www.pwc.

com/ve  Inicio

Boletín de Consultoría Gerencial

Las Redes Sociales en los Negocios:
¿Realmente representan un riesgo para la información,
las redes y reputación de la Organización?
Boletín Digital
No. 3 - 2011

Espiñeira, Sheldon y Asociados

Boletín Consultoría Gerencial - No. 3 - 2011
Página Página
Contenido Cerrar Imprimir anterior siguiente

Contenido
Haga click en los enlaces para navegar a través del documento

4Introducción
4Aprovechar al máximo el capital humano conectado
4¿Por qué las redes sociales pueden ser peligrosas
para las redes corporativas?
4¿Cómo las empresas pueden balancear
la seguridad con las redes sociales?
4Políticas y procedimientos para el éxito
de las redes sociales
4¿Por qué la tecnología es esencial para
una estrategia de seguridad efectiva?
4 Conclusión
4 Créditos / Suscribirse
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Introducción
Hoy en día, el uso de las redes sociales es tan
rutinario como enviar un correo electrónico. Los
empleados intercambian información en
Facebook y Twitter, ingresan sus opiniones en
“blogs” y suben fotos en sitios web para
compartirlas.
Pero ¿Qué significa esto para las
organizaciones? ¿Cómo les afecta esta
tendencia, donde la línea entre la vida personal
y empresarial es cada vez más difusa?
Está claro que las organizaciones no pueden
mantenerse al margen de las redes sociales y
según su naturaleza, solo pueden optar por
decidir entre tener una participación muy activa
o estrictamente presencial.
Lo que es común, independientemente de su
nivel de participación, es la necesidad de
establecer un plan de comunicación proactivo y
persuasivo, con el fin de educar a su comunidad
de usuarios y relacionados sobre el uso
prudente de las redes sociales y en general de
toda esta tendencia denominada Web 2.0.
Las organizaciones deben apoyar el plan de
comunicaciones con lineamientos que
aprovechen este canal y mitiguen los riesgos de
las redes sociales. Las redes sociales como
MySpace y Facebook, los servicios de
“microblogging” como Twitter, blogs, wikis y los
servicios para compartir fotos y video, se
encuentran entre los sitios de mayor crecimiento
en la web. De hecho, las redes sociales ya son
más populares que el correo electrónico
personal y son los sitios más visitados en la
internet.
Esta gran popularidad hace de las redes sociales
una amenaza muy real para la seguridad de la
información. Sin embargo, los riesgos no se
limitan al intercambio de datos por los
empleados. Nuevos tipos de ataque utilizan las
redes sociales para identificar objetivos, ingresar
en redes corporativas, distribuir código
malicioso, explotar las relaciones personales
como una estrategia de Ingeniería Social, robar
propiedad intelectual y dañar la reputación de
las organizaciones.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Además de filtrar información confidencial, los
usuarios de las redes sociales pueden
distorsionar información sobre la organización o
sus empleados, afectando sus relaciones
públicas.
Muchas organizaciones no están preparadas
para enfrentar retos tales como proteger los
datos críticos, mitigar la fuga de información y
controlar la propiedad intelectual. En este
sentido las organizaciones deben adoptar una
doble estrategia, donde el oficial de seguridad
de la información (CISO) y las áreas de gestión
de comunicación corporativa unan esfuerzos
para identificar oportunamente, contener el
impacto y responder eficazmente a la amenaza.
Con los controles de seguridad apropiados, las
redes sociales pueden ser un poderoso
habilitador en la comunicación y potenciar
cambios que apalanquen el crecimiento de las
empresas.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Aprovechar al máximo el capital
humano conectado
Las empresas están adoptando las redes sociales
para cultivar una cultura interna de
colaboración. Además, es fácil ver cómo este
flujo altamente económico de información
puede aumentar la productividad y autonomía
del capital humano obteniendo conocimiento
relevante, actualizado y personalizado a su
alcance.
Fuera de la organización, las redes sociales
pueden ayudar para llegar hasta potenciales
clientes, mejorar su experiencia del cliente con
nuestros productos y servicios y gestionar su
percepción sobre nuestra marca.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Muchas empresas hoy en día usan sitios como
Twitter y Facebook, por ejemplo, para compartir
y conversar sobre sus productos y servicios. Las
empresas pueden promover nuevos productos
o, si su reputación se ve amenazada, pueden
hacer uso de las redes sociales para mover la
discusión en la dirección correcta.
Las empresas también se aprovechan de las
voces de los clientes en línea para crear una
campaña publicitaria más efectiva. Marcas
exitosas aprovechan la experiencia de los
clientes como parte integral de la campaña y
ciclo de vida de un producto, mientras otras
convierten estos medios en canalizadores de las
demandas de sus clientes, reforzando su
lealtad.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
¿Por qué las redes sociales
pueden ser peligrosas para las
redes corporativas?
Dado que la adopción de las redes sociales crece
exponencialmente, los CISOs han comenzado a
entender que deben cambiar la forma de proteger
sus redes y datos sensibles. Como hemos
comentado, los empleados pueden, accidental o
intencionalmente, filtrar información crítica
hacia las redes sociales. Y los cibercriminales
ambiciosos pueden acceder a datos sensibles al
interactuar o incorporar código malicioso que se
conecta a las plataformas Web 2.0, como
Facebook y Twitter.
Estas amenazas son instigadas por la propia
naturaleza de las redes sociales, que se basa en
una arquitectura web flexible que permite la
participación y creación de contenidos y servicios
apalancados en estas plataformas. A esto se suma
la ingenuidad del usuario, su imprudencia y
desconocimiento de los riesgos, que han
convertido en alarma común la aparición de
códigos maliciosos en sitios de redes sociales.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Su efectividad radica en la remisión de mensajes Otra amenaza, proviene de comentarios de
atractivos, particularmente con temas empleados o público, que puede causar daños
estacionales (navidad, día de los enamorados, graves a la reputación cuando la opinión se
entre otros), que parecen provenir de amigos de convierte en negativa o falsa. Gracias al flujo
confianza. Mensajes como “Te ves impresionante instantáneo de información y opiniones, un
en esta nueva foto” direcciona a usuarios pequeño incidente en las relaciones públicas
desprevenidos a sitios que emplean esquemas de puede convertirse rápidamente en algo
“phishing” o códigos maliciosos para obtener desastroso, ya que rebota entre los clientes y
información personal que es confidencial. relacionados. Estos comentarios maliciosos
pueden ser muy difíciles de quitar o de
Otro error común es la utilización de estos manejarlos efectivamente.
medios para el intercambio de información de
trabajo. Los usuarios, en desconocimiento de la
infraestructura, consideran “privado” un
intercambio de información que finalmente
queda al alcance de terceros; también mantienen
niveles muy bajos de control sobre sus
contraseñas y los lugares que emplean para
acceder a los sitios web, permitiendo
eventualmente que un tercero acceda a su
información o actúe en su nombre.
No. 3 - 2011
Página Página
Contenido Cerrar Imprimir anterior siguiente

Boletín de Consultoría Gerencial

Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
¿Por qué las redes sociales ¿Cómo las empresas pueden
pueden ser peligrosas para las balancear la seguridad con las
redes corporativas? (cont.) redes sociales?
Mientras tanto, la propiedad legal de la Hay que ser realistas: Detener el flujo La estrategia debe ser doble: Se deben
información en los sitios de ‘social media’ sigue bidireccional de información imponiendo establecer políticas y procedimientos que
siendo un territorio desconocido. El contenido restricciones a nuestro personal y relacionados regulen el uso de las redes sociales e
creado en una red social puede ser propiedad de es un esfuerzo inefectivo. La mejor manera de información corporativa, y que se haga uso de la
la red, sin embargo, si los datos son publicados controlar y tener conocimiento temprano de lo tecnología para ayudar a proteger la seguridad e
usando equipos corporativos (una computadora que acontece sobre nuestro negocio en las redes integridad de los datos y la red corporativa. Este
personal o un teléfono inteligente), la sociales es estando en ellas, lo cual nos permite enfoque de varias capas requiere que el negocio
organización podría ser legalmente responsable definir y controlar el cumplimiento de las y la tecnología se unan y se comprometan
de este contenido. En el caso de disputas legales, normas. plenamente a la iniciativa. Los dos deben
las organizaciones podrían estar obligadas a analizar el contenido y las políticas en detalle,
divulgar la información publicada en los sitios de así como determinar la combinación adecuada
redes sociales. de tecnologías disponible en la empresa para
monitorizar, clasificar y administrar los datos.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Políticas y procedimientos para
el éxito de las redes sociales
Como con cualquier implementación de una
política, el primer paso relacionado a las redes
sociales es formar una estrategia de negocio que
incluya la adopción de un plan a largo plazo
para políticas, procedimientos y soluciones.
Es esencial que el negocio realice una
clasificación de su información con el fin que los
empleados conozcan precisamente lo que es y
no es información sensible. Este proceso
también debe definir quién está autorizado a
acceder y compartir contenido empresarial, y se
deben establecer los procedimientos donde se
definan cómo los empleados pueden utilizar los
datos sensibles. Como parte de la clasificación
de la información, la organización también debe
establecer una política de retención de datos
para la información creada en las redes sociales.
Es común el uso de la clasificación de la
información, sin embargo muchas
organizaciones no lo hacen. Como referencia de
ello, el resultado de la encuesta realizada por
PwC en el 2010 “Global State of Information
Security Survey” arrojó que el veintidós (22%)
por ciento de las compañías globales no
clasifican sus datos y activos de información.
La política también tiene que delimitar los tipos
de cuentas de redes sociales que la organización
patrocina. Por ejemplo, la organización debe
adoptar medidas para que los empleados
comprendan la diferencia entre una cuenta de
Twitter o Facebook patrocinada por la
organización y las cuentas individuales.
Página Página
Contenido Cerrar Imprimir anterior siguiente
El negocio debe especificar claramente quién es
responsable de determinados tipos de
comunicaciones; estas funciones operacionales
suelen caer en el departamentos de mercadeo y
servicio al cliente. La empresa también debe
establecer supervisión gerencial para las redes
sociales, y la designación de un comité de medios
responsable de diseñar y velar por el
cumplimiento de las políticas y procedimientos
relacionados.
En el desarrollo de las funciones y políticas, el
negocio debe incluir una estrategia para la
separación de las funciones de los empleados con
el fin de mantener la propiedad intelectual y las
identidades sociales. Por ejemplo, si se asigna un
empleado para supervisar las actualizaciones de
Twitter para el servicio al cliente de las quejas y
oportunidades, el empleado debe conocer que la
organización es dueña de esta identidad en línea
y que debe renunciar a ella en caso una potencial
terminación de relaciones con la organización.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Políticas y procedimientos para el
éxito de las redes sociales (cont.)
Proteger la marca: Independientemente de las
decisiones sobre la participación en redes
sociales, las empresas deben iniciar un proceso
de protección de sus marcas, registrando y
monitoreando el uso que sobre las mismas se
estén realizando en las redes sociales. En
primera instancia, deben crearse o registrarse
en cada una de estas plataformas las cuentas o
grupos que puedan utilizarse en el futuro o
asociarse con la organización y sus marcas.
En caso de identificar perfiles ya creados, iniciar
los procesos de reclamo pertinentes. Luego
activar estrategias de monitoreo, apalancadas
en el uso de motores de búsquedas y portales de
análisis del uso de Internet. Finalmente
establecer una estrategia de canalización de la
información que resulte de contactos realizados
por las redes sociales o menciones a la marca
hacia las estructuras internas designadas para
su análisis.
Ninguna estrategia esta completa sin un Plan de
Remediación. La organización debe saber cómo
manejar un daño reputacional y responder a los
comentarios críticos en línea, en caso de
ocurrir. Las redes sociales pueden crear
rumores inmediatamente, así como publicidad
negativa, por lo que la estrategia debe incluir
métodos para evaluar la situación rápidamente,
y actuar de manera adecuada y eficazmente.
El establecimiento de estas políticas es sólo el
comienzo; el verdadero trabajo está en la
formación al personal. El Negocio debe
informar sobre sus políticas y los riesgos de los
medios de comunicación social. Se trata de una
iniciativa en curso que requiere un compromiso
continuo.
Página Página
Contenido Cerrar Imprimir anterior siguiente
La organización debe decidir si los empleados
pueden acceder a sitios de redes sociales desde
los dispositivos de la organización (incluyendo
los teléfonos móviles). Es una práctica usual el
restringir el acceso a estos sitios por su impacto
en el consumo de recursos técnicos y distracción
del personal en horario laboral. A estas razones,
deben sumarse la responsabilidad que las
organizaciones pueden adquirir por las
actividades que su personal realice utilizando
recursos suministrados. Es importante hacer
énfasis que este tipo de restricciones deben
acompañadas de políticas, y que deben ser
consistentes entre sí, ya que puede parecer
incoherente promocionar nuestra organización
en las redes sociales y a su vez restringir su uso.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Políticas y procedimientos para el
éxito de las redes sociales (cont.)
Las organizaciones deben educar a los
empleados sobre la necesidad de proteger la
propiedad intelectual y la información sensible
asimismo, deben dar a conocer las
consecuencias de su cumplimiento. El personal
debe estar en conocimiento de la existencia de
un marco legal que trasciende a la organización
e incluso al país, y las consecuencias de violar la
privacidad, confidencialidad del cliente y la
propiedad intelectual de la empresa y terceros.
Los límites del uso adecuado de los medios de
comunicación social presentan una franja gris
entre el trabajo y la vida privada. La política no
debe ser ambigua: El personal debe estar
consciente que, si se identifican como un
empleado de la organización, ellos pueden
parecer actuar en nombre de la organización y
todas sus actividades “on line” pasan a formar
parte de la discusión pública, representando un
impacto potencialmente perjudicial para el
negocio.
Página Página
Contenido Cerrar Imprimir anterior siguiente
¿Por qué la tecnología es
esencial para una estrategia de
seguridad efectiva?
La adopción de políticas y procedimientos no Es importante considerar para una seguridad
representa por sí sola una estrategia efectiva. efectiva en las redes sociales, la utilización de
A tal fin, la organización debe utilizar soluciones métodos descentralizados y centralizados de
de seguridad que analicen el tráfico de la red, en seguridad, considerando la protección tanto de
busca de códigos maliciosos, fuga de datos y la organización como de su personal.
otras actividades sospechosas. A esto deben
sumarse herramientas de monitoreo del uso de Las soluciones de administración de identidad y
internet, búsqueda y análisis de menciones en la acceso son esenciales para ayudar a detener el
red y seguimiento del uso de los recursos acceso no autorizado realizado por “hackers”.
suministrados al personal. En este tipo de ataque es cada vez más popular,
un hacker obtiene los nombres de usuario y
Las posibles estrategias incluyen la contraseñas a través de estafas en las redes
implementación de varias capas de seguridad en sociales. El uso de los controles robustos de
la puerta de enlace y puntos finales, clasificación administración de identidad, acceso y
de contenido, filtrado de contenido, y autenticación multifactorial ayudará a las
prevención de pérdida de datos. Sin embargo, la organizaciones a mitigar esta amenaza.
identificación de la combinación adecuada de
estas herramientas de seguridad puede ser un
gran desafío debido a que la tecnología Web 2.0
es nueva y se encuentra en constante evolución.
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
¿Por qué la tecnología es
esencial para una estrategia de
seguridad efectiva? (cont.)
A nivel de los usuarios finales, las
organizaciones deben ampliar su control sobre
el uso de las estaciones de trabajo. Restringir la
instalación de software no autorizado,
establecer y propagar políticas de navegación
que limiten la activación de código JavaScript,
controlar el acceso a sitios declarados como
“poco confiables” y proteger al usuario móvil de
las amenazas típicas de enlaces abiertos
(hotspots) y robo.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Por último, los dispositivos móviles, incluyendo
teléfonos inteligentes ejecutan aplicaciones de
Web 2.0 y pueden llegar a ser la próxima
frontera para los atacantes. Cualquier estrategia
de seguridad debe proteger la integridad del
dispositivo y los datos sensibles que se
encuentren almacenados en él.
Existen múltiples opciones para llevar control
sobre el uso inapropiado de los dispositivos
móviles, canalizar su bloqueo y borrado remoto
y proteger la información contenida en ellos. Las
organizaciones deben asumir que cada
dispositivo móvil es una extensión de su
plataforma de TI, y que los mismos se
encuentran expuestos a condiciones
particularmente riesgosas
No. 3 - 2011
Boletín de Consultoría Gerencial
Las Redes Sociales en los Negocios: ¿Realmente representan un riesgo
para la información, las redes y reputación de la Organización?
Conclusión
Las redes sociales pueden brindar ventajas
competitivas a las empresas, incluyendo el
intercambio en tiempo real de información y
análisis, una mejor colaboración y una relación
más estrecha con sus clientes. También hace que
los empleados se sientan valorados, conectados
y que forman parte importante de la comunidad
empresarial.
Sin embargo, los riesgos están presentes y no son
como para ignorarlos. Ataques de red, fuga y
robo de información, daño a la reputación, y
problemas de cumplimiento regulatorios son
riesgos que una organización debe abordar antes
de entrar a las redes sociales o permitir el acceso
total a los sitios sociales a través de su red.
Página Página
Contenido Cerrar Imprimir anterior siguiente
Las organizaciones deben considerar acercarse Este tipo de iniciativa debe realizarse con la
a las redes sociales con una planificación que ayuda de un equipo de especialistas en redes
considere sus riesgos y las estrategias de corto y sociales y seguridad empresarial. Las redes
mediano plazo. Las actividades, los riesgos y las sociales consisten más que seguir el
tecnologías asociadas con las redes sociales son conocimiento que a las personas. Una gestión
emergentes y están en constante evolución. Por efectiva de estos canales requiere que las
esta razón, es esencial que la organización organizaciones lideren el conocimiento, no que
utilice una estrategia de ciclo de vida que puede lo sigan.
satisfacer las necesidades actuales y adaptarse
rápidamente a los cambios de las redes sociales.
Una seguridad eficaz en el uso de las redes
sociales requiere una doble estrategia que
fusiona la educación y el cambio de
comportamiento de los empleados con la
implementación de un ecosistema de tecnología
robusto que monitoree constantemente los
riesgos. Este enfoque exige experiencia en
cambios de comportamiento y conocimiento
profundo de clasificación de la información,
aplicaciones Web y seguridad empresarial.
No. 3 - 2011
Página Página
Contenido Cerrar Imprimir anterior siguiente

Créditos
Para suscribirse al Boletín Síganos en

Consultoría Gerencial

El presente Boletín es publicado por la Línea de Servicios de

Consultoría Gerencial (Advisory) de Espiñeira, Sheldon y
Asociados, Firma miembro de PwC.

El presente boletín es de carácter informativo y no expresa opinión

de la Firma. Si bien se han tomado todas las precauciones del caso en
la preparación de este material, Espiñeira, Sheldon y Asociados no
asume ninguna responsabilidad por errores u omisiones; tampoco
asume ninguna responsabilidad por daños y perjuicios resultantes
del uso de la información contenida en el presente documento. Las
marcas mencionadas son propiedad de sus respectivos dueños. PwC
niega cualquier derecho sobre estas marcas

Editado por Espiñeira, Sheldon y Asociados

Depósito Legal pp 1999-03CS141
Teléfono master: (58-212) 700 6666
© 2011 Espiñeira, Sheldon y Asociados. Todos los derechos reservados. “PricewaterhouseCoopers” se refiere a Espiñeira, Sheldon y Asociados. A medida que el contexto lo exija “PricewaterhouseCoopers” puede referirse a la
red de firmas miembro de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente. Cada firma miembro es una entidad separada e independiente y Espiñeira,
Sheldon y Asociados no será responsable por los actos u omisiones de cualquiera de sus firmas miembro ni podrá ejercer control sobre su juicio profesional ni tampoco podrá comprometerlas de manera alguna. Ninguna firma
miembro será responsable por los actos u omisiones de cualquier otra firma miembro ni podrá ejercer control sobre el juicio profesional de otra firma miembro ni tampoco podrá comprometer de manera alguna a otra firma
miembro o a PwCIL. R.I.F.: J-00029977-3