• Tweet

Las redes sociales toman el mayor peso en programas de formación Infosec

LAKE BUENA VISTA, Fla. Los sitios de redes sociales, desde Linkedln hasta Facebook, ofrecen un fresco compendio de amenazas de seguridad de datos y privacidad para una organización, pero tratar de no darles acceso a éstas es en vano, dijo Sandy Bacik, consultor principal de Knoxville, Tenn.

Durante una sesión en InfoSec Mundial de 2010, instó a las empresas Bacik para mejorar los programas de formación de sus trabajadores y crear un comunicado de la empresa que se ocupa de los riesgos de los entornos de redes sociales.

Bacik no pasó por alto los beneficios de los sitios de redes sociales para la empresa. Las herramientas de colaboración Web 2.0 se utilizan con frecuencia para fines profesionales: para publicar la propia experiencia, encontrar talento, hacer conexiones personales con los compañeros, acelerar las comunicaciones y la auto-promoción, por ejemplo. Los empleadores pueden utilizar las redes sociales para investigar a un nuevo empleado también.

El asistente Perry Sullivan, ingeniero en seguridad de sistemas en Saskatchewan basado en la compañía de telecomunicaciones de SaskTel International Inc., admite que ha usado a Google para la investigación de nuevas contrataciones. "Se puede saber mucho sobre la gente, lo bueno y lo malo", dijo, y señaló que con las redes sociales de hoy en día, un empleador puede ver si un empleado es potencialmente activo en la comunidad, si es fiestero, o incluso si es un miembro de un club de judo.

Los sitios sociales en la red ofrecen, por supuesto, muchos más riesgos además de solo servir para obtener la imagen poco profesional de un empleado. A lo largo de la sesión, Bacik destacó los problemas de privacidad de muchas de las herramientas sociales, incluyendo el cómo las políticas de las diversas redes sociales no necesariamente se ocupan de la exposición de los datos importantes.

"No es sólo la información que usted pone ahí. Es lo que sus amigos y grupo utilizan de su perfil y extiende en otros lugares." Esto depende de los profesionales de la seguridad, Bacik dijo, para enseñar a los empleados acerca de la validación a aquellos con los cuales tiene contacto y el rechazo a aquellas peticiones que no parecen legítimas.

Para luchar contra los muchos riesgos de las redes sociales, Bacik destacó la importancia de una declaración por parte de la empresa, una que debe ser por escrito e incorporada en un programa de capacitación individual acerca de la sensibilización de las amenazas de seguridad de los empleados. "Usted debe tener una declaración de la empresa diciendo... Entendemos que usted vaya a [sitios de redes sociales] y haga uso de ellos. Vamos a dar directrices sobre cómo utilizarlos y cómo no utilizarlos. Desde una perspectiva de seguridad, No puedo decir más "No, vamos a bloquear esto "".

En el ambiente Web 2.0 de hoy, poner fin a las redes sociales puede impugnar a los comerciantes que utilizan las herramientas para hacer la investigación, los empleados del R&D que necesitan hacer preguntas sobre un proyecto en curso o ejecutivos que usan los sitios para demostrar su presencia y actividad en la comunidad en línea.

Bacik también habló sobre la importancia de orientar a los usuarios, empleados y contratistas, incluso en la información relacionada con la empresa que es enviada en los perfiles de redes sociales.

"Dentro de la visión occidental, pensamos que hemos creado perfiles en línea, que son privados. Sólo nuestros amigos con los cuales hemos adquirido contacto, los puede ver. Pero si te vas fuera de los EE.UU., muchos países del Este, creen que la información publicada es realmente información pública, información sociable, libre de distribuir y difundir a donde quieran ", y agregó que los usuarios necesitan recibir orientaciones sobre qué información puede y no puede ser publicada en Internet.

Las recomendaciones de Bacik para lo que debería ser parte de una instrucción de la empresa incluye el anuncio de una filosofía empresarial clara, una definición de las redes sociales, condiciones de servicio, derechos de autor y asuntos legales, el impacto de producción y una posible acción disciplinaria.

Sullivan, quien trabaja en una compañía de alrededor de 3.500 personas, cree que lo que se refiere a las redes sociales se puede abordar en su propia formación básica acerca de la seguridad que se ofrece a los empleados de la empresa. "Creo que es probablemente algo que se tiene que hacer la primera vez que los contratan, probablemente como parte de su código de conducta".

Sullivan admitió que los sitios de redes sociales han sido una lucha para la organización, especialmente si se considera que cuenta con una generación de los empleados más joven, que ingresan a la fuerza de trabajo esperando el uso de sus herramientas de la Web 2.0. Sus empleados toman ventaja de Facebook, los sitios de otros tipos de navegación y YouTube, incluso para hacer la investigación.

"Estamos viendo un cúmulo de los problemas de seguridad tanto para la productividad de recursos humanos como para asuntos corporativos... que creo que tenemos que abrirnos a ello. Tenemos que dar a los empleados las directrices para decirles: "Sí, usted puede hacerlo, pero hay que tener cuidado de cómo lo usa."

Sullivan también ha tenido que adaptarse a las necesidades de sus empleados para compartir documentos. Sus empleados han utilizado la herramienta Google Docs. , por ejemplo, para intercambiar ideas sobre las funciones de la empresa, pero ésta información se encuentra a la interperie y es sujeta a las políticas de Google.

Al igual que muchos de los asistentes en la sesión, Sullivan busca lograr un equilibrio entre la prestación de la función de red social que sus empleados desean, mientras al mismo tiempo protegen la información importante de su compañía. La empresa de Sullivan, por ejemplo, tiene ahora un sitio de blogs internos donde el presidente de la compañía puede anunciar actualizaciones y responder a las preguntas de los empleados.