Reflexiones sobre redes e información
Las sociedades de hoy están expuestas a una infinidad de dispositivos que nos permiten estar comunicados e informados de manera inmediata ante cualquier suceso. Estos dispositivos, ya sean computadoras, smartphones y en últimas fechas Media Tablets en sus diferentes versiones, se vuelven hoy más democráticos por la baja en sus precios y son accesibles ya para muchos bolsillos. Al mismo tiempo, todos esos dispositivos habilitan la conexión a Internet casi en cualquier momento en cualquier lugar, siendo ese uno de sus principales atractivos. Simplemente para el 2010 IDC espera que en México el revenue generado por la venta de Smartphones crezca por arriba del 120% llegando a tener un valor mayor a los $1,500 millones de dólares. Sin duda esto está representando una gran oportunidad de negocio no sólo para los fabricantes de este tipo de equipos, también lo es para todas aquellas empresas enfocadas en el desarrollo de contenidos y aplicaciones que permitan una experiencia productiva y agradable en el consumidor final. Sin dejar de mencionar la oportunidad de negocio que es para todo tipo de empresas que pueden aprovechar estos excelentes canales de comunicación con sus clientes.
Esos clientes somos todos nosotros, desde niños, adolescentes, estudiantes, profesionistas entre otros grupos sociales. Cada uno de nosotros tenemos muy diversas necesidades de acceder y comunicar información para nuestro beneficio a través de cualquiera de los dispositivos que ya mencionamos. Ejemplos hay millones desde avisar en dónde estamos, responder un requerimiento a un cliente, tomar una decisión de compra, consultar alguna aplicación empresarial, cerrar una venta o simplemente encontrar un lugar para cargar gasolina.
Algunas de las aplicaciones más populares en esta nueva generación de dispositivos, especialmente en los portátiles, son hoy las redes sociales . Se trata de un fenómeno que de forma explosiva nos ha permitido comunicarnos con un número mayor de personas y entidades. En segundos podemos saber cuál puede ser una buena recomendación para cenar en un determinado rumbo, conocer el estado de salud de un buen amigo o incluso decidir nuestras próximas vacaciones al ver las fotos de algún conocido, más allá, podemos compartir artículos como este con alguien que creemos puede estar interesado.
Todos estos ejemplos pueden ya ser muy cotidianos en nuestra vida diaria, pero yo lo invito a nuestra primera reflexión, piense por un momento. ¿Qué pasaría si por "accidente" la información de nuestra cuenta bancaria se publicara en alguna de estas redes sociales?, ¿Qué podría pasar si alguien mal intencionado, que está fuera de mi red, llega a saber que tengo dos autos, dos casas, un hijo y un perro y además tiene acceso a ciertas fotos llegando a intuir el lugar en donde vivo?. Habrá quien opine que esas situaciones pueden ser un poco paranoicas, pero ciertamente no nos gustaría que eso sucediera sólo por precaución. Yendo más allá de la paranoia podemos citar sin más lo que desde hace unas semanas hemos estado leyendo en las noticias acerca de las vulnerabilidades que han puesto en jaque a las redes sociales. Si bien esas situaciones han sido corregidas por los administradores de las redes y al parecer los impactos han sido sólo en molestias a los usuarios, las consecuencias de cualquier evento de seguridad pueden ser igualmente muy diversas.
¿Qué hacemos para protegernos?
Las acciones de seguridad que cada persona toma pueden ser muy variadas. Están quienes son muy cautelosos y leen absolutamente todo el detalle acerca de las políticas de privacidad en los sitios en donde se registran como usuarios, investigan todas las funcionalidades de seguridad que los dispositivos y las aplicaciones ofrecen, deciden de forma muy juiciosa cómo y a quienes aceptarán en sus redes, no comparten con cualquiera su información personal. etc. Pero existen también aquellas personas que no hacen un alto para reflexionar y comparten mucha de su información privada sin aplicar ningún filtro, comparten información con desconocidos y no son conscientes por lo tanto de los riesgos a los que pueden estar expuestos, esto puede suceder especialmente con niños y adolescentes que no tienen una correcta supervisión en el uso del internet.
La siguiente reflexión es entonces ¿Hasta dónde usted sigue todas esas políticas que por "sentido común" todos deberíamos seguir? Y hablo de sentido común porque en una situación cotidiana en cualquier hogar, cuando recibimos una llamada telefónica y alguien del otro lado nos pregunta ¿Con quién hablo? tradicionalmente nosotros contestamos a la defensiva con otra pregunta: ¿Con quién quiere hablar?, sabiendo perfectamente que dar más información puede resultar peligroso.
El no apegarnos a las medidas básicas de seguridad nos puede entonces llevar a tener un problema de robo de información, pérdida de dinero en el caso del phishing por ejemplo, o hasta problemas personales si recordamos los casos de adulterio o pérdida del empleo que se han descubierto a través de las redes sociales.
Es entonces no un tema menor el considerar todas las medidas de seguridad que debemos tomar al momento de registrar nuestra información en cualquier sitio que permite socializar en Internet, desde no divulgar completamente nuestros datos personales hasta aplicar los filtros y las reglas necesarias para que personas ajenas a mi propia red accedan a mi privacidad.
¿Y qué pasa en el entorno empresarial?
Ahora lo invito a reflexionar en su entorno laboral. ¿Dentro de su empresa esas reglas, procesos y políticas - que el sentido común y la ley nos exigen seguir - son completamente entendidas y acatadas por todos, o no?
Al desenvolvernos en un entorno laboral, generamos y accedemos a una infinidad de datos, información y contenidos que pueden ser desde confidenciales, sensibles, o no relevantes dentro y fuera de la organización. Todos esos contenidos e información pueden no sólo ser accedidos sino también compartidos desde esta gran variedad de dispositivos que ya hemos mencionada y que sin duda serán cada vez más y más usados por los empleados.
A esto agreguemos que no todos esos dispositivos son entregados a los empleados por medio de la misma organización, es decir, cada uno de nosotros es libre de comprar y utilizar de forma personal cualquiera de estos dispositivos. Sin embargo, como empresa, no siempre podemos saber si alguna información de negocio está siendo accedida o transmitida a través de estos dispositivos "personales".
Es entonces que nos enfrentamos a una situación de descontrol en potencia. Algunas reflexiones más: ¿Cuántas memorias USB tiene cada uno de los empleados de la empresa y qué hay dentro de ellas?, ¿Cuántos empleados tienen un Smartphone personal en donde han configurado su correo electrónico personal?, ¿Cuántas personas comparten archivos de trabajo a través de su correo personal?. Es una realidad que, en la mayoría de los casos en los que en las situaciones arriba mencionadas han llevado a la pérdida de información de negocio, la razón es simplemente porque el empleado desconocía el riesgo y no porque necesariamente hubiera una mala intención de su parte.
Cada uno de esos dispositivos accediendo y compartiendo información empresarial puede representar un beneficio al negocio pero también puede transformarse en una vulnerabilidad que haga perder dinero al negocio, si no hay un conocimiento de los riesgos. Aquí, una de las mejores recomendaciones es hacer consciente a todos los recursos humanos acerca de la propiedad de la información: todos y cada uno de los datos, información y contenidos generados con un objetivo de negocio son propiedad de la empresa y no del empleado. El hacer consciente y comprometer a las personas a proteger y asegurar la información pero sobre todo a seguir procesos en la comunicación es uno de los elementos clave en toda estrategia de seguridad.
Sin embargo, en el ámbito empresarial, el tema de la protección de información va más allá de asegurarnos que desde el interior no se arriesgue al negocio. Las empresas que ejecutan estrategias de marketing a través de las redes sociales deben también ser responsables en el uso que le dan a la información que los usuarios comparten con ellos y transmitir así un mensaje de transparencia y confiabilidad hacia la comunidad. Y es así como encontramos una reflexión más
¿Es confiable toda la información que consultamos?
La realidad en muchas de las empresas es que la información se comparte, se almacena e incluso se modifica sin un control ordenado y es aquí donde debemos pensar en si tenemos respuestas: ¿podemos confiar en toda la información que hay en los sistemas de la empresa?, ¿Incluso aquella que encontramos en la redes sociales de la empresa?, ¿en su empresa hay secuestro de información en los escritorios de los empleados? Aquí nuevamente las personas necesitan tener un sentido común ciertamente desarrollado para poder confiar en lo que está leyendo y lo que publican o comparten.
Nuevamente en las últimas semanas hemos visto en los medios de comunicación un par de casos en las que a través de las redes sociales se difundieron noticias que resultaron ser no confiables. En ese periodo en donde se confirman o no ciertas informaciones, muchas personas pueden hacer comentarios o tomar decisiones erradas, ¿puede pasar eso en nuestra empresa? Definir procesos en el uso y consulta de información, definir fuentes oficiales, definir perfiles de acceso a las distintas aplicaciones y coordinación entre los diferentes departamentos son acciones muy concretas que deben incluirse en esa estrategia que busque proteger la información.
Si bien hoy aplicaciones como las redes sociales nos permiten como empresa tener un mejor y mayor acercamiento con nuestros clientes potenciales, debemos siempre coordinar a todos los involucrados (marketing, ventas, legal y la dirección general entre otros) para que aseguremos que estamos comunicando información confiable que no pone en riesgo la integridad del negocio y en donde se cumplan las leyes a las que podemos estar sujetos. ¿En dónde está el límite entre compartir y evidenciar o arriesgar el negocio?, en un mundo en constante comunicación, ¿hasta dónde queremos ser vistos?, si lo pensamos nuevamente desde el punto de vista personal es resulta muy obvio cuál es el tipo de información que no queremos que sea pública, sin embargo desde el punto de vista empresarial, ese razonamiento puede ser muy diverso así que nuevamente es necesario hacer un ejercicio interdisciplinario para que todos los grupos involucrados, incluyendo siempre al área legal, puedan definir qué tipo de información está sujeta a qué tipo de procesos para mantener la confiabilidad y la seguridad.
Después de que IDC entrevistara por arriba de 80 empresas mexicanas, pudimos descubrir que alrededor del 35% está considerando la seguridad y la administración del riesgo como una de las prioridades de inversión en soluciones tecnológicas. Es así como los responsables de las estrategias tecnológicas de las empresas en México saben que invertir en soluciones que les permitan implementar, automatizar y monitorear los procesos de seguridad es crucial en la protección de información.
Sabemos que hoy no basta sólo con invertir en firewall y antivirus para protegernos de ataques desde el exterior, hoy es importante identificar los que nosotros mismo hacemos al interior de nuestras organizaciones y en donde ya sea intencional o por accidente, pueden ocurrir eventos que arriesguen la confiabilidad y la disponibilidad de información crucial.
Definir procesos concretos de uso de la información es hoy un tema cultural, tecnológico y personal. Hacer esto habla de una profesionalización en la forma en la que trabajamos y por lo tanto de la empresa. Después de un muy complicado 2009 y un 2010 que ha resultado positivo pero muy retador, demostrar que nuestra empresa cuenta con procesos establecidos y confiables puede ser un habilitador del crecimiento, simplemente recordemos que uno de los elementos clave durante la pasada crisis fue la pérdida de confianza en la información que se publicaba por parte de las instituciones financieras.
Por otro lado sabemos que hoy el tema de la seguridad en México es una prioridad no sólo de la información, también de la seguridad física y por lo tanto, tomar las precauciones necesarias para nosotros, nuestras familias, empleados y ecosistema de negocios es crucial.
Entonces, como empresa, debemos comenzar a pensar en esa solución ideal de seguridad. Una estrategia integral de seguridad debe incluir tres elementos básicos, procesos definidos, personas conscientes y soluciones tecnológicas que permitan habilitarlo. Los grupos tomadores de decisiones en seguridad ya no son sólo desde el ámbito de las tecnologías de información, se trata hoy de grupos interdisciplinarios que involucran desde la seguridad física de recursos humanos, activos hasta la seguridad de la información.
Todo esto involucra sí, el tomar lo mejor de la infinidad de opciones que hoy tenemos pero siempre con las precauciones adecuadas que en verdad permitan que la tecnología trabaje en nuestro favor. Transmitir un mensaje de confianza al mercado a través de nuestras propias prácticas de seguridad le da una ventaja competitiva a las empresas de hoy. Y aquí nuestras dos últimas reflexiones: ¿Cómo establece su empresa hoy las prioridades y los procesos en temas de seguridad y de comunicación y uso de la información?, ¿Qué tan bien percibida es su empresa en términos de confianza?
La tecnología nos ofrece grandes beneficios, sin embargo y como siempre, las precauciones necesarias deben ser tomadas para poder disfrutar de la mejor experiencia.
*Cristina Rivas es Gerente de Investigación y Consultoría para mercados de Consumo en IDC México, siendo responsable de asegurar los procesos de producción en los proyectos de investigación y consultoría enfocándose en tres vectores específicos: calidad, valor y asesoría. Cristina tiene más de diez años de experiencia en el análisis de mercados y más de ocho específicamente en los mercados de Tecnologías de Información y Telecomunicaciones de México y Sudamérica.