron a bloquear aquellos sitios que no estaban para nada relacionados con el negocio de la empresa, pensando que de esta manera se podía hacer un uso “más sano” del servicio web. Estos accesos se fueron haciendo más laxos, al punto de llegar a permitir el uso de redes sociales dentro de la organización, ya que algunas áreas comenzaron a descubrir que puede ser bueno tener presencia en este medio, pero es un tema que tocaremos un poco más adelante. Volviendo a los usuario dentro de las organizaciones accediendo a redes sociales, pudimos observar que las experiencias varían, pero que a pesar de esto, se mantiene un comportamiento similar en todas las organizaciones: Aquellas personas que se encuentran comprometidas con las empresas tienen un uso mucho menor de las redes sociales dentro de la organización que aquellas que no se encuentran comprometidas. Evidentemente, debido al cambio en el acceso a la web, el uso de redes sociales cambia el panorama de las políticas o estándares de seguridad que debe ser aplicado. A pesar de esto, cuando preguntamos “¿Cómo afectó en los estándares actuales de seguridad el uso de las redes sociales?” hubo un momento de silencio. Luego de este breve instante de silencio, alguno dijo “yo dejo el acceso, pero de solo lectura”, lo cual disparó nuevamente la discusión de a quien se le brinda el acceso y a quien no, acentuándose en el desconocimiento de los usuarios acerca de los riesgos que exponen a la empresa y a sí mismos. Aprovechando este punto, me gustaría hacer un pequeño resumen de estos riesgos:
Privacidad: las preocupaciones acerca de la privacidad en las redes sociales a aumentado entre los usuarios en cuanto a la cantidad de información personal que es expuestas en estas redes. Los usuarios de estas redes tienen que ser conscientes acerca del robo de información o el malware existente en estas redes. Si bien es el factor que mayor preocupación causa, es el más menospreciado entre los usuarios quienes, sin quererlo pueden revelar información personal que los mismos sitios de las redes sociales no manejan correctamente y una tercera parte puede aprovechar este “gap” para obtener información de las personas y realizar un “profile” para un posterior ataque utilizando ingeniería social y casos más graves, como medio de investigación para robos o secuestros.
Data mining: no solo las personas malintencionadas pueden aprovecharse de la información publicada en las redes sociales. Cada vez son más las empresas que se vuelcan a estas redes para poder definir sus potenciales clientes a través de software específicos que analizan el comportamiento de los usuarios en las redes sociales. Igualmente, aquellas empresas que suscriban, pueden entrar a programas similares al de Facebook “Social Ads” en donde se les brinda a los clientes información demográfica de sus usuarios y comportamiento de los mismos dentro de la red social. No obstante, muchas redes sociales implementan sistemas de seguimiento de los usuarios fuera de sus redes, como por ejemplo “Facebook Beacon”.
Acceso a la información: en la otra punta de los riesgos por “privacidad” se encuentran los riesgos que enfrentan los padres con sus hijos al estos definir un perfil privado. Esto quiere decir, que los hijos pueden aceptar a sus padres como “amigos” sin embargo, estos restringen el nivel de acceso que sus padres pueden tener en su perfil.
Bullying: También llamado cyber-bullying es, lamentablemente, uno de los mayores problemas a los cuales se exponen las personas dentro de las redes sociales. Este “acoso” virtual que se genera desde el “anonimato” es la causa de muchos traumas entre adolescentes y jóvenes que utilizan las redes sociales. Entre los jóvenes, existe una estadística que habla que, dependiendo la red social, más del 39% de sus usuarios fue víctima alguna vez debullying, expresando adicionalmente un sentimiento de frustración entre sitios como MySpace. Incluso existen algunos casos muy graves de bullying por redes sociales que terminaron en suicido.
Dejado los riesgos de índole personal a un lado, también existen riesgos para las empresas, asociados principalmente a la imagen de las mismas. Es común ver entre los empleados de las empresas que tienen acceso a las redes sociales hacer comentarios que podrían dejar mal parada a la imagen de la empresa o, sin quererlo, revelar información sensible de la misma. Por ejemplo, se citaron casos en donde los usuarios han expuesto públicamente en su perfil “problemas con la infraestructura de red”, “situaciones poco agradables en clientes de la empresa” e inclusive hubo un caso de una “discusión de alto tono entre un jefe y su empleado por Twitter”. Teniendo este tema presente, se hace imperativo poder llevar un mensaje claro a los empleados de la empresa, pero no debe surgir del departamento de sistemas, sino que todos concordamos que deberían ser departamentos con más autoridad sobre el tema los que deben dar el primer paso, como por ejemplo, los departamentos de recursos humanos de las organizaciones.
Algunas de las ideas que surgieron para poder estar atentos a este tipo de cosas tiene que ver con dos caminos: el primero, como mencionamos anteriormente, tiene que ver con la concientización de los empleados ante el uso de las redes sociales. La segunda, de índole más tecnológica, tiene que ver con el uso de herramientas como Google Alerts para identificar los lugares en donde se menciona la empresa, producto o servicio.
Como se puede apreciar, toda la reunión del SC&Bs giró en torno al aspecto de datos y humano de las redes sociales, sin embargo, existen casos registrados de malware asociados a la redes sociales, de los cuales se puede leer más eneste post.
Nuevamente queremos agradecer a todos los que participan de nuestros Security Chat & Beers y hacer de este espacio un lugar un lugar de intercambio de experiencias sin dejar de lado el buen ambiente.
¿Te gustó este artículo?
Aún no hay trackbacks.