Curso de Especialización en Comunicación 2.0 y
Social Media (UHU)
José Carlos del Arco Prieto
Consultor en Medios Sociales...
1. Riesgos en Social Media
Concepto de Riesgo en Social Media
• ALTIMETER: “Un riesgo en social media es la
probabilidad de que pueda ocurrir un even...
Ejercicio
• Describe los tipos de riesgos que puede
plantear el uso de los medios sociales por
parte de empleados y usuari...
Riesgos que plantea el Social Media
• Crisis de reputación de la Marca
• Publicación de contenido inapropiado e informació...
Riesgos en Social Media (ISACA)
Informe de ALTIMETER
Informe de PANDA Security
• Un reciente informe de Panda revela las siguientes
preocupaciones en las PYMES acerca de los r...
Informe de PANDA Security
• En cuanto en volumen de problemas de privacidad en
los canales sociales destacan los siguiente...
Estadísticas sobre Ataques (PANDA)
• El 33% de los usuarios de redes sociales ha sido víctima
de un ataque de malware
• Fa...
2. Tipo de Riesgos en Social Media
Daño en la Reputación de marca
• En las acciones de marketing y comunicación resulta esencial
mantener la coherencia con l...
Caso Burger King
Caso Virgin Atlantic
Promoción inmoral
Ejecutivo despedido
Daño en la Reputación de marca
Daño en la Reputación de marca
Pérdida de Productividad
• Los canales sociales aportan ventajas a nivel interno
(Empresa 2.0)
– Colaboración entre emplea...
Pérdida de Productividad
Vulneración de la Propiedad intelectual
• En los medios sociales los usuarios no deben
reproducir, editar y adaptar conten...
Propiedad intelectual en Facebook
• Facebook incorpora mecanismos que vigilan el cumplimiento de los
derechos de autor, pr...
Propiedad intelectual en Twitter
• Los Términos de Servicio de Twitter especifican que se debe
respetar el derecho de prop...
Propiedad intelectual en Twitter
Cuestiones legales
• Aquellos usuarios y empleados que no respeten
en sus publicaciones en marco legal vigente
pueden esta...
Vídeo de menores en Twitter
Publicación de información confidencial
• La organizaciones no disponen actualmente de controles
suficientes para impedir ...
Publicación de información confidencial
• Un estudio de BitDefender demostró que el 10% de los
empleados revelan informaci...
Revelación de datos íntimos
• Los empleados pueden publicar información que
comprometa su privacidad y la intimidad de ter...
Revelación de datos íntimos
• A través de la ingeniería social determinados
individuos intentan ganarse la confianza de lo...
Revelación de datos íntimos
• En cuanto el comportamiento online los usuarios deben
guardar cierta prudencia en no revelar...
Revelación de datos íntimos
Revelación de datos íntimos
Revelación de datos íntimos
Revelación de datos íntimos
Revelación de datos íntimos
Revelación de datos íntimos
Usurpación de Identidad
• La suplantación de identidad ocurre cuando un usuario
proporciona información falsa con objeto d...
Usurpación de Identidad
Brandjacking
• El término Brandjacking se refiere cuando alguien se
apropia de la identidad online de una organización o
c...
Brandjacking
Brandjacking
Brandjacking
Código Malicioso (Malware)
• El malware es un archivo que infecta al usuario y puede distribuirse por
toda la red de conta...
Código Malicioso (Malware)
• Los canales sociales son objeto de ataque por ofrecer una forma
efectiva de propagar el malwa...
Koobface: Caso de Malware
• Koobface es un gusano informático que ataca a los
canales sociales Facebook, Twitter y Myspace...
Koobface: Caso de Malware
• Efecto de Koobface:
– Toma el control de las actividades de navegación,
dirigiendo a los usuar...
Caso de Malware
• Crearon una aplicación de Google+ para Facebook
• En el feed de noticias de los usuarios figuraba una pá...
Caso de Malware
Caso de Malware
SCAM/HOAX
• Se trata de inventar bulos e historias que capten el
interés de los usuarios para que inviertan dinero en una
...
Caso de SCAM vía Facebook
• Aumentan los casos de SCAM en Facebook
• Los usuarios hacen click en enlaces creyendo que van ...
SCAM vía Facebook
SCAM vía Facebook
SCAM vía Facebook
Phishing
• El Phishing tiene como finalidad obtener el usuario y la
contraseña de la cuenta bancaria del destinatario a
tr...
Caso de Phishing vía Facebook
• Recientemente unos estafadores simularon formar parte
del equipo de seguridad de Facebook
...
Phishing vía Facebook
Phishing vía Facebook
Phishing vía Facebook
Caso de Phishing vía Facebook
• A principios de Abril del 2013 se ha detectado un
troyano que redirecciona el acceso a una...
Medidas preventivas
• Medidas Técnicas:
– Descarga de programas antiespía y antivirus
• Medidas Legales, contactar con:
– ...
Consejos para empleados
• Utilizar un correo personal (no el de la empresa)
• Crear una contraseña segura
• Actualizar el ...
Consejos para empleados
• No abrir correos de remitentes desconocidos ni enlaces
sospechosos
• Evitar el acceso a sitios w...
Consejos para empleados
• Configurar adecuadamente los niveles de privacidad en los medios
sociales:
• En Facebook:
– Most...
Ejercicio
• Nos solicitan en nuestra empresa que adoptemos medidas
preventivas ante la ocurrencia de las siguientes incide...
Ejercicio (II)
• Identifica a que categoría de riesgo correspondería
cada uno de los incidentes detectados
• Evalúa cada r...
Ejercicio (III)
• ¿En cuales de los riesgos identificados priorizarías
la asignación de recursos y esfuerzos?
• Establece ...
Ejercicio (IV)
• ¿Qué medidas se pueden tomar para asegurar un
mayor control y gestión efectivas de los riesgos?
• ¿Por qu...
3. Gestión de Riesgos en Social Media
Gestión de Riesgos
• La gestión de los riesgos es un proceso cíclico que
consta de diferentes fases de cara a sistematizar...
Gestión de Riesgos – Fases ALTIMETER
• Identificación de riesgos en social media
• Evaluación y priorización de los riesgo...
Gestión de Riesgos – Fases ALTIMETER
1. Identificación de Riesgos
• En esta fase se identifican los riesgos potenciales que pueden
manifestarse a través de los...
2. Evaluación y priorización de Riesgos
• Esta fase un proceso en sí mismo, en ella se evalúan los riesgos en
función de:
...
Matriz de Riesgos
Priorización de Riesgos
• La matriz de riesgos permite evaluar el nivel de
severidad de un riesgo potencial según criterio...
3. Mitigación y gestión de Riesgos
• En esta fase la organización lleva a cabo los esfuerzos de gestión ,
control y mitiga...
Proceso de control y mitigación (ALTIMETER)
Despliegue de Estructuras de Gobierno
• Estructura organizativa:
– Roles y funciones
– Equipo de social media: responsable...
Rol del Equipo de Social Media
Monitorización y Evaluación
• Resulta esencial monitorizar de forma continua y valorar
las nuevas amenazas presentes en lo...
Bibliografía
Bibliografía empleada
• Material consultado:
– [BRENT 2012]: “Social Media. Is your organization at risk?”. Brent
Frampton...
Taller gestion riesgos smuhu
Upcoming SlideShare
Loading in …5
×

Taller gestion riesgos smuhu

497 views
382 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
497
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Taller gestion riesgos smuhu

  1. 1. Curso de Especialización en Comunicación 2.0 y Social Media (UHU) José Carlos del Arco Prieto Consultor en Medios Sociales http://twitter.com/jcdelarco jcarco@gmail.com Gestión de Riesgos en Social Media
  2. 2. 1. Riesgos en Social Media
  3. 3. Concepto de Riesgo en Social Media • ALTIMETER: “Un riesgo en social media es la probabilidad de que pueda ocurrir un evento negativo multiplicado por el impacto que pueda tener”
  4. 4. Ejercicio • Describe los tipos de riesgos que puede plantear el uso de los medios sociales por parte de empleados y usuarios – Tuitear en #smuhu – Tiempo = 15 minutos
  5. 5. Riesgos que plantea el Social Media • Crisis de reputación de la Marca • Publicación de contenido inapropiado e información sensible que pone en riesgo la intimidad de las personas • Se vulnera la confidencialidad de los datos corporativos • Se compromete la seguridad • Pérdida de productividad • Infracciones del marco legal vigente
  6. 6. Riesgos en Social Media (ISACA)
  7. 7. Informe de ALTIMETER
  8. 8. Informe de PANDA Security • Un reciente informe de Panda revela las siguientes preocupaciones en las PYMES acerca de los riesgos sobre el uso de las redes sociales en horario laboral – 75% Violación de privacidad – 69% Malware – 60% Pérdida de productividad – 50% Daños en la reputación corporativa – 30% Problemas con la red corporativa • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf
  9. 9. Informe de PANDA Security • En cuanto en volumen de problemas de privacidad en los canales sociales destacan los siguientes datos: – 75% Twitter – 69% Facebook – 50% LinkedIN – 60% Otras • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf
  10. 10. Estadísticas sobre Ataques (PANDA) • El 33% de los usuarios de redes sociales ha sido víctima de un ataque de malware • Facebook es la fuente principal de infecciones de malware y de violaciones de privacidad • El 23% de los empleados ha sufrido un robo de identidad • El 77% de los empleados acceden a redes sociales durante su horario laboral • El 35% de los infectados han sufrido pérdidas económicas (el valor medio se estima en 5.000 euros) • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf
  11. 11. 2. Tipo de Riesgos en Social Media
  12. 12. Daño en la Reputación de marca • En las acciones de marketing y comunicación resulta esencial mantener la coherencia con los valores de la marca – Carece de sentido borrar comentarios de forma injustificada si entre los valores de marca se encuentran la cercanía y la satisfacción del cliente • Un comportamiento inadecuado de un empleado puede dañar la credibilidad de la empresa y provocar una importante crisis de reputación – Los comentarios negativos de empleados sobre su empresa o clientes pueden llegar a comprometer la imagen de la compañía • Controlar si la publicidad de la compañía aparece en sitios que no comprometan la reputación de la marca • Fuente: [BRENT 2012]
  13. 13. Caso Burger King
  14. 14. Caso Virgin Atlantic
  15. 15. Promoción inmoral
  16. 16. Ejecutivo despedido
  17. 17. Daño en la Reputación de marca
  18. 18. Daño en la Reputación de marca
  19. 19. Pérdida de Productividad • Los canales sociales aportan ventajas a nivel interno (Empresa 2.0) – Colaboración entre empleados y departamentos – Facilitan la comunicación horizontal por toda la organización – Gestión del conocimiento – Aumento de la productividad del empleado • Un uso inadecuado de los medios sociales puede provocar la reducción de la productividad debido a: – Utilizar los medios sociales para tareas que no tienen que ver con la actividad profesional, lo cual provoca pérdida de tiempo y de recursos de red (ancho de banda) – Uso adictivo o abusivo
  20. 20. Pérdida de Productividad
  21. 21. Vulneración de la Propiedad intelectual • En los medios sociales los usuarios no deben reproducir, editar y adaptar contenidos de terceros sometidos a la propiedad intelectual, derechos de autor y marcas comerciales registradas, so pena de denuncia del autor (vía legal o a través de los medios sociales) • Así mismo se debe citar la fuente y el autor del material compartido a través de los medios sociales • Existen licencias como Creative Commons y Copyleft que los autores puede utilizar para definir modalidades mas flexibles en cuanto la reproducción, distribución y adaptación del material compartido en Internet
  22. 22. Propiedad intelectual en Facebook • Facebook incorpora mecanismos que vigilan el cumplimiento de los derechos de autor, prohibiendo a los usuarios publicar contenidos que vulneren los derechos de propiedad intelectual de terceros • Los propietarios de material sujeto a copyright encontrarán información sobre como reportar las infracciones que detecten • Las condiciones de uso de Facebook e Instagram dejan entrever que dicha compañía puede reproducir, publicitar, modificar y adaptar los recursos que publiquen los usuarios, con lo cual resulta recomendable que los usuarios no compartan contenido sensible que puede perjudicarle • Cuando se cancela una cuenta en Facebook no se eliminan los contenidos en el que aparezca el cliente si hay terceros implicados • Fuente: https://www.facebook.com/help/399224883474207
  23. 23. Propiedad intelectual en Twitter • Los Términos de Servicio de Twitter especifican que se debe respetar el derecho de propiedad intelectual de los usuarios y espera que terceros hagan lo mismo • Si un autor detecta una infracción de copyright puede ponerse en contacto con Twitter para denunciar el hecho • Una sentencia judicial reciente ha penalizado a dos agencias de noticias por compartir, sin previa autorización, imágenes que un periodista había publicado en Twitter sobre el terremoto de Haití – Según la corte penal se han violado los derechos de autor de las fotografías – Los términos de servicio de Twitter recomiendan que se solicite permiso al autor antes de difundir fotos que hayan sido tuiteadas – Naturalmente se permite hacer RT de la publicación original (citando al autor) • Fuente: http://mashable.com/2013/01/15/twitter-photos-permission/
  24. 24. Propiedad intelectual en Twitter
  25. 25. Cuestiones legales • Aquellos usuarios y empleados que no respeten en sus publicaciones en marco legal vigente pueden estar sujetos a la acción de la justicia
  26. 26. Vídeo de menores en Twitter
  27. 27. Publicación de información confidencial • La organizaciones no disponen actualmente de controles suficientes para impedir o detectar que en los canales sociales se publiquen datos corporativos de carácter confidencial: – Información crítica del negocio – Promociones y ofertas previstas – Trabajos y proyectos realizados, o en curso – Planes y Estrategias – Datos de clientes – Productos y servicios en desarrollo – Aspectos financieros como presupuestos y salarios – Críticas a jefes y compañeros de empresa – Se han dado casos de fuga de datos al revelar información confidencial de forma accidental a la persona equivocada – Violaciones de la integridad de la información
  28. 28. Publicación de información confidencial • Un estudio de BitDefender demostró que el 10% de los empleados revelan información sensible como su identidad, número de teléfono y dirección • Algunos empleados agregaron a usuarios solo por su cara bonita • El 75% de los empleados reveló información confidencial de su trabajo a desconocidos y a través de los medios sociales • El CFO de Francesca Holding fue despedido por revelar información confidencial en Facebook y Twitter (2012): – “roadshow completed. Sold $275 million of secondary shares. Earned my pay this week”
  29. 29. Revelación de datos íntimos • Los empleados pueden publicar información que comprometa su privacidad y la intimidad de terceros • La publicación de datos personales y hábitos de comportamiento puede constituir un excelente caldo de cultivo para los atacantes: – Robos en el domicilio – Suplantación de identidad – Saqueo de dinero en cuentas bancarias
  30. 30. Revelación de datos íntimos • A través de la ingeniería social determinados individuos intentan ganarse la confianza de los usuarios con idea de acceder a información privada • Los usuarios deben vigilar las configuraciones de privacidad en los distintos canales sociales en los que tengan presencia • Así mismo los usuarios deben conocer que hacen los portales con los datos íntimos que hayan proporcionado a través de formularios de registro
  31. 31. Revelación de datos íntimos • En cuanto el comportamiento online los usuarios deben guardar cierta prudencia en no revelar demasiados detalles personales que puedan afectar a su intimidad: – Robos en viviendas por revelar que se iban de vacaciones unos días a un destino concreto – Publicación de fotos de menores sin restricción de acceso alguna, escuela en la que estudia, etc – Publicación de fotos comprometidas – Publicación del lugar de trabajo y dirección de la vivienda – Revelación de teléfonos y cuentas bancarias – Publicación de eventos públicos en Facebook y asistencia masiva sin control alguno
  32. 32. Revelación de datos íntimos
  33. 33. Revelación de datos íntimos
  34. 34. Revelación de datos íntimos
  35. 35. Revelación de datos íntimos
  36. 36. Revelación de datos íntimos
  37. 37. Revelación de datos íntimos
  38. 38. Usurpación de Identidad • La suplantación de identidad ocurre cuando un usuario proporciona información falsa con objeto de usurpar una identidad digital ajena a la suya con fines delictivos o de otra índole • Facebook y Twitter disponen de mecanismos para denunciar si un usuario ha clonado nuestros datos y la foto del perfil • Fuente: https://support.twitter.com/articles/72692-politica-de-usurpacion-de-identidad • Fuente: http://spicon.net/como-denunciar-una-suplantacion-de-identidad-en- facebook/
  39. 39. Usurpación de Identidad
  40. 40. Brandjacking • El término Brandjacking se refiere cuando alguien se apropia de la identidad online de una organización o celebridad con objeto de aprovechar su valor de marca o intentar dañar su reputación • Facebook y Twitter disponen de mecanismos para denunciar cualquier intento de apropiación indebida de marca • Las organizaciones deben a su vez proveerse de medios para proteger sus marcas de amenazas similares • Fuente: https://www.facebook.com/help/223752991080711/ • Fuente: https://support.twitter.com/articles/72689-marca-registrada
  41. 41. Brandjacking
  42. 42. Brandjacking
  43. 43. Brandjacking
  44. 44. Código Malicioso (Malware) • El malware es un archivo que infecta al usuario y puede distribuirse por toda la red de contactos en forma de distintas variantes (gusanos, troyanos y virus) • Produce los siguientes efectos: – Robo de información privada – Control del sistema – Captura de contraseñas • El código malicioso suele encontrarse en: – Noticias sensacionalistas, foto propia, tests de coeficiente de inteligencia – Aplicaciones de Facebook – Enlaces compartidos en publicaciones vía e-mail, Facebook, Twitter (ojo con los acortadores) • Fuente: [BRENT 2012] y [GUIA]
  45. 45. Código Malicioso (Malware) • Los canales sociales son objeto de ataque por ofrecer una forma efectiva de propagar el malware a una amplia audiencia (M86Security) – Aumentan los ataques vía red hacia Facebook y Twitter • El acceso a los canales sociales desde el PC corporativo implica un riesgo para la red global de la organización • El 4% de las publicaciones de Facebook incorporan enlaces a código malicioso y Spam (Websense) • Venta de cuentas de Twitter por parte de Hackers • Crece el número de aplicaciones para dispositivos móviles que contienen código malicioso • Fuente: [BRENT 2012]
  46. 46. Koobface: Caso de Malware • Koobface es un gusano informático que ataca a los canales sociales Facebook, Twitter y Myspace, entre otras • Se propaga enviando un mensaje mediante Facebook a los 'amigos' del usuario cuyo ordenador ha sido infectado. El mensaje contiene un asunto inocuo seguido de un enlace • Después de recibido, el mensaje redirecciona al receptor a un sitio externo donde se muestra una supuesta actualización del reproductor Flash. Si el archivo es descargado y ejecutado, el ordenador será infectado con dicho gusano • Fuente: WIKIPEDIA
  47. 47. Koobface: Caso de Malware • Efecto de Koobface: – Toma el control de las actividades de navegación, dirigiendo a los usuarios a sitios web contaminados cuando intentan acceder a los motores de búsqueda mas populares (Google, Yahoo, etc) – Propagación a través de las redes sociales – Robo de información confidencial y de licencias de software – Inserción de publicidad en los navegadores – Bloqueo del acceso a determinados sites – Descarga de actualizaciones del propio gusano – Crear nuevas cuentas en blogger y páginas
  48. 48. Caso de Malware • Crearon una aplicación de Google+ para Facebook • En el feed de noticias de los usuarios figuraba una página titulada “Google+ - Get Invite” • Al visitar la página se solicitaba permiso para que dicha aplicación pudiera acceder a la cuenta de Facebook y otorgando acceso a la información básica y del perfil (localización y cumpleaños), correo, permiso para publicar en el muro y acceder a los datos personales en cualquier momento • El resultado final era que se cedía todo el control de la cuenta a una aplicación externa fraudulenta • La aplicación animaba a hacer “Me Gusta” en la supuesta página, aparecía una ventana en la que se invitaba a los contactos del destinatario a darse de alta en la aplicación, con idea de que estos repitieran el mismo esquema basándose en la confianza otorgada a su círculo mas cercano • Fuente: http://nakedsecurity.sophos.com/2011/07/13/google-plus-invite-scam-facebook/
  49. 49. Caso de Malware
  50. 50. Caso de Malware
  51. 51. SCAM/HOAX • Se trata de inventar bulos e historias que capten el interés de los usuarios para que inviertan dinero en una determinada causa, premio, u obtención de comisiones de forma piramidal • La finalidad de los estafadores es conseguir dinero o propagar un virus • Los destinatarios jamás reciben premio alguno ni contraprestación económica • El caso mas conocido es el timo de la lotería, en cual unos estafadores hicieron creer a los destinatarios que les había tocado la lotería • Fuente: http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=124
  52. 52. Caso de SCAM vía Facebook • Aumentan los casos de SCAM en Facebook • Los usuarios hacen click en enlaces creyendo que van a ver un vídeo y en realidad acceden a una web de premios online • Los estafadores utilizaron un vídeo de una estrella italiana que adoptó una postura llamativa • Cuando los usuarios hacían click en el enlace el vídeo no se reproducía, se compartía la publicación en su muro (a través de la verificación de edad) y accedían a un portal web que simulaba ser Youtube, al pinchar en una supuesta encuesta se visualizaba una especie de concurso en el que para participar se solicitaban datos personales • Por cada registro en el portal los estafadores obtenían una comisión • Fuente: http://nakedsecurity.sophos.com/2011/07/18/this-girl-must-be-out-of-her-mind-on-live-television-facebook- scam/
  53. 53. SCAM vía Facebook
  54. 54. SCAM vía Facebook
  55. 55. SCAM vía Facebook
  56. 56. Phishing • El Phishing tiene como finalidad obtener el usuario y la contraseña de la cuenta bancaria del destinatario a través de un mensaje de correo electrónico en cual se intenta suplantar a la entidad bancaria • Las entidades bancarias nunca solicitan datos de cuentas personales vía e-mail y canales sociales • En caso de presunta estafa se recomienda ponerse en contacto con la empresa supuestamente suplantada
  57. 57. Caso de Phishing vía Facebook • Recientemente unos estafadores simularon formar parte del equipo de seguridad de Facebook • Enviaron un mensaje a los usuarios indicando que sus cuentas serían suspendidas por una supuesta violación de los términos de uso, para ello invitaban a hacer click en un enlace (una aplicación creada para tal efecto) • La aplicación mostraba un formulario cuya finalidad era la obtención de datos de la tarjeta de crédito, información personal (nombre/apellidos, email), y de la propia cuenta de Facebook (contraseña) • Fuente: http://nakedsecurity.sophos.com/2011/07/03/fake-facebook-security-team-phishes- passwords-from-users/
  58. 58. Phishing vía Facebook
  59. 59. Phishing vía Facebook
  60. 60. Phishing vía Facebook
  61. 61. Caso de Phishing vía Facebook • A principios de Abril del 2013 se ha detectado un troyano que redirecciona el acceso a una página falsa • Cuando el malware se descarga se instala como servicio del sistema • Cada vez que el usuario pinche en facebook.com será redirigido a una página falsa de comprobación de seguridad, la cual mostrará un formulario cuya finalidad será la obtención de datos de la tarjeta de crédito, información personal (nombre/apellidos, email), y de la propia cuenta de Facebook (contraseña) • Fuente: http://www.net-security.org/malware_news.php?id=2451
  62. 62. Medidas preventivas • Medidas Técnicas: – Descarga de programas antiespía y antivirus • Medidas Legales, contactar con: – Brigada de Investigación Tecnológica de la Policía Judicial (fraudeinternet@policia.es) – Guardia Civil (Grupo de Delitos Telemáticos) – Agencia Española de Protección de Datos • Medidas Formales: – Informarse en las diferentes Páginas Web temáticas sobre estos delitos – Mecanismos de denuncia de las principales plataformas sociales (Facebook y Twitter) Fuente: http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=124
  63. 63. Consejos para empleados • Utilizar un correo personal (no el de la empresa) • Crear una contraseña segura • Actualizar el sistema operativo y aplicaciones • Descargar aplicaciones desde sitios oficiales • Utilizar tecnologías de seguridad (antivirus, antiespía, firewall) • No introducir información en formularios sospechosos • Evitar la ejecución de archivos de dudoso origen • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf y [GUIA]
  64. 64. Consejos para empleados • No abrir correos de remitentes desconocidos ni enlaces sospechosos • Evitar el acceso a sitios web sospechosos • No aceptar solicitudes de amistad de personas que no conozcáis • Verificar todos nuestros contactos • No mezclar contactos de trabajo con amigos • Definir como se va a representar a la empresa en los medios sociales • Evitar publicaciones de carácter personal • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf y [GUIA]
  65. 65. Consejos para empleados • Configurar adecuadamente los niveles de privacidad en los medios sociales: • En Facebook: – Mostrar la información solo a vuestros contactos mas allegados – Limitar el público que observa las fotos en las que hayáis sido etiquetado – Evitar que las aplicaciones puedan acceder a vuestra información personal, o publicar en el muro • En Twitter: – Hacer click en los enlaces proporcionados por usuarios conocidos o que inspiren confianza – Evitar seguir usuarios desconocidos para evitar la recepción de mensajes de contenido malicioso • Fuente: http://www.nextvision.com/img/pdf/informe-redessociales.pdf y [GUIA]
  66. 66. Ejercicio • Nos solicitan en nuestra empresa que adoptemos medidas preventivas ante la ocurrencia de las siguientes incidencias en los canales sociales: – Posibilidad de que un Trol publique un comentario negativo en nuestra página de Facebook (Fila 1) – Posibilidad de que cualquier influyente digital pueda criticar a nuestra marca desde su cuenta de Twitter (Fila 2) – Posibilidad de que algunos empleados hablen mal de sus compañeros y responsables a través de Twitter (Fila 3) – Posibilidad de que suplanten nuestra cuenta corporativa en Facebook y hablen en nombre de nuestra marca (Fila 4) – Nuestro director general (muy influyente) acaba de publicar datos privados de clientes en su cuenta de Twitter y la noticia ha trascendido a los medios de comunicación (Fila 5) • Tiempo = 30 min
  67. 67. Ejercicio (II) • Identifica a que categoría de riesgo correspondería cada uno de los incidentes detectados • Evalúa cada riesgo identificado: – Determina la probabilidad de que ocurra: Baja, Media, Alta, Muy Alta – Determina el nivel de impacto: Bajo, Medio, Alto, Muy Alto – Determina el nivel de severidad del riesgo combinando el valor de los dos atributos anteriores
  68. 68. Ejercicio (III) • ¿En cuales de los riesgos identificados priorizarías la asignación de recursos y esfuerzos? • Establece un Proceso de decisión para controlar y mitigar los riesgos: – Reducir la probabilidad: • ¿Puede ser controlado el riesgo en primera instancia? En caso afirmativo,¿cómo lo harías? • ¿Estamos ante un riesgo inminente y a corto plazo? – Mitigar el impacto: • ¿Es posible reducir y controlar el efecto de la incidencia? En caso afirmativo, ¿cómo lo harías? • ¿Qué medidas tomar si no se puede controlar el impacto del riesgo?
  69. 69. Ejercicio (IV) • ¿Qué medidas se pueden tomar para asegurar un mayor control y gestión efectivas de los riesgos? • ¿Por qué resulta tan importante monitorizar los riesgos actuales? • ¿Suponen los siguientes aspectos un riesgo potencial? ¿De que forma afectaría a nuestro proceso de gestión de riesgos? – Entrada de un nuevo canal social – Tecnologías emergentes – Identificación de nuevas amenazas en los medios sociales
  70. 70. 3. Gestión de Riesgos en Social Media
  71. 71. Gestión de Riesgos • La gestión de los riesgos es un proceso cíclico que consta de diferentes fases de cara a sistematizar las siguientes actividades: – Identificar posibles riesgos presentes y futuros – Evaluar el impacto y alcance de los riesgos – Priorizar riesgos – Destinar recursos para la prevención y control de los riesgos – Definir un proceso de gestión de crisis en Social Media de cara a mitigar el impacto de aquellos riesgos que puedan manifestarse a corto plazo
  72. 72. Gestión de Riesgos – Fases ALTIMETER • Identificación de riesgos en social media • Evaluación y priorización de los riesgos detectados • Mitigación y gestión de riesgos • Monitorización y evaluación • Fuente: Estudio ALTIMETER
  73. 73. Gestión de Riesgos – Fases ALTIMETER
  74. 74. 1. Identificación de Riesgos • En esta fase se identifican los riesgos potenciales que pueden manifestarse a través de los medios sociales • A continuación se categoriza cada riesgo siguiendo la clasificación establecida por ERNST & YOUNG (2011) • La identificación de amenazas en social media es un proceso continuo, periódico, y específico en cada organización – Base de datos de riesgos – Análisis interno: Identificar las causas de la aparición de un riesgo de cara a su prevención – Análisis externo: Detección de casos de éxito y buenas prácticas – Identificar riesgos potenciales en cada acción que se plantee en los canales sociales • Fuente: [ALTIMETER]
  75. 75. 2. Evaluación y priorización de Riesgos • Esta fase un proceso en sí mismo, en ella se evalúan los riesgos en función de: – La probabilidad de que ocurra una determina amenaza (baja, media, alta, muy alta) – El impacto potencial que tendría dicho riesgo (ídem) • A nivel de impacto se evalúa que efectos produce la ocurrencia del riesgo en término de: – Pérdida de reputación corporativa (descenso en ventas y clientes), daño financiero y descenso en la calidad del servicio • El resto está en reducir la probabilidad de que se manifieste el riesgo y mitigar su impacto • Fuente: [ALTIMETER]
  76. 76. Matriz de Riesgos
  77. 77. Priorización de Riesgos • La matriz de riesgos permite evaluar el nivel de severidad de un riesgo potencial según criterios de probabilidad e impacto: – Nivel muy alto, alto, moderado, bajo • En función del grado de severidad del riesgo la organización prioriza recursos/esfuerzos para reducir la probabilidad de que ocurra, y minimizar el impacto negativo de dicha incidencia • Fuente: [ALTIMETER]
  78. 78. 3. Mitigación y gestión de Riesgos • En esta fase la organización lleva a cabo los esfuerzos de gestión , control y mitigación de riesgos • Se establece un proceso de decisión para controlar y mitigar los riesgos: – Se determina si el riesgo puede ser controlado en primera instancia (en caso afirmativo se establecen los controles necesarios) – Si la ocurrencia del riesgo es inmediata se intenta mitigar su impacto. Se determina si es posible reducir y controlar el impacto de la incidencia (a través de controles). En caso contrario se recurre al plan de crisis para minimizar los efectos negativos. • Así mismo se despliegan las estructuras de gobierno del Social Media para dotar de consistencia al proceso • Fuente: [ALTIMETER]
  79. 79. Proceso de control y mitigación (ALTIMETER)
  80. 80. Despliegue de Estructuras de Gobierno • Estructura organizativa: – Roles y funciones – Equipo de social media: responsable la gestión de riesgos en colaboración con las diferentes áreas (RRHH, Marketing, Comunicación, PR, Legal, Seguridad, etc) • Procesos, Procedimientos, Protocolos de respuesta • Políticas • Plan de Formación • Herramientas tecnológicas – Monitorización y escucha (Radian 6, Google Alerts, etc) – Sistemas de gestión para Social Media (Hootsuite, SproutSocial, etc)
  81. 81. Rol del Equipo de Social Media
  82. 82. Monitorización y Evaluación • Resulta esencial monitorizar de forma continua y valorar las nuevas amenazas presentes en los medios sociales • El proceso de gestión de riesgos debe ser evaluado, revisado y optimizado de forma periódica (cada seis meses o anualmente) teniendo en cuenta dichos riesgos emergentes – Entrada de un nuevo canal social – Tecnologías emergentes – Identificación de nuevas amenazas • Para ello es necesario medir la efectividad de las estrategias de mitigación y control de riesgos vigentes en la organización
  83. 83. Bibliografía
  84. 84. Bibliografía empleada • Material consultado: – [BRENT 2012]: “Social Media. Is your organization at risk?”. Brent Frampton (2012) – [ISACA]: “Social Media Risks and Mitigation Guidande”. ISACA (2012) – [DANIEL]: “Risks Management: Social Media usage in enterprises”. Daniel Walther (2011) – [GUIA]: “Guía de seguridad en redes sociales”. ESET • He reproducido contenido de las siguientes fuentes: – http://www.isaca.org/Education/Upcoming-Events/Documents/2012-NACACS- Presentations/246-nac2012.pdf – http://www.altimetergroup.com/2012/08/the-imperative-for-social-risk-management.html – http://www.eset-la.com/pdf/documento_redes_sociales_baja.pdf

×