En un post anterior hablamos sobre las repercusiones que puede tener el uso de las redes sociales para un usuario, sea cual sea el entorno en el que se encuentre. Pero hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse: el entorno corporativo.
Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros.
Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena. Sin embargo, hay determinados aspectos que dejan entrever que quizá antes de conceder acceso a redes sociales desde el interior de una organización, deben sopesarse los riesgos que ello comporta, entre los cuales figuran los siguientes:
Problemas derivados del licenciamiento y Condiciones del Servicio
Imaginemos que un empleado coloca por error en la Red información confidencial de la organización (de la que no es propietario). En este caso, se estarían compartiendo innumerables derechos con el proveedor del servicio. Frente a esta situación, los proveedores de servicio incluyen cláusulas con los límites y responsabilidades del usuario. Por ejemplo, Tuenti advierte en sus condiciones legales:
2. El uso de [la red social] es personal, y bajo ningún concepto podrás utilizarlo con fines económicos o comerciales sin nuestro previo consentimiento.
8. Cuando un usuario publica cualquier tipo de contenido, garantiza que tiene todos los derechos necesarios para publicar dicho contenido y licenciar a [la red social] para su uso en la red y que con ello no se vulnera ningún derecho relativo a la intimidad, el honor o la propia imagen de un tercero.
Fugas de Información
Por lo general, en una organización se suelen limitar los medios de conexión con el exterior, a fin de evitar que determinada información salga de las fronteras de la misma: se desactivan los puertos USB, se limita el acceso a las cuentas de correo personales, se controla el acceso a servicios de almacenamiento en la nube y un largo etcétera que pasa, para los más exigentes, por la Gestión de Derechos Digitales o DRM.
Sin embargo, una fuga interna de información puede venir motivada por un error o por un usuario desleal. Cuando se plantea el debate sobre abrir o no la conexión a redes sociales desde la organización, se debe evaluar el riesgo de fuga de información por este medio y sus posibles consecuencias.
Tras realizar esta evaluación, la organización puede acordar delimitar el uso de redes sociales a determinados usuarios, como medida para prevenir las fugas por error y evitar el robo de información por parte de un usuario malicioso.
Proveedor de servicios comprometido
En este caso, la pérdida de información se produce cuando el prestador de servicios (la red social) se ve comprometido. Cuando se realiza outsourcing, la responsabilidad de la organización con sus clientes no se delega, sigue en la organización, mientras que la seguridad sobre el elemento de la cadena de valor externalizado pasa a ser gestionada por el proveedor.
La cuestión es qué se le puede exigir al proveedor en relación a la seguridad de la información y en estos casos las garantías pasan por un "Hacemos todo lo posible para mantener a salvo tu información" (extraído de la política de uso de datos de Facebook).
Propagación de Malware
Los casos de código malicioso que infectan redes sociales han dejado de ser extraños. No hay más que teclear en cualquier buscador "[red social] virus" (sustituya [red social] por la que más le guste), para darse cuenta de la repercusión del software malicioso en las redes sociales. En un escenario en el que los miembros de la organización están interconectados a través de la red social y tienen acceso a la misma desde la organización, la situación es idónea para la propagación de malware.
Conclusiones
El acceso a redes sociales desde el entorno corporativo comporta una serie de riesgos para la organización. Las condiciones del servicio hacen al usuario responsable de qué se publica en el medio social, y en la organización el usuario puede tener a mano información confidencial, que pueda ser compartida por error o deliberadamente, no siendo el usuario propietario de la misma.
Si las redes sociales son un medio que puede aportar valor a la organización, ¿por qué no proporcionarlo desde el interior? El uso de redes sociales y cómo estas se ponen al alcance de los miembros de la organización es una decisión trascendente que debe tener en cuenta los riesgos a los que ésta se enfrenta, con el objetivo de que se puedan gestionar de la mejor forma posible.
Fuente: INTECO-CERT
No hay comentarios:
Publicar un comentario