votar
Este post apareció primero en el blog de Inteco

O sobre porqué poner las redes sociales a disposición de los integrantes de la organización puede no ser una buena idea

En un post anterior hablamos sobre las repercusiones que puede tener el uso de las redes sociales para un usuario sea cual sea el entorno en el que se encuentre. Pero hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse; el entorno corporativo.

Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros.

Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena, sin embargo, hay determinados aspectos que dejan entrever que quizá el dar acceso a las redes sociales desde la organización no es la mejor idea. Antes de conceder acceso a redes sociales desde el interior de una organización deben sopesarse los siguientes riesgos:

Problemas derivados del licenciamiento y Condiciones del Servicio

Ya vimos las condiciones de uso de este tipo de servicios y sus repercusiones en relación al contenido del usuario en un post anterior. Pero en el entorno organizacional, las consecuencias se agravan aún más dado que el usuario puede estar introduciendo en la red social información confidencial que no es de su propiedad. Puestos ante la situación de que un empleado por error colocase información confidencial en la red, innumerables derechos se están compartiendo con el proveedor del servicio. Además el proveedor de servicio advierte:

2. El uso de [la red social] es personal, y bajo ningún concepto podrás utilizarlo con fines económicos o comerciales sin nuestro previo consentimiento.

8. Cuando un usuario publica cualquier tipo de contenido, garantiza que tiene todos los derechos necesarios para publicar dicho contenido y licenciar a [la red social] para su uso en la red y que con ello no se vulnera ningún derecho relativo a la intimidad, el honor o la propia imagen de un tercero.

Fugas de Información

Por lo general, en una organización se suelen limitar los medios de conexión con el exterior a fin de evitar que determinada información salga de las fronteras de la misma, se desactivan los puertos USB, se limita el acceso a las cuentas de correo personales, se controla el acceso a servicios de almacenamiento en la nube y un largo etcétera que pasa, para los más paranoicos, por DRM. Nuestra sociedad de la información, en la que se encuentran inmersas las organizaciones, permite a cualquier usuario con malas intenciones y un ordenador conectado a Internet buscar infinidad de métodos para extraer información de la organización. Sin embargo, cuando se plantea el debate sobre abrir o no la conexión a redes sociales desde la organización se debe evaluar el riesgo de fuga de información por este medio y sus posibles consecuencias ya que se está abriendo una puerta.

Una fuga de información puede venir motivada por un error o por un usuario desleal. En cualquier caso, lo que supone el cerrar esta vía de escape es prevenir las fugas por error a la vez que se cierra un medio mediante el que extraer información por parte de un usuario malicioso.

Proveedor de servicios comprometido

Al fin y al cabo estamos utilizando un servicio externo con las implicaciones que ello conlleva en caso de que información de la organización salga a la luz por un compromiso del prestador de servicios. Supongamos que decidimos utilizar la red social como herramienta para compartir información de la organización y damos visibilidad sólo a los compañeros correspondientes que agregamos para tal fin. De esta forma estaríamos compartiendo la información y acotando el acceso a la misma como si de un control de acceso discrecional se tratara. El problema viene cuando los elementos privados se ven desvelados, y esto ya ha ocurrido y no una única vez, ni dos. Y esto es dejando a un lado los posibles problemas de seguridad derivados, no de la aplicación en si misma, sino de los servicios que la ponen a disposición de los usuarios.

No se ha de olvidar que cuando se realiza outsourcing de cualquier cosa, la responsabilidad de la organización con sus clientes no se delega, sigue en la organización, mientras que la seguridad sobre el elemento de la cadena de valor externalizado pasa a ser gestionada por el proveedor. La cuestión es qué se le puede exigir al proveedor en relación a la seguridad de nuestra información y en estos casos las garantías pasan por un “Hacemos todo lo posible para mantener a salvo tu información“.

Propagación de Malware

Los casos de código malicioso que infectan redes sociales han dejado de ser extraños. En Febrero de este mismo año se detectaron dos tipos de malware que utilizaban la red social para propagarse. El anterior es sólo un ejemplo, pero no hay más que teclear en cualquier buscador “[red social] virus” (sustituya [red social] por la que más le guste) para darse cuenta de la repercusión del software malicioso en las redes sociales. En un escenario en el que los miembros de la organización están interconectados a través de la red social y tienen acceso a la misma desde la organización, la situación es idónea para la propagación de malware.

Conclusiones

El acceso a redes sociales desde el entorno corporativo comporta una serie de riesgos para la organización que deben ser conocidos por aquellos que deben asumirlos, en pro de ser conscientes de a qué se atienen. Las condiciones del servicio hacen al usuario responsable de qué se comparte en el medio social, y en la organización el usuario puede tener a mano información confidencial, que pueda ser compartida por error o deliberadamente, no siendo el usuario propietario de la misma. Si las redes sociales son un medio que puede aportar valor a la organización, ¿por qué no proporcionarlo desde el interior?. El uso de redes sociales y cómo estas se ponen al alcance de los miembros de la organización es una decisión como cualquier otra en la organización y se deben sopesar todas las posibilidades al alcance y cuál merece realmente la pena por los riesgos que se enfrentan.