Llegamos a ustedes gracias a:



Reportajes y análisis

Problemas de seguridad con los medios sociales

Peligros principales: Los estafadores, malware y los empleados que filtran los datos sensibles

[15/06/2012] Las redes sociales -Facebook, Twitter, LinkedIn, Google+ y así sucesivamente- se han convertido en una forma de vida para la interacción de las empresas y sus empleados con el público, pero golpear a los estafadores que tratan de aprovecharse de clientes, por no hablar de prevenir que los empleados no filtren datos sensibles, se está convirtiendo en un trabajo de tiempo completo para muchos.
"Tenemos una gran cantidad de medios sociales, en realidad es una parte importante de nuestro negocio", señala Yaron Baitch, director de tecnología de la información y la seguridad en Bobs Stores, el minorista de ropa que cuenta con unos mil 500 empleados. La cadena de tiendas utiliza sus sitios en Facebook y Twitter para la interacción continua con el público.
Pero el Facebook de Bobs Stores, sobre todo, necesita atención constante por razones de seguridad, ya que se ha sabido que los defraudadores han intentado atraer a los visitantes hacia "varias trampas en cualquier lugar del mundo", agrega Baitch. "Tratamos de trabajar duro para asegurarnos de que ninguno de nuestros clientes está en peligro".
Este es el tipo de peligro para el negocio que viene con los medios sociales, comenta Charles Renert, vicepresidente de Websense Security Labs. Los "señuelos de video" se han convertido en una de las mayores amenazas en los medios sociales. "Todo se trata de ingeniería social y un señuelo", agrega.
Mientras que Bobs Stores utiliza las redes sociales para llamar la atención sobre las ventas en sus tiendas y su sitio web de comercio electrónico, por ejemplo; el minorista de ropa no suele favorecer a sus empleados con el uso de medios sociales.
La política de uso aceptable que estableció la compañía con carácter general prohíbe el uso de dispositivos sociales a menos que la función de trabajo lo requiera, señala Baitch. Para cumplir eso, Bobs Stores hace uso de la pasarela de seguridad de Websense llamada Tritón para bloquear el acceso de empleados a los medios sociales de Internet a través de los recursos de la red corporativa.
Baitch añade que la razón principal para bloquear el acceso de los empleados a los medios sociales, es que la compañía parece tener la responsabilidad legal de la conducta ilegal o irresponsable de cualquier empleado, si es que ocurriese, si el empleado estuviera utilizando la red de la empresa. Sin embargo, si un empleado, consciente de los límites de la política de medios sociales, hace algo malo con sus propios recursos de la red, el riesgo de responsabilidad civil caería sobre el empleado.
La preocupación por proteger los datos de los clientes de acuerdo con las directrices de Payment Card Industry también influyó en la decisión que tomó Bobs Stores de mantener a los empleados al margen de los medios sociales. La empresa está muy preocupada de que la seguridad de Websense pudiera ser violada; también se investiga el uso de las tecnologías de listas blancas para bloquear las computadoras corporativas.
Los medios sociales también son importantes en otras áreas, como los deportes, donde también hay riesgos.
"Los medios sociales son grandes, como Twitter y Facebook", señala Bill Bolt, vicepresidente de tecnología de la información para el equipo de los Phoenix Suns NBA. "Y ahora hay Google". Ahora la interacción con los fanáticos es una práctica común, así como tuitear noticias del equipo y publicar entrevistas en video con las estrellas, como Jared Dudley y Steve Nash, o la venta de boletos en línea a través de la interacción directa.
Sin embargo, cuando se programan partidos entre equipos rivales, las cosas pueden ponerse bastante salvajes entre los aficionados de todos lados. "Parte de esto cruza la línea", comenta Bolt, señalando que los Phoenix Suns tienen que dedicar recursos a la detección y eliminación de expresiones virulentas de odio virulento o de abuso verbal que viene a través de Facebook y otras fuentes.
Encontrar el equilibrio adecuado entre permitir o prohibir que los empleados utilicen medios sociales, ha sido un proceso evolutivo en los últimos años para muchas empresas.
En Summa Health Systems, proveedor de servicios de la salud con sede en Akron, Ohio, el ingeniero de sistemas de red, Mike Wade, señala que la administración ha visto por lo general que las redes sociales para los empleados son una "pérdida de tiempo" o una potencial fuente de "errores". Al principio, Summa intentó bloquearlos con un servidor de seguridad tradicional, que no siempre funcionó, ya que "la gente encontró una forma de evitarlo".
En la actualidad, el grupo de atención médica utiliza un firewall de próxima generación (NGFW) de Palo Alto Networks, con el establecimiento de controles de grano fino en el uso de aplicaciones sociales multimedia para cada empleado. La política ha evolucionado para permitir que recursos humanos, investigación y administración hagan uso de algunos medios sociales, aunque por el personal del hospital clínico, sitios como Facebook, MySpace y Twitter siguen estando fuera de los límites.
La sensibilidad a las directrices de privacidad de la regulación HIPAA juega un papel importante, ya que si toda la información acerca de los pacientes se publicara en los sitios de redes sociales, podrían representar un serio problema legal. Summa Health Systems está empezando a hacer uso de una función "Web DLP" en su NGFW de Palo Alto como una función de prevención de pérdida de datos para supervisar los datos salientes del paciente y bloquearlos. El hospital también está estudiando la implementación de DLP basado en escritorio por la misma razón.
Algunos consultores tienen dudas de que la tecnología sea la respuesta principal para prevenir que los empleados hagan cosas tontas o no en los medios sociales que perjudiquen a sus empresas o a ellos mismos.
Gary Loveland, líder principal nacional de PricewaterhouseCoopers, señala que la principal preocupación de las redes sociales es que la información podría ser compartida fuera de los sitios de las redes sociales cuando no debería serlo.
Pero solo la creación del equivalente a un bloqueo empresarial a los medios sociales es un enfoque "limitado" en el mejor de los casos, comenta Loveland, por la obvia razón de que alguien puede llegar a Facebook u otros sitios utilizando un dispositivo móvil personal o una red doméstica. La educación en seguridad de los empleados desde el día en que son contratados es necesaria para hacerles llegar el mensaje acerca de los riesgos que plantean los medios sociales, aun cuando las empresas controlan los sitios para ver lo que se dice acerca de la compañía. "Se trata de enfrentarse con la realidad en esto", indica Loveland.
Ellen Messmer, Network World (EE.UU.)