Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo para la información, las...

8/7/2019 Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo para la información, las redes y reputación de la Organización? | PwC Venezuela

http://slidepdf.com/reader/full/las-redes-sociales-en-los-negocios-realmente-representan-un-riesgo-para 1/12

Boletín de Consultoría GerencialLas Redes Sociales en los Negocios:¿Realmente representan un riesgo para la información,las redes y reputación de la Organización?

Boletín DigitalNo. 3 - 2011

www.pwc.com/ve

Espiñeira, Sheldon y Asociados

Inicio



Páginasiguiente

PáginaanteriorCerrar ImprimirContenido

Contenido

Haga click en los enlaces para navegar a través del documento

Boletín Consultoría Gerencial - No. 3 - 2011

4Introducción

4

Aprovechar al máximo el capital humano conectado4¿Por qué las redes sociales pueden ser peligrosas para las redes corporativas?

4¿Cómo las empresas pueden balancear la seguridad con las redes sociales?

4Políticas y procedimientos para el éxito de las redes sociales

4¿Por qué la tecnología es esencial para

una estrategia de seguridad efectiva?

4 Conclusión

4 Créditos / Suscribirse

http://prevpage/

http://print/

http://close/



Boletín de Consultoría GerencialLas Redes Sociales en los Negocios: ¿Realmente representan un riesgopara la inormación, las redes y reputación de la Organización?

No. 3 - 2011Página

siguientePáginaanteriorCerrar ImprimirContenido

Introducción

Hoy en día, el uso de las redes sociales es tanrutinario como enviar un correo electrónico. Los

empleados intercambian inormación enFacebook y Twitter, ingresan sus opiniones en“blogs” y suben otos en sitios web paracompartirlas.

Pero ¿Qué signica esto para lasorganizaciones? ¿Cómo les aecta estatendencia, donde la línea entre la vida personaly empresarial es cada vez más diusa?

Está claro que las organizaciones no pueden

mantenerse al margen de las redes sociales y según su naturaleza, solo pueden optar pordecidir entre tener una participación muy activao estrictamente presencial.Lo que es común, independientemente de sunivel de participación, es la necesidad deestablecer un plan de comunicación proactivo y persuasivo, con el n de educar a su comunidadde usuarios y relacionados sobre el usoprudente de las redes sociales y en general de

toda esta tendencia denominada Web 2.0.

Las organizaciones deben apoyar el plan decomunicaciones con lineamientos que

aprovechen este canal y mitiguen los riesgos delas redes sociales. Las redes sociales comoMySpace y Facebook, los servicios de“microblogging” como Twitter, blogs, wikis y losservicios para compartir otos y video, seencuentran entre los sitios de mayor crecimientoen la web. De hecho, las redes sociales ya sonmás populares que el correo electrónicopersonal y son los sitios más visitados en lainternet.

Esta gran popularidad hace de las redes socialesuna amenaza muy real para la seguridad de lainormación. Sin embargo, los riesgos no selimitan al intercambio de datos por losempleados. Nuevos tipos de ataque utilizan lasredes sociales para identicar objetivos, ingresaren redes corporativas, distribuir códigomalicioso, explotar las relaciones personalescomo una estrategia de Ingeniería Social, robarpropiedad intelectual y dañar la reputación de

las organizaciones.

Además de ltrar inormación condencial, losusuarios de las redes sociales pueden

distorsionar inormación sobre la organización osus empleados, aectando sus relacionespúblicas.

Muchas organizaciones no están preparadaspara enrentar retos tales como proteger losdatos críticos, mitigar la uga de inormación y controlar la propiedad intelectual. En estesentido las organizaciones deben adoptar unadoble estrategia, donde el ocial de seguridadde la inormación (CISO) y las áreas de gestión

de comunicación corporativa unan esuerzospara identicar oportunamente, contener elimpacto y responder ecazmente a la amenaza.

Con los controles de seguridad apropiados, lasredes sociales pueden ser un poderosohabilitador en la comunicación y potenciarcambios que apalanquen el crecimiento de lasempresas.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


Aprovechar al máximo el capitalhumano conectado

Las empresas están adoptando las redes sociales

para cultivar una cultura interna decolaboración. Además, es ácil ver cómo estefujo altamente económico de inormaciónpuede aumentar la productividad y autonomíadel capital humano obteniendo conocimientorelevante, actualizado y personalizado a sualcance. Fuera de la organización, las redes socialespueden ayudar para llegar hasta potencialesclientes, mejorar su experiencia del cliente connuestros productos y servicios y gestionar supercepción sobre nuestra marca.

Muchas empresas hoy en día usan sitios como

Twitter y Facebook, por ejemplo, para compartiry conversar sobre sus productos y servicios. Lasempresas pueden promover nuevos productoso, si su reputación se ve amenazada, puedenhacer uso de las redes sociales para mover ladiscusión en la dirección correcta. Las empresas también se aprovechan de lasvoces de los clientes en línea para crear unacampaña publicitaria más eectiva. Marcasexitosas aprovechan la experiencia de losclientes como parte integral de la campaña y ciclo de vida de un producto, mientras otrasconvierten estos medios en canalizadores de lasdemandas de sus clientes, reorzando sulealtad.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


¿Por qué las redes socialespueden ser peligrosas para lasredes corporativas?

Dado que la adopción de las redes sociales creceexponencialmente, los CISOs han comenzado aentender que deben cambiar la orma de protegersus redes y datos sensibles. Como hemoscomentado, los empleados pueden, accidental ointencionalmente, ltrar inormación críticahacia las redes sociales. Y los cibercriminalesambiciosos pueden acceder a datos sensibles alinteractuar o incorporar código malicioso que seconecta a las plataormas Web 2.0, como

Facebook y Twitter. Estas amenazas son instigadas por la propianaturaleza de las redes sociales, que se basa enuna arquitectura web fexible que permite laparticipación y creación de contenidos y serviciosapalancados en estas plataormas. A esto se sumala ingenuidad del usuario, su imprudencia y desconocimiento de los riesgos, que hanconvertido en alarma común la aparición decódigos maliciosos en sitios de redes sociales.

Su eectividad radica en la remisión de mensajesatractivos, particularmente con temasestacionales (navidad, día de los enamorados,entre otros), que parecen provenir de amigos deconanza. Mensajes como “Te ves impresionanteen esta nueva oto” direcciona a usuariosdesprevenidos a sitios que emplean esquemas de“phishing” o códigos maliciosos para obtenerinormación personal que es condencial.

Otro error común es la utilización de estosmedios para el intercambio de inormación detrabajo. Los usuarios, en desconocimiento de lainraestructura, consideran “privado” unintercambio de inormación que nalmentequeda al alcance de terceros; también mantienenniveles muy bajos de control sobre suscontraseñas y los lugares que emplean paraacceder a los sitios web, permitiendoeventualmente que un tercero acceda a suinormación o actúe en su nombre.

Otra amenaza, proviene de comentarios deempleados o público, que puede causar dañosgraves a la reputación cuando la opinión seconvierte en negativa o alsa. Gracias al fujoinstantáneo de inormación y opiniones, unpequeño incidente en las relaciones públicaspuede convertirse rápidamente en algodesastroso, ya que rebota entre los clientes y relacionados. Estos comentarios maliciosospueden ser muy diíciles de quitar o de

manejarlos eectivamente.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


¿Por qué las redes socialespueden ser peligrosas para lasredes corporativas? (cont.)

Mientras tanto, la propiedad legal de lainormación en los sitios de ‘social media’ siguesiendo un territorio desconocido. El contenidocreado en una red social puede ser propiedad dela red, sin embargo, si los datos son publicadosusando equipos corporativos (una computadorapersonal o un teléono inteligente), laorganización podría ser legalmente responsablede este contenido. En el caso de disputas legales,las organizaciones podrían estar obligadas a

divulgar la inormación publicada en los sitios deredes sociales.

¿Cómo las empresas puedenbalancear la seguridad con lasredes sociales?

Hay que ser realistas: Detener el fujobidireccional de inormación imponiendorestricciones a nuestro personal y relacionadoses un esuerzo ineectivo. La mejor manera decontrolar y tener conocimiento temprano de loque acontece sobre nuestro negocio en las redessociales es estando en ellas, lo cual nos permitedenir y controlar el cumplimiento de lasnormas.

La estrategia debe ser doble: Se debenestablecer políticas y procedimientos queregulen el uso de las redes sociales einormación corporativa, y que se haga uso de latecnología para ayudar a proteger la seguridad eintegridad de los datos y la red corporativa. Esteenoque de varias capas requiere que el negocioy la tecnología se unan y se comprometanplenamente a la iniciativa. Los dos debenanalizar el contenido y las políticas en detalle,

así como determinar la combinación adecuadade tecnologías disponible en la empresa paramonitorizar, clasicar y administrar los datos.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


Políticas y procedimientos parael éxito de las redes sociales

Como con cualquier implementación de una

política, el primer paso relacionado a las redessociales es ormar una estrategia de negocio queincluya la adopción de un plan a largo plazopara políticas, procedimientos y soluciones. Es esencial que el negocio realice unaclasicación de su inormación con el n que losempleados conozcan precisamente lo que es y no es inormación sensible. Este procesotambién debe denir quién está autorizado aacceder y compartir contenido empresarial, y sedeben establecer los procedimientos donde sedenan cómo los empleados pueden utilizar losdatos sensibles. Como parte de la clasicaciónde la inormación, la organización también debeestablecer una política de retención de datospara la inormación creada en las redes sociales.

Es común el uso de la clasicación de la

inormación, sin embargo muchasorganizaciones no lo hacen. Como reerencia deello, el resultado de la encuesta realizada porPwC en el 2010 “Global State o InormationSecurity Survey” arrojó que el veintidós (22%)por ciento de las compañías globales noclasican sus datos y activos de inormación.

La política también tiene que delimitar los tiposde cuentas de redes sociales que la organizaciónpatrocina. Por ejemplo, la organización debeadoptar medidas para que los empleadoscomprendan la dierencia entre una cuenta deTwitter o Facebook patrocinada por laorganización y las cuentas individuales.

El negocio debe especicar claramente quién es

responsable de determinados tipos decomunicaciones; estas unciones operacionalessuelen caer en el departamentos de mercadeo y servicio al cliente. La empresa también debeestablecer supervisión gerencial para las redessociales, y la designación de un comité de mediosresponsable de diseñar y velar por elcumplimiento de las políticas y procedimientosrelacionados. En el desarrollo de las unciones y políticas, elnegocio debe incluir una estrategia para laseparación de las unciones de los empleados conel n de mantener la propiedad intelectual y lasidentidades sociales. Por ejemplo, si se asigna unempleado para supervisar las actualizaciones deTwitter para el servicio al cliente de las quejas y oportunidades, el empleado debe conocer que laorganización es dueña de esta identidad en líneay que debe renunciar a ella en caso una potencialterminación de relaciones con la organización.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


Políticas y procedimientos para eléxito de las redes sociales (cont.)

Proteger la marca: Independientemente de las

decisiones sobre la participación en redessociales, las empresas deben iniciar un procesode protección de sus marcas, registrando y monitoreando el uso que sobre las mismas seestén realizando en las redes sociales. Enprimera instancia, deben crearse o registrarseen cada una de estas plataormas las cuentas ogrupos que puedan utilizarse en el uturo oasociarse con la organización y sus marcas.

En caso de identicar perles ya creados, iniciarlos procesos de reclamo pertinentes. Luegoactivar estrategias de monitoreo, apalancadasen el uso de motores de búsquedas y portales deanálisis del uso de Internet. Finalmenteestablecer una estrategia de canalización de lainormación que resulte de contactos realizadospor las redes sociales o menciones a la marcahacia las estructuras internas designadas parasu análisis.

Ninguna estrategia esta completa sin un Plan de

Remediación. La organización debe saber cómomanejar un daño reputacional y responder a loscomentarios críticos en línea, en caso deocurrir. Las redes sociales pueden crearrumores inmediatamente, así como publicidadnegativa, por lo que la estrategia debe incluirmétodos para evaluar la situación rápidamente,y actuar de manera adecuada y ecazmente. El establecimiento de estas políticas es sólo elcomienzo; el verdadero trabajo está en laormación al personal. El Negocio debeinormar sobre sus políticas y los riesgos de losmedios de comunicación social. Se trata de unainiciativa en curso que requiere un compromisocontinuo.

La organización debe decidir si los empleados

pueden acceder a sitios de redes sociales desdelos dispositivos de la organización (incluyendolos teléonos móviles). Es una práctica usual elrestringir el acceso a estos sitios por su impactoen el consumo de recursos técnicos y distraccióndel personal en horario laboral. A estas razones,deben sumarse la responsabilidad que lasorganizaciones pueden adquirir por lasactividades que su personal realice utilizandorecursos suministrados. Es importante hacerénasis que este tipo de restricciones debenacompañadas de políticas, y que deben serconsistentes entre sí, ya que puede parecerincoherente promocionar nuestra organizaciónen las redes sociales y a su vez restringir su uso.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


Políticas y procedimientos para eléxito de las redes sociales (cont.)

Las organizaciones deben educar a losempleados sobre la necesidad de proteger lapropiedad intelectual y la inormación sensibleasimismo, deben dar a conocer lasconsecuencias de su cumplimiento. El personaldebe estar en conocimiento de la existencia deun marco legal que trasciende a la organizacióne incluso al país, y las consecuencias de violar laprivacidad, condencialidad del cliente y lapropiedad intelectual de la empresa y terceros.

Los límites del uso adecuado de los medios decomunicación social presentan una ranja grisentre el trabajo y la vida privada. La política nodebe ser ambigua: El personal debe estarconsciente que, si se identican como unempleado de la organización, ellos puedenparecer actuar en nombre de la organización y todas sus actividades “on line” pasan a ormarparte de la discusión pública, representando unimpacto potencialmente perjudicial para el

negocio.

¿Por qué la tecnología esesencial para una estrategia deseguridad efectiva?

La adopción de políticas y procedimientos norepresenta por sí sola una estrategia eectiva.A tal n, la organización debe utilizar solucionesde seguridad que analicen el tráco de la red, enbusca de códigos maliciosos, uga de datos y otras actividades sospechosas. A esto debensumarse herramientas de monitoreo del uso deinternet, búsqueda y análisis de menciones en lared y seguimiento del uso de los recursossuministrados al personal.

Las posibles estrategias incluyen laimplementación de varias capas de seguridad enla puerta de enlace y puntos nales, clasicaciónde contenido, ltrado de contenido, y prevención de pérdida de datos. Sin embargo, laidenticación de la combinación adecuada deestas herramientas de seguridad puede ser ungran desaío debido a que la tecnología Web 2.0es nueva y se encuentra en constante evolución.

Es importante considerar para una seguridadeectiva en las redes sociales, la utilización demétodos descentralizados y centralizados deseguridad, considerando la protección tanto dela organización como de su personal. Las soluciones de administración de identidad y acceso son esenciales para ayudar a detener elacceso no autorizado realizado por “hackers”.En este tipo de ataque es cada vez más popular,

un hacker obtiene los nombres de usuario y contraseñas a través de estaas en las redessociales. El uso de los controles robustos deadministración de identidad, acceso y autenticación multiactorial ayudará a lasorganizaciones a mitigar esta amenaza.

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


¿Por qué la tecnología esesencial para una estrategia deseguridad efectiva? (cont.)

A nivel de los usuarios nales, lasorganizaciones deben ampliar su control sobreel uso de las estaciones de trabajo. Restringir lainstalación de sotware no autorizado,establecer y propagar políticas de navegaciónque limiten la activación de código JavaScript,controlar el acceso a sitios declarados como“poco conables” y proteger al usuario móvil delas amenazas típicas de enlaces abiertos(hotspots) y robo.

Por último, los dispositivos móviles, incluyendoteléonos inteligentes ejecutan aplicaciones deWeb 2.0 y pueden llegar a ser la próximarontera para los atacantes. Cualquier estrategiade seguridad debe proteger la integridad deldispositivo y los datos sensibles que seencuentren almacenados en él.

Existen múltiples opciones para llevar controlsobre el uso inapropiado de los dispositivos

móviles, canalizar su bloqueo y borrado remotoy proteger la inormación contenida en ellos. Lasorganizaciones deben asumir que cadadispositivo móvil es una extensión de suplataorma de TI, y que los mismos seencuentran expuestos a condicionesparticularmente riesgosas

http://prevpage/

http://print/

http://close/




No. 3 - 2011Página


Conclusión

Las redes sociales pueden brindar ventajascompetitivas a las empresas, incluyendo el

intercambio en tiempo real de inormación y análisis, una mejor colaboración y una relaciónmás estrecha con sus clientes. También hace quelos empleados se sientan valorados, conectadosy que orman parte importante de la comunidadempresarial. Sin embargo, los riesgos están presentes y no soncomo para ignorarlos. Ataques de red, uga y robo de inormación, daño a la reputación, y problemas de cumplimiento regulatorios son

riesgos que una organización debe abordar antesde entrar a las redes sociales o permitir el accesototal a los sitios sociales a través de su red.

Las organizaciones deben considerar acercarsea las redes sociales con una planicación que

considere sus riesgos y las estrategias de corto y mediano plazo. Las actividades, los riesgos y lastecnologías asociadas con las redes sociales sonemergentes y están en constante evolución. Poresta razón, es esencial que la organizaciónutilice una estrategia de ciclo de vida que puedesatisacer las necesidades actuales y adaptarserápidamente a los cambios de las redes sociales. Una seguridad ecaz en el uso de las redessociales requiere una doble estrategia que

usiona la educación y el cambio decomportamiento de los empleados con laimplementación de un ecosistema de tecnologíarobusto que monitoree constantemente losriesgos. Este enoque exige experiencia encambios de comportamiento y conocimientoproundo de clasicación de la inormación,aplicaciones Web y seguridad empresarial.

Este tipo de iniciativa debe realizarse con laayuda de un equipo de especialistas en redes

sociales y seguridad empresarial. Las redessociales consisten más que seguir elconocimiento que a las personas. Una gestióneectiva de estos canales requiere que lasorganizaciones lideren el conocimiento, no quelo sigan.

http://prevpage/

http://print/

http://close/



Páginasiguiente

PáginaanteriorCerrar ImprimirContenido

Créditos

© 2011 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija “PricewaterhouseCoopers” puede reerirse a la

red de frmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada frma miembro es una entidad separada e independiente y Espiñeira,

Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus frmas miembro ni podrá ejercer control sobre su juicio proesional ni tampoco podrá comprometerlas de manera alguna. Ninguna frmamiembro será responsable por los actos u omisiones de cualquier otra frma miembro ni podrá ejercer control sobre el juicio proesional de otra frma miembro ni tampoco podrá comprometer de manera alguna a otra frma

miembro o a PwCIL. R.I.F.: J-00029977-3

Editado por Espiñeira, Sheldon y AsociadosDepósito Legal pp 1999-03CS141

Teléono master: (58-212) 700 6666

El presente Boletín es publicado por la Línea de Servicios deConsultoría Gerencial (Advisory) de Espiñeira, Sheldon y Asociados, Firma miembro de PwC.

El presente boletín es de carácter inormativo y no expresa opiniónde la Firma. Si bien se han tomado todas las precauciones del caso enla preparación de este material, Espiñeira, Sheldon y Asociados noasume ninguna responsabilidad por errores u omisiones; tampocoasume ninguna responsabilidad por daños y perjuicios resultantesdel uso de la inormación contenida en el presente documento. Lasmarcas mencionadas son propiedad de sus respectivos dueños. PwCniega cualquier derecho sobre estas marcas

No. 3 - 2011

Síganos enPara suscribirse al Boletín

Consultoría Gerencial

mailto:[email protected]

http://twitter.com/pwc_venezuela

http://www.facebook.com/pwcVenezuela

http://linkedin.com/company/pwc-venezuela

mailto:[email protected]

http://prevpage/

http://print/

http://close/

Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo para la información, las...

Documents

Transcript of Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo para la información, las...