Llegamos a ustedes gracias a:



Columnas de opinión

Acceso a redes sociales en el entorno corporativo. La decisión entre restringir o concientizar

Por: Ricardo Mateus, especialista en Seguridad de la Información de Global Crossing

[09/03/2011] Cuando se habla de una cifra de 500 millones de personas, bien se podría estar haciendo referencia al tercer país más poblado del mundo, el cual tendría incluso más habitantes que Estados Unidos y Canadá juntos. Sin embargo no se trata de un país o nación, o al menos no en el sentido estricto de un área geográfica delimitada. Pero si tenemos en cuenta que esta impresionante cifra corresponde al número de usuarios que alcanzó y superó hace ya varios meses la famosa red social Facebook, podríamos decir que estamos ante la nación virtual más grande del planeta. Ahora bien, el número indicado corresponde apenas a una sola red social (sí, aunque no lo crea aparte de Facebook existen otras). Se estima que si se suman los usuarios de todas las redes sociales disponibles actualmente, la cifra pronto llegará a los mil millones.

Ante un número de esa dimensión, seguramente una de las inquietudes que puede surgir es: ¿Cuál es el secreto de las redes sociales para que más del 10% de la población mundial sea parte de ellas?
La respuesta podría estar principalmente en que el fenómeno de las redes sociales ha significado un completo cambio en la manera en que nos comunicamos, compartimos información y nos mantenemos en contacto con los demás.
Si bien se han asociado usualmente al campo del entretenimiento y el esparcimiento, se ha demostrado la relevancia de las redes sociales como una valiosa herramienta para generar nuevos negocios. Este es un punto clave que las compañías han ido entendiendo, y cada vez más han encontrado a través de las redes sociales la forma de mantenerse en contacto con sus socios de negocios y sus clientes.
Pero el tema no para allí. Las redes sociales también han permeado el entorno corporativo, y de una manera tal que, de acuerdo a estudios que se han realizado, un gran porcentaje de los empleados accede a las redes sociales en el horario de trabajo.
Seguramente no hubiese sido necesario realizar un estudio para llegar a dicha conclusión. Si resulta innegable que las redes sociales se han vuelto parte de la vida de una gran cantidad de personas y que muchas de estas personas permanece la mayor parte del día en una oficina frente a una computadora con acceso a Internet, seguramente llegaríamos al mismo punto.
Este es un hecho que ha sido identificado por las compañías y muchas de ellas han expresado su preocupación principalmente por temas de productividad. ¿Pero es esta la única implicación relacionada con el acceso a las redes sociales en el entorno corporativo?
Lamentablemente no. Desde el punto de vista de la Seguridad de la Información el acceso a las redes sociales en el entorno corporativo representa varios riesgos. Entre ellos están:
* Fuga de datos: Usualmente los usuarios de las redes sociales comparten más información de la necesaria, ya sea de manera voluntaria o involuntaria.
* Robo de información: Las redes sociales contienen gran cantidad de información que está disponible libremente para millones de personas.
* Implicaciones legales: Es necesario estar al tanto de las implicaciones que puede tener para su compañía la información publicada por sus empleados en las redes sociales.
* Malware: Diversas aplicaciones de las redes sociales son punto de entrada de diferentes tipos de malware (en especial para robar información confidencial).
* Ingeniería Social: Los usuarios de las redes sociales son altamente propensos a ataques de ingeniería social. En especial empleados clave.
Teniendo en cuenta lo anterior, no en vano los expertos han incluido a las redes sociales en el top 10 de las amenazas a la seguridad de la información en la actualidad. Ante ese oscuro panorama ¿qué acciones se pueden tomar?
Ya sea por temas de productividad, por el conocimiento de los riesgos de seguridad que representan o simplemente porque si, en muchos casos las empresas han optado por negar completamente el acceso a las redes sociales. Pero realmente ¿es esta la solución?
En primer lugar, no podemos desconocer la importancia de las redes sociales. Aparte de los aspectos que se han mencionado, según los expertos dentro de algunos años los servicios de las redes sociales reemplazarán al correo electrónico como medio principal para las comunicaciones de un buen porcentaje de los usuarios corporativos. Esto no es una sorpresa teniendo en cuenta que la mensajería instantánea, a menudo a través de los sitios de las redes sociales, está restándole protagonismo al correo electrónico.
Por otro lado, está comprobado que si se lo proponen, los empleados harán uso de los servicios disponibles en Internet que deseen por más controles que estén implementados para bloquearlos. Para ilustrar el tema, van un par de sencillos ejemplos: ¿le pasó alguna vez que aunque se bloqueara el acceso a Messenger, había empleados que aún tenían acceso? ¿En su compañía existen algunos usuarios privilegiados que sin razón aparente tienen acceso a servicios de Internet que el resto no? Si contestó afirmativamente a alguna de las dos inquietudes (u otras similares que se esté planteando) sabe a qué me refiero.
Pero digamos que vivimos en un mundo perfecto donde los controles implementados en su compañía (ya sea de índole tecnológico o administrativo) funcionan adecuadamente. ¿Qué pasa cuando el usuario sale de su oficina y accede desde su teléfono inteligente a sitios de redes sociales, o lo hace desde su hogar con un equipo asignado por la compañía o propio? Los riesgos siguen estando latentes.
Entonces, si de acuerdo a lo anterior, restringir el acceso a las redes sociales no es la solución adecuada ¿qué opción tenemos?
Concientizar es la clave. Basta con remitirnos al concepto sobre concientización en seguridad de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés): La concientización sobre los riesgos y métodos de protección disponibles es la primera línea de defensa para la seguridad de la información de sistemas y redes.
Cabe anotar que la concientización se debe complementar con otros aspectos (controles, políticas, etc.), pero definitivamente si no hay concientización el resto de esfuerzos que se realicen al interior de la compañía para brindar protección a la información pueden resultar en vano.
Volviendo al tema de las redes sociales los siguientes pueden ser puntos a resaltar para empezar con un trabajo de concientización de usuarios en el entorno corporativo (sobre todo haga énfasis en aquellos empleados con acceso a información privilegiada):
* Sea prudente y cuidadoso con la información que publica. Limite la información que proporciona.
* Si usted no ha iniciado el contacto y no sabe con certeza quién está del otro lado, no proporcione información sensible sobre usted o la compañía para la que trabaja
* No publique información que no quisiera que cualquier persona viera o que no daría de forma personal. Recuerde que Internet es de acceso público.
* Sea cauteloso con las aplicaciones que decide instalar
* No use contraseñas que puedan ser adivinadas fácilmente.
Sobre las medidas que pueden complementar la labor de concientización en relación al acceso a las redes sociales, a continuación se encuentran algunas que pueden reforzar la posición de seguridad de su compañía:
* Publique una política corporativa donde se indique la postura de la compañía.
* Implemente soluciones tecnológicas que permitan controlar el acceso de forma adecuada.
* Lleve a cabo análisis de vulnerabilidades y pruebas de penetración donde se incluyan en lo posible técnicas de Ingeniería Social.
Como se ha dicho reiteradamente, cuando se habla de seguridad de la información las personas son el eslabón más débil de la cadena, así que nunca es tarde para emprender jornadas de concientización al interior de su compañía. Recuerde: La información es el activo más importante.
CIO, Perú

COMENTARIOS
sgutierr   jue, 07-jul-11

Realmente esta nota es por demás imprescindible , a los efectos de poder establecer una concientización y así también permitir decidir , sobre si es recomendable o no, la utilización de algunas de estas Redes Sociales en el ámbito laboral. Sin duda, la publicación de información, ya sea del tipo personal o de la organización, puede ser realizada desde cualquier lugar , por algún empleado de la Organización, pero restringiendo el acceso en horarios de trabajo, acota mas la posibilidad de que cualquier información que llega a sus manos, publica o privada, confidencial o no, sea publicada en ese instante. Puede ser un paliativo, pero si nos remitimos a pensar mas profundamente, es mucho mas productivo en el resultado final, realizar una utilización de las mismas en forma restrictiva que dejarla al libre albedrío de los Usuarios, ya que la tentación de poder entrar , según el grado de adicción que esta le cree a cada persona, puede resultar perjudicial para la Organización, tanto en términos de productividad, como en cuanto al alcance del objetivo de la misma, cotidianamente. Sergio Gutiérrez, Buenos Aires

hernande   jue, 10-mar-11

Este artículo me ha resultado muy interesante, de hecho, a nosotros se nos plantea el mismo dilema sobre qué hacer, ¿prohibir o permitir?. En un entorno de 15000 usuarios donde los conocimientos de buenas prácticas en seguridad de la información son de diverso nivel, concienciar a 15000 usuarios se antoja una tarea harto difícil. Cada caso es un mundo aparte y, aunque es evidente que no se podrá detener a una persona que quiere divulgar un documento confidencial al que tiene acceso, se puede haber sido diligente o no haberlo sido. Si se habilitan las redes sociales para todos los integrantes de una organización con la magnitud comentada, la probabilidad de que alguien por error acabe colocando algo que no debe en una red social se incrementan. No se puede poner la alfombra roja y dar carta libre basándose en la concienciación porque los errores existen y se facilitan los actos intencionados. Si se consideran las redes sociales una herramienta que a nivel corporativo pueda aportar algún beneficio debe tratarse como un proyecto en toda su dimensión y pensar en la opción y posibilidades de tenerlo en un entorno controlado según el caso. Miguel Ángel Hernández http://www.miguelangelhernandez.es


Leer más comentarios | Realizar un comentario