Seguridad de las redes sociales: ¿Qué tan segura es su información?

Cuando explora los diferentes sitios de redes sociales disponibles, es fácil crear cuentas y olvidarse de las que no usa. Esto puede dejar un agujero de seguridad, especialmente si ha configurado publicaciones en un sitio para twittear automáticamente una actualización o publicar en otro sitio. Si un pirata informático obtuvo acceso a él, podría resultar confuso al principio tratar de averiguar por qué aparecían publicaciones extrañas, sin darse cuenta de que provenían de otro sitio. Como no ha usado esa cuenta por un tiempo, cuando se dé cuenta de lo que está sucediendo, también puede darse cuenta de que ha olvidado el nombre de usuario y la contraseña del sitio.

Para realizar un seguimiento de sus cuentas, debería considerar la posibilidad de crear una lista maestra. Debe indicar la URL del sitio, el nombre de la cuenta y la contraseña. Mantener una lista maestra de contraseñas de administrador es una práctica de los departamentos de TI de las organizaciones, en la que las cuentas y contraseñas de administrador se documentan y almacenan en una ubicación segura. Es importante que no lo guarde en un lugar donde la gente pueda leerlo o como un documento en su computadora. Si se almacena como un documento electrónico en su computadora o red, como en el caso de una hoja de cálculo o un documento de Word, puede agregar una pequeña medida de seguridad adicional protegiéndolo con una contraseña. A medida que se produzcan cambios, actualice la lista para que la información esté allí cuando la necesite. El otro beneficio de mantener una lista de cuentas y contraseñas es que le muestra dónde se utilizan las mismas contraseñas en varios sitios. Si un sitio fue pirateado, sus credenciales podrían verse comprometidas y el pirata informático ahora podría obtener acceso a cualquier sitio utilizando las mismas contraseñas. Cuando esto ocurra, deberá cambiar las contraseñas en cualquier sitio que las use. Al consultar su lista de contraseñas, busque las que se utilizan varias veces y luego cámbielas para que se utilice una contraseña única en cada sitio.

Configuración de redes sociales para una empresa Los departamentos de TI deben tener autoridad sobre los aspectos técnicos de las redes sociales y  articipar en la configuración y mantenimiento de cuentas. Si bien no son difíciles de configurar, asegura que las personas que conocen bien la seguridad estén configurando la cuenta correctamente y de una manera consistente que siga las pautas de seguridad de las redes sociales. Cualquier configuración que realicen inicialmente podría ser modificada más tarde por una persona que use la cuenta, pero al menos tiene la seguridad de que se hizo correctamente en la configuración o desde la última auditoría de seguridad.

Las amenazas cambian, por lo que la seguridad debe cambiar y abordarlas. Incluso si ha hecho todo bien al configurar sus ajustes de seguridad, no hay garantía de que no se introducirán nuevos ajustes o que se restablecerán los ajustes antiguos. Los cambios pueden ocurrir en cualquier lugar. Puede estar en su computadora u otros dispositivos utilizados para acceder a Internet, o en los propios sitios.

Los sitios de redes sociales a menudo realizan cambios en su seguridad para abordar problemas identificados o potenciales. Si bien algunos sitios le notifican sobre actualizaciones y nuevas configuraciones, otros pueden implementarlas sin su conocimiento, dejándolo inconsciente de lo que sucedió. La frecuencia con la que esto sucede y si se le notifica depende del sitio. Debido a esto, debe revisar su configuración de vez en cuando para asegurarse de que esté configurada de la manera deseada.

Cuando un sitio de redes sociales cambia su seguridad, puede afectar las opciones disponibles. Si bien es posible que haya pensado que la seguridad se configuró correctamente, es posible que las opciones hayan cambiado. En algunos casos, los cambios pueden restablecer la configuración de seguridad a su configuración predeterminada o proporcionar opciones adicionales que es posible que deban configurarse. El sitio puede decidir activar una configuración que no desea o hacer que la opción esté disponible y desactivada. Para beneficiarse de las opciones de seguridad disponibles, debe revisarlas y asegurarse de que estén configuradas correctamente.

Dado que las redes sociales implican el uso de una computadora u otros dispositivos, también debe revisar cómo están protegidas. Debe evaluar la efectividad de cualquier herramienta de seguridad utilizada para proteger su computadora, red y dispositivos móviles. El software antivirus necesita actualizar los archivos de firmas de forma regular para que pueda identificar cualquier amenaza potencial y bloquearla, ponerla en cuarentena o eliminarla en consecuencia. Para asegurarse de estar protegido, debe verificar el software para asegurarse de que se actualice automáticamente y de que su sistema se escanee de forma regular. El sistema operativo y el software instalados en un sistema deberán actualizarse de vez en cuando. Si lo hace, parcheará cualquier vulnerabilidad conocida, que puede ser aprovechada por software malicioso. Esto se aplica no solo a su computadora, sino también a cualquier dispositivo móvil que utilice.

Es igualmente importante reevaluar las estrategias utilizadas para mantener seguros a su organización y a sus empleados. El oficial de redes sociales debe trabajar con el departamento de TI para proporcionar información sobre los cambios que se han producido, y el personal de TI debe estar al tanto de los sitios de redes sociales que se utilizan al configurar los ajustes de seguridad en el equipo. Los navegadores, los sistemas operativos y otras herramientas pueden actualizarse, por lo que es necesario identificar y resolver cualquier problema que pueda ocurrir al usar las redes sociales en estos dispositivos.

Las empresas también deben auditar su seguridad para estar al tanto de los cambios en los requisitos. Al principio, una empresa puede haber tenido miedo al usar las redes sociales, pero ahora quiere que los sitios sean accesibles en el lugar de trabajo. Por el contrario, es posible que hayan permitido a los usuarios tener libertad de acción sobre los sitios de redes sociales que visitan, pero ahora quieren limitar el acceso debido a una serie de incidentes. Estos requieren cambios en las reglas de firewall existentes, cómo los usuarios están capacitados para usar los recursos de Internet y pueden requerir cambios en las políticas existentes.

Uno de los principales beneficios y problemas de las redes sociales es que no necesita ningún hardware o software adicional para comenzar a usarlas. A pesar de los costos ocultos que discutiremos en el Capítulo 11, una persona puede simplemente crear una cuenta y comenzar a usarla. Esto permite a los empleados eludir los canales normales de empleo de nueva tecnología, junto con cualquier evaluación de riesgos y salvaguardas provistas por un departamento de TI. Siempre que puedan conectarse y acceder a sitios de redes sociales, esencialmente están fuera de su control.

El propósito de una estrategia de seguridad en las redes sociales es brindar a las personas la capacidad de hacer lo que necesitan sin comprometer la seguridad. Al crear uno, debe identificar qué áreas deben estar seguras, cómo se logrará la seguridad y quién será el responsable. La estrategia debe abarcar todas las áreas relacionadas con el uso de las redes sociales, incluidas las estaciones de trabajo corporativas que las personas pueden usar, los dispositivos móviles entregados a los empleados, la seguridad de la red y las restricciones de firewall.

La seguridad de las redes y computadoras corporativas es mantenida por miembros de un departamento de TI, quienes pueden otorgar o negar la capacidad de acceder a funciones, recursos y realizar ciertas acciones. Debido a que los sitios públicos de redes sociales son externos a su red, este nivel de control no se extiende a esos sitios. No espere el mismo nivel de soporte para un sitio externo que esperaría para su sitio web de intranet u otro recurso de red.

Existe un mayor control sobre los sitios de redes sociales privados que su empresa puede utilizar. Por ejemplo, si tienen sitios creados con SharePoint, el administrador puede controlar quién dentro de la organización puede ver, contribuir y aprobar el contenido agregado a las páginas, así como los documentos y otros archivos que se cargan. Debido a que las aplicaciones implementadas en este entorno pueden tener sus propios controles de seguridad, el personal de TI puede tener un control granular sobre lo que las personas pueden hacer. Al crear una estrategia de seguridad, deberá identificar qué sitios se ven afectados (por ejemplo, Facebook, Twitter o su intranet corporativa) y crear reglas y procedimientos que sean aplicables a ellos.

La otra área en la que se debe consultar al departamento de TI es en relación con la configuración del firewall. Un firewall es un sistema de seguridad de hardware y / o software que controla lo que se permite entrar y salir de la red y utilizará funciones o herramientas de filtrado de contenido para ver el contenido y determinar si debe estar permitido. Bloquea el contenido no deseado a través de reglas que se crean y examina los paquetes de datos que entran o salen de la red para determinar si coinciden con esas reglas. Para uso en redes sociales, herramientas de filtrado de contenido como Websense (www.websense.com)podría usarse para permitir o bloquear sitios como Facebook y Twitter, o sitios que pertenecen a categorías específicas, como las redes sociales. Es importante trabajar con el administrador de red de su departamento de TI para que la configuración de seguridad se pueda configurar para permitir que los empleados accedan a los sitios.

Si desea que las personas utilicen determinadas aplicaciones, el departamento de TI también deberá conocer estos requisitos. Por ejemplo, algunas aplicaciones usan Adobe Flash, lo que significa que debe instalarse en la computadora que se está utilizando. En otros casos, el sitio puede usar HTML 5 para entregar contenido, que no es compatible con todos los navegadores. Debido a que los empleados probablemente (y deberían) tener restricciones sobre lo que pueden instalar en las computadoras corporativas, el personal de TI necesitaría tener estos programas instalados.

El nivel de soporte que brinda un departamento de TI es otro tema importante para discutir, ya que se puede acceder a las redes sociales desde computadoras domésticas y dispositivos móviles personales. Un oficial de redes sociales puede sentir que la mesa de ayuda del departamento de TI debe brindar soporte de redes sociales a los empleados, pero el personal de TI puede tener una opinión diferente. Probablemente no vayan a proporcionar repentinamente soporte técnico a equipos que no son propiedad de la empresa. Tampoco querrían tocar un teléfono móvil o tableta personal que traigan a la oficina, ya que la empresa podría ser responsable de infringir la privacidad personal de alguien y de cualquier problema que surja más tarde con el dispositivo.

Esto no quiere decir que una empresa deba ignorar el hecho de que los empleados usarán dispositivos personales para acceder a las redes sociales o el riesgo potencial. Como mencionamos en capítulos anteriores, un empleado podría ser víctima de la ingeniería social y revelar su contraseña u otra información confidencial, o que su computadora personal se infecte con un virus o malware. Para evitar esto, la empresa debe capacitar a los empleados sobre problemas relacionados con la seguridad y también buscar descuentos corporativos para que compren software antivirus y otras herramientas de seguridad para uso doméstico.

Los mismos controles de seguridad disponibles en su cuenta personal de redes sociales son los que están disponibles para una cuenta comercial, así que no espere que el departamento de TI configure ninguna configuración más allá de lo que puede ver. También recuerde que no podrán acceder a ninguna configuración si no se les ha proporcionado el nombre de usuario y la contraseña de la cuenta. Debido a su experiencia técnica, su personal de TI puede ser útil para recomendar las mejores configuraciones posibles y brindar información sobre cómo configurarlas para lograr los resultados que desea.

Michael Cross (MCSE, MCP + I, CNA, Network +) es un especialista en Internet / analista forense informático del Servicio de Policía Regional de Niagara (NRPS). Realiza exámenes forenses informáticos en equipos involucrados en investigaciones criminales. También ha sido consultor y colaborador en casos relacionados con delitos informáticos / relacionados con Internet.