Redes sociales: zona libre con reglas estrictas

7 minutos de lectura

Las redes sociales nos acompañan en muchos aspectos: nos informamos, aprendemos, trabajamos, compartimos los buenos momentos de las vacaciones en familia o hacemos compras en línea.

Por: Ricardo Martínez, gerente de Negocios y Alianzas para Latinoamérica de SearchInform

Los especialistas en administración del tiempo nos recuerdan lo destructivas que pueden ser las redes sociales para nuestra productividad y que sin notarlo podemos perder en ellas varias horas al día. El uso desmedido de las redes amenaza con dañar la reputación personal, frenar el desarrollo laboral y hasta con perder dinero.

Para las empresas, además de la baja de productividad, se le suman otros problemas, fugas de información o comentarios imprudentes de los empleados que causan un daño severo a la imagen de la compañía.

Hoy, el límite entre lo personal y lo profesional es cada vez más borroso y esto, lamentablemente no siempre lo comprenden cabalmente los empleados.

Un caso que generó mucho ruido los últimos tiempos fue el despido de un empleado de una tienda minorista de Apple, que publicó comentarios negativos sobre las tiendas en la red social Facebook.

El tribunal laboral confirmó el despido ya la compañía tiene reglas muy estrictas y prohíbe expresamente a sus empleados la publicación de comentarios negativos en cualquier red social.

La corte entendió que publicar un comentario aparentemente privado en una página personal no garantiza la privacidad, dado que el comentario puede ser replicado por sus amigos virtuales y esto puede ser potencialmente dañino para la imagen de la compañía.

Amenazas de las redes sociales

¿Específicamente como pueden ser peligrosas las redes sociales para los usuarios y para las empresas?

  • Publicar en las redes sociales información confidencial y fotos. Estos incidentes aparecen con frecuencia en los medios de comunicación. Los usuarios publican en las redes la foto de sus pasaportes o de la tarjeta de embarque para compartir con sus amigos momentos de su viaje. En opinión del experto en seguridad informática Brian Krebs, la información contenida en los códigos de barras de la tarjeta de embarque puede ser accedida desde Internet.

La empresa se encuentra también en zona de riesgo debido a la imprudencia del personal.

El siguiente caso corresponde a uno de los clientes de SearchInform:

Dos profesionales debían trabajar durante los fines de semana. El lunes, el experto en seguridad descubrió que en una foto publicada en la página personal e unos de los empleados, se veía de fondo un área restringida con parte del montaje de un desarrollo secreto en Facebook.

Los empleados inocentemente se fotografiaron con este de fondo y publicaron la imagen en la red social.

La fotografía fue eliminada rápidamente, pero en caso que la foto hubiera sido vista por el cliente que contrató el desarrollo, con toda seguridad, hubiera cancelado el contrato y la empresa habría perdido más de cuatro millones de dólares estadounidenses.

  • Fraude, técnicas de ingeniería social, ataques de phishing. En general, esta modalidad se refiere al robo de datos personales, sustracción de fondos de las cuentas bancarias, violación de cuentas de correo o acceso a las redes de los amigos y familiares.

Muy a menudo los datos recopilados se utilizan para atacar después para sobornar o presionar a las empresas.

Con la publicación de información sobre el lugar de trabajo y sus colegas, los empleados no llegan a comprender que ayudan a los estafadores a recopilar un dossier profesional.

Según los expertos del Anti-Phishing Working Group (APWG), aquellas empresas con aproximadamente diez mil empleados gastan 3.7 millones de dólares estadounidenses al año para eliminar las consecuencias de los ataques de phishing.

Un ejemplo muy común el del gerente que estando de viaje de negocios, le solicita con urgencia a su colaborador que le envíe través de las redes sociales o de mensajería instantánea algún tipo de información confidencial.

El empleado cumpliendo con su jefe, envía los datos obviando la política de seguridad interna que restringe y prohíbe específicamente el envío de información a través de mensajería instantánea.

Es importante que los especialistas en seguridad de la información cuenten con herramientas especiales como los sistemas DLP, SIEM y otros.

Un sistema DLP de última generación permite realizar el análisis retrospectivo de los eventos muy fácilmente. De esta manera es posible determinar fehacientemente por que el empleado envió los datos y aunque no lo libere de la responsabilidad puede justificar que no actuó de mala fe.

  • Errores en el envío de mensajes. Es muy común que debido a las múltiples tareas que realizamos en paralelo durante el día enviemos mails a direcciones equivocadas, mensajes, documentos, capturas de pantalla, esto además de ser desagradable también tiene consecuencias más muy serias.

Por ejemplo, con frecuencia así se entera mucha gente de los salarios de los colegas o los datos sensibles de los clientes se distribuyen en múltiples destinatarios.

Para evitar estas situaciones existen mecanismos especiales como el bloqueo de determinados envíos.

Los documentos secretos se señalan con marcadores especiales que prohíben su envío algunos destinos.

Para estos casos el correo no sale y entra en cuarentena y sin verificación del departamento de seguridad no será enviado.

  • Publicaciones inapropiadas en las redes. La mayoría de la gente considera que su página personal es privada y puede expresar en ella absolutamente cualquier cosa que se le ocurra. Sin embargo, incidentes de alto perfil continúan sucediendo.

La gente considera que sus cuentas personales son un espacio privado en el cual se comparten opiniones en especial con los amigos.

A las empresas sólo les queda reglamentar las acciones del personal relacionadas con el uso de la red para evitar daños a su imagen y prevenir que los empleados hagan publicaciones imprudentes.

Una opción es la creación de las “Normas internas para el uso responsable de las redes sociales”, (Social Media Policies), las cuales grandes empresas como Hewlett-Packard, Best Buy, Adidas o Los Angeles Times han adoptado.

No obstante, el cumplimiento de cualquier reglamento se debe verificar y por eso los especialistas en seguridad informática deben tener herramientas modernas de análisis de flujos de información y de aviso sobre incidentes.   

  • Fuga de datos de las empresas. En este caso hablamos de acciones deliberadas de los empleados y en especial de la “entrega” de información confidencial.

Puesto que las redes sociales son un canal habitual para la transmisión de datos, así como el correo electrónico, hacemos referencia al caso del antiguo empleado del Consejo para la Seguridad Nacional de Estados Unidos Jofi Joseph, quien tenía una cuenta de Twitter con el nombre de @NatSecWonk, donde criticaba duramente a sus jefes y difundía información secreta.

En una año y medio Jofi Joseph alcanzó a publicar cerca de dos mil mensajes, después de lo cual fue descubierto por la Sección de Seguridad del Departamento de Estado.

¿Cómo protegerse?

Para que las redes sociales no se conviertan en una trampa peligrosa para la gente o las empresas es aconsejable que la gerencia de recursos humanos se involucre y tome acciones de prevención.

  • Reglamentar el uso de las redes sociales. Concientizar a los empleados que el comportamiento prudente en las redes sociales es la norma.

La permisividad conlleva el riesgo de perder el empleo y pone a la empresa en riesgo de perder la reputación.

Otra opción es hacer que la cuenta sea anónima sin indicar el lugar de trabajo, aunque para las personas públicas y la gerencia esto es en extremo complicado.

En tal caso ayuda la adopción de “Reglas para el uso de las redes sociales”.

  • Recomendar abrir una cuenta aparte si las redes sociales son necesarias para los asuntos laborales.

Cuando en la empresa está instalado el sistema para la prevención de fugas de información DLP, este automáticamente supervisa todas las acciones realizadas por el usuario en su computador personal, guardando el historial de correspondencia sin distinción de cuentas personales o corporativas que existan en las redes sociales.

De tal forma el empleador puede dar protección a la confidencialidad comercial.

Los empleados deben ser notificados de las medidas de seguridad informática para que puedan conservar la privacidad de su correspondencia y no la realicen en los equipos del empleador.

  • Realizar capacitaciones. A la gente no le importa compartir en las redes los datos del pasaporte, direcciones, teléfonos y otra información confidencial. “¿Eso a quién le interesa? Estoy a salvo.” Piensa el usuario crédulo y con frecuencia reconoce su equivocación cuando descubre la sustracción de fondos por el uso de la tarjeta bancaria por parte de desconocidos.

Alguien que persigue recibir muchos “Me Gusta” añade noticias frescas y algún comentario con su propia interpretación y no necesariamente acorde con los lineamientos de comunicación de la empresa. Estas acciones imprudentes amenazan a la empresa y a los empleados con serios problemas.

También es un problema que las redes sociales no se preocupen mucho por los datos específicos que publican los usuarios y no lleven a cabo campañas informativas al respecto.

Por eso siempre es mejor que la empresa se haga cargo y que regularmente realice eventos de capacitación en seguridad informática para el personal.

  • Recomendar a los empleados “fortificar” las cuentas con claves complicadas. Este puede considerarse un consejo clásico como aquella recomendación de no usar una sola clave para todas las cuentas. No obstante, hasta ahora esto es ignorado por una gran cantidad de empleados.
  • Proteger los datos con el sistema DLP. Prevenir todos los posibles riesgos y protegerse del factor humano no es posible. Sin embargo, se puede recurrir a la utilización de recursos técnicos modernos como un sistema DLP que ofrece protección a la confidencialidad de la información, lo que significa que protegen de graves pérdidas económicas o de reputación, no sólo a la empresa sino también a sus empleados.

Las redes sociales e Internet, en general, no pueden llamarse espacios seguros, pero aparentemente esta verdad tan obvia debe ser aprendida otra vez con la aparición de nuevas amenazas.

Pin It on Pinterest

Shares
Share This