latin cacs 2009 224

www.isaca.orgPág.1

Sesión # 224

Redes Sociales y Web 2.0 Ventajas y Riesgos en su Uso al Interior de

las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP

Socio Asesoría México y Centroamérica

2009 Costa Rica

www.isaca.orgPág.2

Agenda

• Objetivo • ¿Qué es Web 2.0? • El fenómeno de las redes sociales • ¿Qué puede hacer un individuo? • ¿Dónde están los riesgos? • ¿Cómo controlarlos? • ¿Qué sigue? • Conclusiones

www.isaca.orgPág.3

Objetivo

• Comprender el concepto de Web 2.0. • Entender la transformación que están

generando las redes sociales. • Identificar usos prácticos al interior de las

organizaciones. • Conocer riesgos y sugerencias de

controles.

www.isaca.orgPág.4

¿Qué es Web 2.0?

• Concepto… ¿Nuevo? • Web 2.0 = Medios sociales • El desarrollo de contenidos cae en manos

de los usuarios. • Los mismos usuarios califican o

descalifican los contenidos presentados. • Representa el modelo de la red de Reed. • ¿Cómo ha pasado?

www.isaca.orgPág.5

¿Qué es Web 2.0? Los patrones económicos predicen un cambio

Era Mainframe

Era Cliente Servidor

Era Internet 1.0

200019901980

www.isaca.orgPág.6

¿Qué es Web 2.0? Navegando en 2009

www.isaca.orgPág.7

¿Qué es Web 2.0? Web 1.0

Propietario del Sitio

Visitante Visitante Visitante

Sitio

www.isaca.orgPág.8


TÚ

AMIGOS

DISPOSITIVOSBLOGS

FOTOS VIDEOS

ETIQUETAS

COMENTARIOSGRUPOS

www.isaca.orgPág.9


Web 2.0Tagging

RSSSocial

Mashup

AJAX

XMLBlog

Podcast Videocast

Wiki

Experience

CollaborateUser-centric

Open

Distributed

Client-side

Web-services

www.isaca.orgPág.10

¿Qué es Web 2.0? El Paisaje Web 2.0


El fenómeno de las redes sociales

• Celebridades del mundo usan redes sociales. • Organizaciones han comenzado a utilizarlas. • Principal uso = Marketing. • Algunas compañías han comenzado a dar usos

distintos: servicio a clientes o soporte. • Han probado utilidad en casos de emergencia. • ¿Qué es una red social?


El fenómeno de las redes sociales¿Qué es una red social?

El uso de las redes sociales se ha acelerado

La popularidad ha crecido de forma importante

Fuente: Datamonitor



• De acuerdo con Wikipedia (http://es.wikipedia.org/wiki/Red_social#cite_note-0): – “ Una red social es una estructura social que se puede representar en forma de uno o varios grafos en el cual los nodos representan individuos (a veces

denominados actores) y las aristas relaciones entre ellos. El aumento de las visitas de los internautas a las redes sociales ha reducido a la mitad las visitas a los sitios con contenido pornográfico, según los datos recogidos.1

– Estructura Social: “En sociología, la Estructura social es el concepto que describe la forma que adopta el sistema global de las relaciones entre individuos; introducido en la ciencia por el alemán Georg Simmel, a finales del siglo XIX y por Ferdinand Tönnies con 'comunidad íntima' y 'asociación impersonal', para explicar las relaciones sistemáticas que vinculan a miembros de una determinada comunidad aunque no se encuentren en ningún momento en contacto directo”.

http://es.wikipedia.org/wiki/Estructura_social

http://es.wikipedia.org/wiki/Estructura_social

http://es.wikipedia.org/wiki/Grafos

http://es.wikipedia.org/wiki/Pornograf%C3%ADa_en_Internet

?slideindex=0

http://es.wikipedia.org/wiki/Sociolog%C3%ADa

http://es.wikipedia.org/wiki/Individuo

http://es.wikipedia.org/wiki/Alemania

http://es.wikipedia.org/wiki/Georg_Simmel

http://es.wikipedia.org/wiki/Georg_Simmel

http://es.wikipedia.org/wiki/Siglo_XIX

http://es.wikipedia.org/wiki/Siglo_XIX

http://es.wikipedia.org/wiki/Ferdinand_T%C3%B6nnies

http://es.wikipedia.org/wiki/Ferdinand_T%C3%B6nnies

http://es.wikipedia.org/wiki/Sistema



• Al concepto de Wikipedia agregaría que las redes sociales: – Dan voz y capacidad de opinión a los individuos. – Crean capacidad en los individuos para generar contenidos. – Otorgan el poder para dar popularidad a otros individuos o entidades. – Permiten a las organizaciones llegar a los individuos en escenarios diferentes y más favorecedores de una homologación de ofertas. – Ofrecen un canal en el que los comentarios y comportamientos se pueden oir, medir y registrar en el tiempo.


¿Qué puede hacer una organización?

• Reconocer las tecnologías Web 2.0:

– Blogs. – Mashups. – Podcasting. – RSS.

Fuente: Forrester Research


¿Qué puede hacer una organización?El caso Ernst & Young


¿Qué puede hacer una organización?El caso Starbucks

http://mystarbucksidea.force.com/ideaList


¿Qué puede hacer una organización?El caso McGraw Hill


¿Qué puede hacer una organización?

► Nos guste o no, la revolución Empresa 2.0 ha iniciado.

► La crisis financiera ha definido nuevos mecanismos para relacionarse con los clientes.

► La tecnología está mucho más accesible y los límites se establecen únicamente por nuestra capacidad para innovar.

► Incremento de confianza y lealtas

► Incremento de la participación de mercado

► Contacto con clientes en cualquier momento y lugar

Beneficios Principales:

► Innovación basada en el cliente ► Retroalimentación transparente ► Marketing viral basado en el

cliente ► Adopción temprana ► Precios definidos tomando en

cuenta las consideraciones de los clientes.

Nuevas Interacciones:

Fuente: Ernst & Young


¿Qué puede hacer una organización?Cómo Surge Empresa 2.0

• Estar “en línea” está comenzando a dejar de tener sentido porque cada vez hay menos gente “fuera de línea”.

• El mundo real tiende a estar “En-línea”.

• Así como la frontera entre el mundo real y el mundo “en línea” se hace gris, otras comienzan también a cambiar:

– Colega vs. Amigo vs. Pariente vs. Proveedor

– Accionista vs. Empleado – Tiempo de Trabajo vs. Tiempo

Personal – Oficina vs. Casa

• El concepto Empresa 2.0 reconoce estos cambios y construye los fundamentos de una nueva empresa


¿Qué puede hacer una organización?Empresa 2.0 Vs. Web 2.0

• Web 2.0 constituye una forma moderna de compartir, distribuir, y buscar información en la Web.

• No todo es tecnología.

• En el mundo 2.0 la gente espera poder: – Compartir con transparencia – Dar y recibir información confiable – Participar y mejorar de forma

colaborativa – Crecer en comunidad – Intercambiar confianza

• Empresa 2.0 es la integración de Web 2.0 en el contexto corporativo con el desarrollo de políticas, seguridad y gobierno

Distribución y Autoría Colectiva

Administración de

Retroalimentación

Red de

Confianza

Empresa 2.0



¿Qué puede hacer una organización?La gente necesita contribuir

Uso de Wikis para crear contenido colectivamente (aquí Wikipedia)

Uso de Blogs para compartir puntos de vista personales (aquí Blogger)


¿Qué puede hacer una organización?La gente quiere opinar

Retroalimentación abierta para maestros con políticas y reglas (aquí ratemyteachers.com disponible sólo para países como EU y Australia)

Sitios de crítica abierta en México: La Jaula para escuelas, alimentado por alumnos;

“Apestan” para criticar servicio a clientes de organizaciones diversas.


¿Qué puede hacer una organización?La gente quiere desarrollar una red de confianza

Desarrollar una red profesional de confianza (aquí LinkedIn)

Una red de confianza puede ser de utilidad más allá de las fronteras (aquí EY Careers en FaceBook)


¿Qué puede hacer una organización?¿Qué es finalmente Empresa 2.0?

• Usar la web como plataforma para desempeñarse mejor, trabajar más rápido y generar costos menores al habilitar nuevos canales.

• Incluye a empleados, socios, proveedores y clientes. • Colaboración, trabajo en equipo, participación, interacción transparente.

► Jerarquía ► Fricción ►Burocracia ► Inflexibilidad ► Tecnología dirigida por TI sin control de usuario ►De arriba a abajo (Top down) ►Centralizada ►Equipos en un edificio y zona horaria ►Silos y fronteras ►Necesidad de saber ►Sistemas de información estructurados ► Taxonomías ►Alta Complejidad ►Estándares propietarios cerrados ►Calendarizado ►Ciclos de venta muy largos ►Habilitado por productos y servicios ►Segmentación de clientes ►Basado en fases

►Organización lineal ► Flujo de organización simple ►Agilidad ► Flexibilidad ► Tecnología con control del usuario ►De abajo a arriba (Bottom up) ►Distribuida ►Equipos globales ► Fronteras borrosas ► Transparencia ►Sistemas de información emergentes ► Folksonomías ►Simple ►Abierto ►Bajo Demanda ►Ciclos de venta cortos ►Habilitado por gente, procesos y herramientas ► Innovación del Cliente ►Beta Permanente

Empresa 1.0 Empresa 2.0



¿Qué puede hacer una organización?Áreas de desarrollo para Empresa 2.0

Calificación

Votación/Ranking

Comentarios

WikiBlogsTagging

LinksBúsqueda

RSS

Podcast

Redes Sociales

SOA

Mashups

BPMBRE

PortalESB

Código Abierto

Equidad de Marca

Equipo Virtual

Lealtad de personal

Admón, de Talento

Creación de pool de clientes

…

Lealtad de Clientes

Convertir y Extender Ventas

Mejora de Marketing

InnovaciónClientes Segmentados

Generación de

oportunidad

Admón del desempeño y recompensas

Administrar activos

Reducción de Costos

Reducir tiempo de

salida a MKT

Crecimiento de Mercado

Exc

elen

cia

de

Per

sona

l

Incremento de

Ventas

Excelencia Operativa

Empresa 2.0

Multi-Canales /



¿Qué puede hacer una organización?Agilidad para cerrar el ciclo de la innovación

Conocimiento de mercado

Adm

inis

traci

ón d

e la

re

troal

imen

taci

ón

del m

erca

do

Dis

eño

e im

plan

taci

ón d

e P

rodu

ctos

y s

ervi

cios

Empresa 2.0 Objetivo: ►Anticipar necesidades de clientes

y salir a mercado rápido ►Conocimiento del mercado ►Retroalimentación del mercado ►Desarrollar una comunidd leal a

un producto o servicio ►Productos y servicios diseñados

por clientes y para clientes. Tecnologías: ►Redes sociales ►Blogs ►Wikis ►Tagging colaborativo, Rating,

Ranking y administración de la retroalimentación

►Contenidos para RSS y Podcasts ► “Mash-Ups”

Agilidad Objetivo: ► Implantar con un tiempo reducido

de salida a mercado ► Integrarse y aprovechar los

activos existentes (bajos costos, menores riesgos)

►Enfocarse en agregar valor

Tecnologías: ►Arquitecturas orientadas a

servicio (SOA) ►Aplicaciones compuestas

(composiciones) ►Administráción de procesos de

negocio (BPM) ►Motores de reglas de negocio

(BRE)


¿Qué puede hacer una organización?Reduciendo el tiempo de salida a mercado

Movilizar Realizar

Peticiones de Mercado Formales

Estándar

Movilizar RealizarÁgil

Movilizar RealizarEmpresa 2.0

Movilizar RealizarEmpresa 2.0 ágil


¿Qué puede hacer una organización?Ejemplos reales – Aerolínea 2.0

www.bluenity.com

www.metrotwin.com

www.GenFlyLounge.com


¿Qué puede hacer una organización?Ejemplos reales – Banca de Menudeo 2.0

www.smartypig.com.au

www.ecureuil.fr

www.prosper.com

http://www.ecureuil.fr/


¿Qué puede hacer una organización?Ejemplos reales – Consumo 2.0

www.gmnext.com

www.dellideastorm.com

www.mystarbucksidea.com

http://www.gmnext.com/


¿Qué puede hacer una organización?Ejemplos reales – Medios 2.0

www.informationweek.com.mx

www.reforma.com


¿Qué puede hacer una organización?Ejemplos reales – Gobierno 2.0

www.presidencia,gob.mx

www.whitehouse.gov


¿Dónde están los riesgos?• Las herramientas del nuevo contexto social no quedan exentas de situaciones de riesgo. • Los riesgos a los que se expongan variarán en función del modelo que sigan, los procesos que habiliten y de la infraestructura que las

soporte. • Es altamente recomendable que se ejecute un análisis de riesgos específico. • Una vez realizado lo anterior deberá trabajarse en la definición de controles correspondientes.


¿Dónde están los riesgos?Las amenazas se han incrementado

Redes Inalámbricas

Aplicaciones

Web

InvitadosKioskos de internet& computadoras compartidas

Consultores

IPsec VPNEmpleados

trabajando en casa

WANs& Extranets

SSL VPN

“Debido a los gusanos y otras amenazas, no puedes dejar tus redes abiertas a dispositivos y usuarios no autorizados.” Protect Your Network with a NAC Process, Gartner ID# G00124992


¿Dónde están los riesgos?Riesgos y amenazas

Espionaje Industrial

Vándalos

Actos Maliciosos

Intentos por entrar a datos

Ganancia Financiera

Sabotaje

Desastres Naturales

Pérdida de confianza

Confidencialidad comprometida en datos sensibles

Operaciones críticas detenidas

Auditorías financieras fallidas

Beneficios y servicios interrumpidos

Integridad comprometida en datos y reportes

Pérdida de activos

Servidor de E-Business

Servidor de E-Mail

Servidor de Archivos


• Servicios de beneficio mutuo en los que los usuarios pueden interactuar y explorar situaciones relacionadas con intereses similares. • Ejemplos: Todos los revisados anteriormente, por mencionar algunos están Facebook, Hi5, My Space y otros. • Posibles afectaciones por daños a la seguridad:

– Propiedad intelectual. – Privacidad. – Reputación.

¿Dónde están los riesgos?Implicaciones de seguridad de las redes sociales


• Las redes sociales pretenden ser mutuamente benéficas. • La propiedad intelectual está en riesgo si inadvertidamente se coloca información confidencial al alcance de la competencia. • Ejemplo:

– Piense en un individuo que un miembro de alguna red social (objetivo) pueda conocer. – Dése de alta como ese individuo en la red social a la que el objetivo pertenezca. – Envíe una invitación al objetivo usando su identidad en la red social en la que ambos están registrados.

¿Dónde están los riesgos?Propiedad intelectual


• La emoción y los beneficios de las recién emergidas redes sociales hacen que la gente comparta información personal sin pensarlo mucho. • Este problema se corregirá con el tiempo una vez que se comprenda que hacerlo es peor que salir a gritar datos confidenciales a la calle. • Ejemplos de elementos que favorecen el “análisis de comportamiento remoto” :

– Incremento desmesurado de “amigos” en las redes sociales. – Al buscar empleo la gente tiene a crear contactos nuevos sin conocerlos lo suficiente. – ¿Qué está etiquetando (Flickr)?, ¿Qué dicen de usted sus amigos (Facebook, My Space, Hi5)?, ¿Qué está haciendo ahora (Twitter)?

¿Dónde están los riesgos?Privacidad


• Cualquiera puede ser “usted”. • Es difícil retractarse de algo que se ha dicho (prácticamente todo lo que se dice es almacenado en algún lugar). • Análisis subjetivo de personalidad. • Reconocimiento: Comprensión de su actividad a partir de un análisis de reconocimiento remoto.

¿Dónde están los riesgos?Reputación y reconocimiento


• Analice cómo le conviene usar redes sociales. • Defina una estrategia formal y clara. • Realice un análisis de riesgos específico. • Clasifique la información de su organización. • Desarrolle un programa de concientización a usuarios, ejecutivos y personal.

¿Cómo controlarlos?Sentido común


¿Cómo controlarlos?Recuerde el modelo de Seguridad en el CVDS*

* CVDS = Ciclo de Vida de Desarrollo de Sistemas

3 Realizar análisis de arquitectura de seguridad

4 Iniciar

entendimiento y modelado de

amenazas

2 Revisar

requerimientos de seguridad

1 Calcular Impacto

5 Revisar

seguridad en código fuente

6 Mejorar

modelado de amenazas

7 Realizar prueba de penetración

8 Monitorear

Requerimientos Diseño Desarrollo Pruebas Liberación

Verde a Rojo Incrementa Costo de Remediación


Conclusiones

• Las redes sociales y el ambiente Web 2.0 en general representan un nuevo canal que puede ser explorado.

• Este nuevo canal representa oportunidades que pueden ofrecer una manera diferente de operar o hacer negocios.

• Las oportunidades son nuevas, los modelos también y los riesgos igual.

• Hay que identificar las verdaderas oportunidades y analizar los riesgos legítimos para definir acciones que faciliten su mitigación.

• No usar este nuevo canal dejará el campo libre para otros, incluida nuestra competencia ¿estamos dispuestos?


2008 Santiago Chile

Preguntas

Redes Sociales y Web 2.0 Ventajas y Riesgos en su Uso al Interior de

las Organizaciones Carlos Chalico, LI, CISA, CISM, CGEIT, CISSP

Socio Asesoría México y Centroamérica Tel: +52-55-11016414

Tel (2): +52-55-52831326 [email protected]

http://www.linkedin.com/in/carloschalico

Sesión # 224

mailto:[email protected]






Gracias, lo esperamos en…

Cancun, México Julio de 2010

Bogotá, Colombia

Marzo de 2010

latin cacs 2009 224

Technology