Post on 17-Jul-2015
www.isaca.orgPág.1
Sesión # 224
Redes Sociales y Web 2.0 Ventajas y Riesgos en su Uso al Interior de
las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio Asesoría México y Centroamérica
2009 Costa Rica
www.isaca.orgPág.2
Agenda
• Objetivo • ¿Qué es Web 2.0? • El fenómeno de las redes sociales • ¿Qué puede hacer un individuo? • ¿Dónde están los riesgos? • ¿Cómo controlarlos? • ¿Qué sigue? • Conclusiones
www.isaca.orgPág.3
Objetivo
• Comprender el concepto de Web 2.0. • Entender la transformación que están
generando las redes sociales. • Identificar usos prácticos al interior de las
organizaciones. • Conocer riesgos y sugerencias de
controles.
www.isaca.orgPág.4
¿Qué es Web 2.0?
• Concepto… ¿Nuevo? • Web 2.0 = Medios sociales • El desarrollo de contenidos cae en manos
de los usuarios. • Los mismos usuarios califican o
descalifican los contenidos presentados. • Representa el modelo de la red de Reed. • ¿Cómo ha pasado?
www.isaca.orgPág.5
¿Qué es Web 2.0? Los patrones económicos predicen un cambio
Era Mainframe
Era Cliente Servidor
Era Internet 1.0
200019901980
www.isaca.orgPág.6
¿Qué es Web 2.0? Navegando en 2009
www.isaca.orgPág.7
¿Qué es Web 2.0? Web 1.0
Propietario del Sitio
Visitante Visitante Visitante
Sitio
www.isaca.orgPág.8
¿Qué es Web 2.0? Web 2.0
TÚ
AMIGOS
DISPOSITIVOSBLOGS
FOTOS VIDEOS
ETIQUETAS
COMENTARIOSGRUPOS
www.isaca.orgPág.9
¿Qué es Web 2.0? Web 2.0
Web 2.0Tagging
RSSSocial
Mashup
AJAX
XMLBlog
Podcast Videocast
Wiki
Experience
CollaborateUser-centric
Open
Distributed
Client-side
Web-services
www.isaca.orgPág.10
¿Qué es Web 2.0? El Paisaje Web 2.0
www.isaca.orgPág.11
El fenómeno de las redes sociales
• Celebridades del mundo usan redes sociales. • Organizaciones han comenzado a utilizarlas. • Principal uso = Marketing. • Algunas compañías han comenzado a dar usos
distintos: servicio a clientes o soporte. • Han probado utilidad en casos de emergencia. • ¿Qué es una red social?
www.isaca.orgPág.12
El fenómeno de las redes sociales¿Qué es una red social?
El uso de las redes sociales se ha acelerado
La popularidad ha crecido de forma importante
Fuente: Datamonitor
www.isaca.orgPág.13
El fenómeno de las redes sociales¿Qué es una red social?
• De acuerdo con Wikipedia (http://es.wikipedia.org/wiki/Red_social#cite_note-0): – “ Una red social es una estructura social que se puede representar en forma de uno o varios grafos en el cual los nodos representan individuos (a veces
denominados actores) y las aristas relaciones entre ellos. El aumento de las visitas de los internautas a las redes sociales ha reducido a la mitad las visitas a los sitios con contenido pornográfico, según los datos recogidos.1
– Estructura Social: “En sociología, la Estructura social es el concepto que describe la forma que adopta el sistema global de las relaciones entre individuos; introducido en la ciencia por el alemán Georg Simmel, a finales del siglo XIX y por Ferdinand Tönnies con 'comunidad íntima' y 'asociación impersonal', para explicar las relaciones sistemáticas que vinculan a miembros de una determinada comunidad aunque no se encuentren en ningún momento en contacto directo”.
www.isaca.orgPág.14
El fenómeno de las redes sociales¿Qué es una red social?
• Al concepto de Wikipedia agregaría que las redes sociales: – Dan voz y capacidad de opinión a los individuos. – Crean capacidad en los individuos para generar contenidos. – Otorgan el poder para dar popularidad a otros individuos o entidades. – Permiten a las organizaciones llegar a los individuos en escenarios diferentes y más favorecedores de una homologación de ofertas. – Ofrecen un canal en el que los comentarios y comportamientos se pueden oir, medir y registrar en el tiempo.
www.isaca.orgPág.15
¿Qué puede hacer una organización?
• Reconocer las tecnologías Web 2.0:
– Blogs. – Mashups. – Podcasting. – RSS.
Fuente: Forrester Research
www.isaca.orgPág.16
¿Qué puede hacer una organización?El caso Ernst & Young
www.isaca.orgPág.17
¿Qué puede hacer una organización?El caso Ernst & Young
www.isaca.orgPág.18
¿Qué puede hacer una organización?El caso Starbucks
www.isaca.orgPág.19
¿Qué puede hacer una organización?El caso McGraw Hill
www.isaca.orgPág.20
¿Qué puede hacer una organización?
► Nos guste o no, la revolución Empresa 2.0 ha iniciado.
► La crisis financiera ha definido nuevos mecanismos para relacionarse con los clientes.
► La tecnología está mucho más accesible y los límites se establecen únicamente por nuestra capacidad para innovar.
► Incremento de confianza y lealtas
► Incremento de la participación de mercado
► Contacto con clientes en cualquier momento y lugar
Beneficios Principales:
► Innovación basada en el cliente ► Retroalimentación transparente ► Marketing viral basado en el
cliente ► Adopción temprana ► Precios definidos tomando en
cuenta las consideraciones de los clientes.
Nuevas Interacciones:
Fuente: Ernst & Young
www.isaca.orgPág.21
¿Qué puede hacer una organización?Cómo Surge Empresa 2.0
• Estar “en línea” está comenzando a dejar de tener sentido porque cada vez hay menos gente “fuera de línea”.
• El mundo real tiende a estar “En-línea”.
• Así como la frontera entre el mundo real y el mundo “en línea” se hace gris, otras comienzan también a cambiar:
– Colega vs. Amigo vs. Pariente vs. Proveedor
– Accionista vs. Empleado – Tiempo de Trabajo vs. Tiempo
Personal – Oficina vs. Casa
• El concepto Empresa 2.0 reconoce estos cambios y construye los fundamentos de una nueva empresa
www.isaca.orgPág.22
¿Qué puede hacer una organización?Empresa 2.0 Vs. Web 2.0
• Web 2.0 constituye una forma moderna de compartir, distribuir, y buscar información en la Web.
• No todo es tecnología.
• En el mundo 2.0 la gente espera poder: – Compartir con transparencia – Dar y recibir información confiable – Participar y mejorar de forma
colaborativa – Crecer en comunidad – Intercambiar confianza
• Empresa 2.0 es la integración de Web 2.0 en el contexto corporativo con el desarrollo de políticas, seguridad y gobierno
Distribución y Autoría Colectiva
Administración de
Retroalimentación
Red de
Confianza
Empresa 2.0
Fuente: Ernst & Young
www.isaca.orgPág.23
¿Qué puede hacer una organización?La gente necesita contribuir
Uso de Wikis para crear contenido colectivamente (aquí Wikipedia)
Uso de Blogs para compartir puntos de vista personales (aquí Blogger)
www.isaca.orgPág.24
¿Qué puede hacer una organización?La gente quiere opinar
Retroalimentación abierta para maestros con políticas y reglas (aquí ratemyteachers.com disponible sólo para países como EU y Australia)
Sitios de crítica abierta en México: La Jaula para escuelas, alimentado por alumnos;
“Apestan” para criticar servicio a clientes de organizaciones diversas.
www.isaca.orgPág.25
¿Qué puede hacer una organización?La gente quiere desarrollar una red de confianza
Desarrollar una red profesional de confianza (aquí LinkedIn)
Una red de confianza puede ser de utilidad más allá de las fronteras (aquí EY Careers en FaceBook)
www.isaca.orgPág.26
¿Qué puede hacer una organización?¿Qué es finalmente Empresa 2.0?
• Usar la web como plataforma para desempeñarse mejor, trabajar más rápido y generar costos menores al habilitar nuevos canales.
• Incluye a empleados, socios, proveedores y clientes. • Colaboración, trabajo en equipo, participación, interacción transparente.
► Jerarquía ► Fricción ►Burocracia ► Inflexibilidad ► Tecnología dirigida por TI sin control de usuario ►De arriba a abajo (Top down) ►Centralizada ►Equipos en un edificio y zona horaria ►Silos y fronteras ►Necesidad de saber ►Sistemas de información estructurados ► Taxonomías ►Alta Complejidad ►Estándares propietarios cerrados ►Calendarizado ►Ciclos de venta muy largos ►Habilitado por productos y servicios ►Segmentación de clientes ►Basado en fases
►Organización lineal ► Flujo de organización simple ►Agilidad ► Flexibilidad ► Tecnología con control del usuario ►De abajo a arriba (Bottom up) ►Distribuida ►Equipos globales ► Fronteras borrosas ► Transparencia ►Sistemas de información emergentes ► Folksonomías ►Simple ►Abierto ►Bajo Demanda ►Ciclos de venta cortos ►Habilitado por gente, procesos y herramientas ► Innovación del Cliente ►Beta Permanente
Empresa 1.0 Empresa 2.0
Fuente: Ernst & Young
www.isaca.orgPág.27
¿Qué puede hacer una organización?Áreas de desarrollo para Empresa 2.0
Calificación
Votación/Ranking
Comentarios
WikiBlogsTagging
LinksBúsqueda
RSS
Podcast
Redes Sociales
SOA
Mashups
BPMBRE
PortalESB
Código Abierto
Equidad de Marca
Equipo Virtual
Lealtad de personal
Admón, de Talento
Creación de pool de clientes
…
Lealtad de Clientes
Convertir y Extender Ventas
Mejora de Marketing
InnovaciónClientes Segmentados
Generación de
oportunidad
Admón del desempeño y recompensas
Administrar activos
Reducción de Costos
Reducir tiempo de
salida a MKT
Crecimiento de Mercado
Exc
elen
cia
de
Per
sona
l
Incremento de
Ventas
Excelencia Operativa
Empresa 2.0
Multi-Canales /
Fuente: Ernst & Young
www.isaca.orgPág.28
¿Qué puede hacer una organización?Agilidad para cerrar el ciclo de la innovación
Conocimiento de mercado
Adm
inis
traci
ón d
e la
re
troal
imen
taci
ón
del m
erca
do
Dis
eño
e im
plan
taci
ón d
e P
rodu
ctos
y s
ervi
cios
Empresa 2.0 Objetivo: ►Anticipar necesidades de clientes
y salir a mercado rápido ►Conocimiento del mercado ►Retroalimentación del mercado ►Desarrollar una comunidd leal a
un producto o servicio ►Productos y servicios diseñados
por clientes y para clientes. Tecnologías: ►Redes sociales ►Blogs ►Wikis ►Tagging colaborativo, Rating,
Ranking y administración de la retroalimentación
►Contenidos para RSS y Podcasts ► “Mash-Ups”
Agilidad Objetivo: ► Implantar con un tiempo reducido
de salida a mercado ► Integrarse y aprovechar los
activos existentes (bajos costos, menores riesgos)
►Enfocarse en agregar valor
Tecnologías: ►Arquitecturas orientadas a
servicio (SOA) ►Aplicaciones compuestas
(composiciones) ►Administráción de procesos de
negocio (BPM) ►Motores de reglas de negocio
(BRE)
www.isaca.orgPág.29
¿Qué puede hacer una organización?Reduciendo el tiempo de salida a mercado
Movilizar Realizar
Peticiones de Mercado Formales
Estándar
Movilizar RealizarÁgil
Movilizar RealizarEmpresa 2.0
Movilizar RealizarEmpresa 2.0 ágil
www.isaca.orgPág.30
¿Qué puede hacer una organización?Ejemplos reales – Aerolínea 2.0
www.bluenity.com
www.metrotwin.com
www.GenFlyLounge.com
www.isaca.orgPág.31
¿Qué puede hacer una organización?Ejemplos reales – Banca de Menudeo 2.0
www.smartypig.com.au
www.ecureuil.fr
www.prosper.com
www.isaca.orgPág.32
¿Qué puede hacer una organización?Ejemplos reales – Consumo 2.0
www.gmnext.com
www.dellideastorm.com
www.mystarbucksidea.com
www.isaca.orgPág.33
¿Qué puede hacer una organización?Ejemplos reales – Medios 2.0
www.informationweek.com.mx
www.reforma.com
www.isaca.orgPág.34
¿Qué puede hacer una organización?Ejemplos reales – Gobierno 2.0
www.presidencia,gob.mx
www.whitehouse.gov
www.isaca.orgPág.35
¿Dónde están los riesgos?• Las herramientas del nuevo contexto social no quedan exentas de situaciones de riesgo. • Los riesgos a los que se expongan variarán en función del modelo que sigan, los procesos que habiliten y de la infraestructura que las
soporte. • Es altamente recomendable que se ejecute un análisis de riesgos específico. • Una vez realizado lo anterior deberá trabajarse en la definición de controles correspondientes.
www.isaca.orgPág.36
¿Dónde están los riesgos?Las amenazas se han incrementado
Redes Inalámbricas
Aplicaciones
Web
InvitadosKioskos de internet& computadoras compartidas
Consultores
IPsec VPNEmpleados
trabajando en casa
WANs& Extranets
SSL VPN
“Debido a los gusanos y otras amenazas, no puedes dejar tus redes abiertas a dispositivos y usuarios no autorizados.” Protect Your Network with a NAC Process, Gartner ID# G00124992
www.isaca.orgPág.37
¿Dónde están los riesgos?Riesgos y amenazas
Espionaje Industrial
Vándalos
Actos Maliciosos
Intentos por entrar a datos
Ganancia Financiera
Sabotaje
Desastres Naturales
Pérdida de confianza
Confidencialidad comprometida en datos sensibles
Operaciones críticas detenidas
Auditorías financieras fallidas
Beneficios y servicios interrumpidos
Integridad comprometida en datos y reportes
Pérdida de activos
Servidor de E-Business
Servidor de E-Mail
Servidor de Archivos
www.isaca.orgPág.38
• Servicios de beneficio mutuo en los que los usuarios pueden interactuar y explorar situaciones relacionadas con intereses similares. • Ejemplos: Todos los revisados anteriormente, por mencionar algunos están Facebook, Hi5, My Space y otros. • Posibles afectaciones por daños a la seguridad:
– Propiedad intelectual. – Privacidad. – Reputación.
¿Dónde están los riesgos?Implicaciones de seguridad de las redes sociales
www.isaca.orgPág.39
• Las redes sociales pretenden ser mutuamente benéficas. • La propiedad intelectual está en riesgo si inadvertidamente se coloca información confidencial al alcance de la competencia. • Ejemplo:
– Piense en un individuo que un miembro de alguna red social (objetivo) pueda conocer. – Dése de alta como ese individuo en la red social a la que el objetivo pertenezca. – Envíe una invitación al objetivo usando su identidad en la red social en la que ambos están registrados.
¿Dónde están los riesgos?Propiedad intelectual
www.isaca.orgPág.40
• La emoción y los beneficios de las recién emergidas redes sociales hacen que la gente comparta información personal sin pensarlo mucho. • Este problema se corregirá con el tiempo una vez que se comprenda que hacerlo es peor que salir a gritar datos confidenciales a la calle. • Ejemplos de elementos que favorecen el “análisis de comportamiento remoto” :
– Incremento desmesurado de “amigos” en las redes sociales. – Al buscar empleo la gente tiene a crear contactos nuevos sin conocerlos lo suficiente. – ¿Qué está etiquetando (Flickr)?, ¿Qué dicen de usted sus amigos (Facebook, My Space, Hi5)?, ¿Qué está haciendo ahora (Twitter)?
¿Dónde están los riesgos?Privacidad
www.isaca.orgPág.41
• Cualquiera puede ser “usted”. • Es difícil retractarse de algo que se ha dicho (prácticamente todo lo que se dice es almacenado en algún lugar). • Análisis subjetivo de personalidad. • Reconocimiento: Comprensión de su actividad a partir de un análisis de reconocimiento remoto.
¿Dónde están los riesgos?Reputación y reconocimiento
www.isaca.orgPág.42
• Analice cómo le conviene usar redes sociales. • Defina una estrategia formal y clara. • Realice un análisis de riesgos específico. • Clasifique la información de su organización. • Desarrolle un programa de concientización a usuarios, ejecutivos y personal.
¿Cómo controlarlos?Sentido común
www.isaca.orgPág.43
¿Cómo controlarlos?Recuerde el modelo de Seguridad en el CVDS*
* CVDS = Ciclo de Vida de Desarrollo de Sistemas
3 Realizar análisis de arquitectura de seguridad
4 Iniciar
entendimiento y modelado de
amenazas
2 Revisar
requerimientos de seguridad
1 Calcular Impacto
5 Revisar
seguridad en código fuente
6 Mejorar
modelado de amenazas
7 Realizar prueba de penetración
8 Monitorear
Requerimientos Diseño Desarrollo Pruebas Liberación
Verde a Rojo Incrementa Costo de Remediación
www.isaca.orgPág.44
Conclusiones
• Las redes sociales y el ambiente Web 2.0 en general representan un nuevo canal que puede ser explorado.
• Este nuevo canal representa oportunidades que pueden ofrecer una manera diferente de operar o hacer negocios.
• Las oportunidades son nuevas, los modelos también y los riesgos igual.
• Hay que identificar las verdaderas oportunidades y analizar los riesgos legítimos para definir acciones que faciliten su mitigación.
• No usar este nuevo canal dejará el campo libre para otros, incluida nuestra competencia ¿estamos dispuestos?
www.isaca.orgPág.45
2008 Santiago Chile
Preguntas
Redes Sociales y Web 2.0 Ventajas y Riesgos en su Uso al Interior de
las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP
Socio Asesoría México y Centroamérica Tel: +52-55-11016414
Tel (2): +52-55-52831326 carlos.chalico@mx.ey.com
http://www.linkedin.com/in/carloschalico
Sesión # 224
www.isaca.orgPág.46
Gracias, lo esperamos en…
Cancun, México Julio de 2010
Bogotá, Colombia
Marzo de 2010