Home / Resources / ISACA Journal / Issues / 2017 / Volume 4 / Social Media Rewards and Risk

Recompensas y riesgos de las redes sociales

Autor: Mohammed Khan, CISA, CRISC, CDPSE, CIPM, Six Sigma Certified Green Belt
Fecha de Publicación: 28 September 2017
English | français

Las redes sociales son una poderosa herramienta que da a las organizaciones la capacidad de expandir su valor de marca; pero también pueden empañar la marca en una noche. Hay más de 18 plataformas de redes sociales en todo el mundo que han comenzado a crecer y tienen un seguimiento a nivel de empresa, y esto es sólo el comienzo. Dada la visibilidad, el riesgo, el monitoreo y respuesta en tiempo real requeridas para administrar eficazmente los canales de redes sociales, las compañías deben establecer extensos protocolos de uso para su organización con el fin de lidear con canales externos. Las empresas que se representan así mismas externamente deben involucrar a los portavoces apropiados y autorizados y a los ejecutivos designados por su departamento de comunicaciones para hablar, iniciar, proveer y/o publicar información dentro del espacio de las redes sociales. Si bien hay varios factores de riesgo clave a abordar en relación con los medios de comunicación social, hay también muchas recompensas. Algunos de los temas y beneficios superiores incluyen (figura 1):

  • Conexión con los clientes—La capacidad de interactuar con los clientes es el aspecto más crítico de las redes sociales. Desarrollar una marca y promoverla a través de diversos canales de redes sociales puede crear más valor de marca y reconocimiento.
  • Inteligencia de marketing—El marketing en las redes sociales le da a la organización la capacidad de monitorear la marca y escuchar lo que el público está diciendo en el espacio de redes sociales. La comprensión es la recompensa que la organización cosecha al jugar un papel más grande en redes sociales, lo cual puede ser invaluable. La organización puede mejorar su marketing, sus esfuerzos en desarrollo de negocios y otros procesos valiosos para aumentar su capacidad de ser competitivos.
  • Medir el pulso de la reputación de la marca—Medir el pulso de la reputación de la organización en las redes sociales y las métricas es fundamental para mantenerse a la cabeza del reconocimiento de la marca y las señales de riesgo de reputación.

Respecto de los riesgos (figura 2), algunos de los más comunes incluyen:

  • Riesgo reputacional—El daño a la reputación de una organización que proviene de un percance en las redes sociales puede poner a la organización de rodillas, ya sea el director general (CEO) declarando algo polémico en su cuenta de Twitter o un video de maltrato de la organización a un empleado que se vuelva viral. Según un publicista líder, “Una crisis de reputación puede borrar decenas de millones de libras del valor de una empresa, y este riesgo se ha elevado debido al aumento de los medios de comunicación en línea y en redes sociales, que hacen que estas crisis sean menos predecibles y puedan pasar de manera más rápida”.1
  • Violación de la seguridad de datos—Según una investigación de Forrester,
    Desde el sondeo hasta el secuestro de marcas y coordinación de amenazas, los ciberdelincuentes han estado utilizando las redes sociales para aumentar la efectividad de sus ataques durante años. Es claro que el riesgo de las redes sociales no es sólo respecto de los daños de marca y reputación, sino que es una amenaza siniestra a la ciberseguridad que puede conducir a grandes violaciones de información, numerosos problemas de cumplimiento y grandes cantidades de ingresos perdidos debido a fraudes y ventas falsificadas, junto con una serie de otros riesgos.2
  • Ingeniería social—Los empleados en casi todas las organizaciones son expertos, y muchos tienen presencia de redes sociales en sitios importantes como Facebook, LinkedIn, Quora y Twitter. Cada plataforma tiene el potencial de proporcionar a un hacker varios puntos de datos clave respecto de los empleados, lo que puede habilitar el uso de estos datos para hackear la cuenta de algún empleado en cierta capa de la empresa mediante la suplantación y el lanzamiento de un ataque de ingeniería social en la empresa. Debido a la multitud de opciones de pasar a través cuentas de redes sociales con los datos expuestos, los atacantes pueden recopilar estos datos para complementar sus avances en términos de hackear cuentas.
  • Violaciones de cumplimiento o regulación—El creciente número de cambios y regulaciones de privacidad en todo el mundo está afectando la forma en que se utilizan los datos de los clientes en el espacio de las redes sociales. Hay cuatro áreas clave de las que preocuparse:
    • Privacidad
    • Propiedad del contenido
    • Violación de la propiedad intelectual (IP según sus siglas en inglés Intellectual Property)
    • Actividades no autorizadas
  • Cumplimiento con el cambio del clima regulatorio3—Estos cambios regulatorios requieren que la organización adapte su estrategia si desea cumplir a nivel global. Este enfoque, aunque es necesario para una organización que utiliza las redes sociales con regularidad, puede dar lugar a una mayor visibilidad de la organización con las autoridades.
    Algunas industrias pueden alejarse de esta situación a la luz de las auditorías que se producen al hecho de estar en el espacio de las redes sociales con tanta frecuencia.
  • Retorno de la inversión—El beneficio que la organización gana al estar presente en el espacio de las redes sociales es difícil de calcular y muy subjetivo. El riesgo sobre la recompensa, por lo tanto, no puede ser calculado con cierto nivel de seguridad, lo que deja en cuestionamiento la decisión de entrar en el espacio de las redes sociales para algunas industrias.
  • Suplantación de identidad—Una de las técnicas populares utilizadas por los criminales es conseguir que las personas divulguen información personal mientras se hacen pasar por un representante ficticio de un profesional o compañía legítima. Este, en primera instancia, es el factor clave para recolectar datos personales para beneficio financiero de individuos u organizaciones. Debido a la falta de conocimiento sobre las técnicas de suplantación de identidad utilizadas por los hackers, los empleados son víctimas de correos electrónicos, llamadas telefónicas y sistemas de suplantación de identidad en sitios web, lo que resulta en una exposición al riesgo a nivel empresarial.
  • Virus y Código malicioso—La habilidad de los hackers de penetrar en la red de la organización a través de sitios web y cuentas de redes sociales inseguras abre un nuevo vector de amenazas. Por un lado, los empleados que acceden a sitios web de redes sociales pueden actuar como embajadores de la marca; pero por otro, esta actividad puede dejar una puerta abierta para que virus y código malicioso entren en la red. Según los expertos en seguridad, “La mayoría de los ataques actuales simplemente utilizan las plataformas sociales como un mecanismo de entrega, y han sido modelados a semejanza del antiguo malware Koobface”.4

Prevención del riesgo de las redes sociales

Algunas organizaciones luchan por desarrollar la mejor solución para administrar el riesgo en torno a las redes sociales. La primera pregunta que se hace es quién, de hecho, es el dueño de las plataformas de las redes sociales para la organización y, lo que es más importante, la gobernanza general de las redes sociales de los empleados. Las redes sociales impactan a todos y cada uno de los departamentos de la organización, ya sea TI, finanzas, marketing o recursos humanos, cada uno tiene una perspectiva diferente de cómo las redes sociales pueden o serán utilizadas por el departamento en nombre de la organización. No hay un libro guía predeterminado para eliminar el riesgo de las redes sociales para una empresa; sin embargo, algunas áreas claves a considerar para prevenir el riesgo de las redes sociales son:

  • Directrices—Como buena práctica general, se debe desarrollar una política universal de alto nivel para guiar el uso de las redes de comunicación social para todos los empleados de la organización y cualquier tercero que actúe en nombre de la organización. Las directrices deben destacar los componentes como:
    • Alcance—Definir el alcance general de las directrices de la política que establece la empresa para sus empleados
    • Propósito—Definir del propósito de estas directrices para la organización, específicamente, cómo se llevarán a cabo las actividades en las redes sociales a nombre de la organización y qué tipo de información es pertinente compartir a través de estas actividades
    • Objetivos—Definición clara del resultado general que se obtendrá de la presencia en las redes sociales para la organización y cómo la plataforma de redes sociales conseguirá llevar a la organización allí
    • Directrices respecto de la propiedad—Directrices generales para la creación y mantenimiento de todos los sitios de redes sociales de la organización
    • Directrices para los contribuyentes—Directrices y principios generales que orientan a los contribuyentes a los sitios de redes sociales
    • Plataformas de redes sociales aprobadas—Complementos para que los departamentos evalúen las soluciones de redes sociales fuera de la empresa para manifestar cómo la presencia en las redes sociales contribuirá en el logro de las metas generales y, lo que es más importante, al grado de utilización y seguridad de la plataforma
  • Entrenamiento y sensibilización—Es clave para la organización incorporar el comportamiento adecuado en las redes sociales como parte de la capacitación de todos los empleados, especialmente en roles como marketing, RRHH y TI, departamentos que muy probablemente representarán a la organización como parte de sus actividades de trabajo normales. Construir los comportamientos e inculcar los conceptos correctos de las normas en las redes sociales que se alinean con las políticas y procesos organizacionales ayudará a largo plazo a medida que más y más empleados participen en las redes sociales y representen su organización y sus productos e intereses.
  • Plan de crisis de redes sociales y comunicación—Un plan robusto de crisis de redes sociales y comunicación se debe ejecutar en caso de que ocurra una crisis. Tiene que haber un único punto de contacto, generalmente el equipo de comunicaciones, para toda comunicación en los medios de comunicación y las partes interesadas. El personal clave del departamento tiene que estar involucrado, especialmente si hay un asunto que se aplica a ese departamento en específico.

Es crítico ejercitar el plan en términos de realizar la secuencia de tareas requeridas para el control fluido de una crisis de redes sociales, la cual está destinada a sucederle a cualquier organización mientras su presencia en las redes sociales aumenta con el tiempo. Esto requiere de una gran cantidad de colaboración y comunicación entre los departamentos claves y el personal en todo momento.

Conclusión

A las organizaciones que planean aumentar o disminuir su presencia en las redes sociales se les aconsejar permanecer consientes y vigilantes. Diferentes industrias pueden experimentar varios beneficios y desventajas al saltar en el tren de las redes sociales. Las organizaciones que planean participar en plataformas de redes sociales deben tener una clara definición de políticas y un plan de comunicaciones en marcha. Se debe tener en cuenta las consideraciones adecuadas para la buena gobernanza, un plan de comunicación en caso de violaciones, una política de redes sociales y herramientas de monitoreo, todo lo cual es importante para la mitigación del riesgo en las redes sociales a nivel empresarial.

La decisión de qué canales de redes sociales utilizar y realizar la debida diligencia y la gestión evolutiva del espacio de las redes sociales en que la organización entra en juego, son críticas. El primer paso es entender los beneficios y las desventajas teniendo en cuenta los pasos básicos que se deben tomar para mitigar el riesgo.

Notas finales

1 Spanier, G.; “Reputational Risk in the Social Media Age,” Raconteur, 11 June 2015, https://www.raconteur.net/business/reputational-risk-in-the-social-media-age
2 Hayes, N.; “Why Social Media Sites Are the New Cyber Weapons of Choice,” DarkReading, 6 September 2016, www.darkreading.com/attacks-breaches/why-social-media-sites-are-the-new-cyber-weapons-of-choice/a/d-id/1326802
3 McNickle, M.; “5 Keys to the Legal Issues of Social Media in Healthcare,” Healthcare IT News, 2 July 2012, www.healthcareitnews.com/news/5-keys-legal-issues-social-media
4 McAfee, “How Cybercriminals Target Social Media Accounts”

Mohammed J. Khan, CISA, CRISC, CIPM
Es gerente global de auditoría de Baxter International, una compañía global de dispositivos médicos y atención médica. Tiene más de 12 años de experiencia enfocados en proveer privacidad, seguridad y gobierno de la información. Más recientemente, se ha centrado específicamente en la seguridad cibernética de dispositivos médicos, marcos de privacidad globales y ayudando a su organización con iniciativas estratégicas y rentables en el espacio de auditoría y cumplimiento. Khan trabajó previamente como consultor en una empresa de consultoría líder y, antes de eso, trabajó como consultor global de planeación de recursos empresariales y de inteligencia de negocios en una empresa de tecnología líder. Khan ha ayudado a desarrollar y autor de varias publicaciones y ha presentado en conferencias de la industria eventos centrados en la privacidad y la seguridad cibernética.