Balanceando beneficios y riesgos
implantando tecs Web 2.0 en la empresa
Eliut D. Flores Caraballo, Ph.D.Presidente, KManagement, Inc. / Catedrático, Escuela Graduada de Ciencias y Tecnologías de la Información, Universidad de Puerto Rico, Río [email protected] / 787 249 4444 / http://www.kmanagement.com
Information Systems Security Association ISSA Puerto Rico ChapterPrograma de Educación Continua / 11 de febrero de 2009
Hablemos de…
• Las tec Web 2.0 están en todas partes…
• Pero… ¿qué son, realmente?
• ¿Debemos bloquearlas o adoptarlas?
• Función de las Tec Web 2.0 en la empresa
• Riesgos de seguridad
• Estableciendo el balance…
2/11/2009
2
Eliut D. Flores, Ph.D. © ISSA PR Chapter
LAS TEC WEB 2.0 ESTÁN EN TODAS PARTES…
• Nuestros hijos viven en Facebook• Los estudiantes tienen vidas virtuales en
SecondLife• Mi madre de 71 años tiene un blog el cual es
visitado por decenas de personas del mundo entero
• Las empresas están despertando a la utilización de las tec Web 2.0 para estimular la colaboración y gerencia del conocimiento
2/11/2009
3
Eliut D. Flores, Ph.D. © ISSA PR Chapter
PERO… ¿QUÉ SON, REALMENTE?
• Forrester Research define Web 2.0 como:
▫ Un grupo de Tecnologías y aplicaciones que facilitan la
interacción eficiente entre personas, contenido y datos
en apoyo de nuevos negocios, ofrecimientos
tecnológicos y estructuras sociales
• En buena medida. las tec Web 2.0 son todo sobre
contenido generado por los usuarios
(Gaudin 2007)
2/11/2009
4
Eliut D. Flores, Ph.D. © ISSA PR Chapter
PERO… ¿QUÉ SON, REALMENTE?
• Predice Forrester gran inversión en la Web 2.0:
▫ La inversión agregada en las redes sociales, RSS,
wikis, blogs, mashups, podcasting y widgets crecerá a
una tasa anual compuesta de 43% en los próximos
cinco años.
▫ Para el 2013, la inversión anual en la Web 2.0
empresarial alcanzará los $4.6 billones
2/11/2009
5
Eliut D. Flores, Ph.D. © ISSA PR Chapter
¿DEBEMOS BLOQUEARLAS O ADOPTARLAS?
• Las tec Web 2.0 deben implantarse para apoyar la consecución de los objetivos de la empresa, no por pura moda
• Validar compatibilidad cultura organizacional▫ Si crear y compartir conocimiento… y colaborar
son valores importantes… las tec Web 2.0 contribuirán
▫ Si la burocracia y la dirección autoritaria son la norma… las tec Web 2.0 provocarán confrontación
2/11/2009
6
Eliut D. Flores, Ph.D. © ISSA PR Chapter
¿DEBEMOS BLOQUEARLAS O ADOPTARLAS?
• Pregúntense (Lawlor 2008)…▫ ¿Cuáles son sus metas para las tec Web 2.0?▫ ¿Quiénes poseen la información en su org?▫ ¿Cómo trabajan juntos en la actualidad?▫ ¿Cómo buscan y comparten el conocimiento?
• ¿Cuán importante es que los miembros de la organización se mantengan conectados…?▫ Entre sí▫ Con personas fuera de la organización
2/11/2009
7
Eliut D. Flores, Ph.D. © ISSA PR Chapter
FUNCIÓN DE LAS TEC WEB 2.0 EN LA
EMPRESA
• Ampliar esquema de búsqueda de información, conectar expertos para construir conocimiento
• Superar barreras geográficas, temporales y físicas
• Estimular mentoría y liderazgo consultivo
2/11/2009
8
Eliut D. Flores, Ph.D. © ISSA PR Chapter
FUNCIÓN DE LAS TEC WEB 2.0 EN LA
EMPRESA
• Promover colaboración de gran escala
• Destacar personas con impedimentos
▫ Ampliar alcance sin requerir desplazamiento
• Ampliar red de contactos profesionales
▫ En la organización
▫ En la industria
▫ En la comunidad
2/11/2009
9
Eliut D. Flores, Ph.D. © ISSA PR Chapter
RIESGOS DE SEGURIDAD
2/11/2009
10
Existen dos niveles de riesgo en la
implantación de las tecWeb 2.0 en la empresa
Errores de juicio y abusos de los usuarios en el
proceso de creación y divulgación de contenido
Violación de la infraestructura
tecnológica y de la seguridad de los
datos de la empresa
Eliut D. Flores, Ph.D. © ISSA PR Chapter
RIESGOS DE SEGURIDAD: TECNOLOGÍA
• Violación de autenticación
• Robo de identidad
• Penetración de código maligno
▫ WORMS, virus, ejecutables XML malware, Trojan horses, AJAX hacking
• Phishing sites (Neich 2008)
2/11/2009
11
Eliut D. Flores, Ph.D. © ISSA PR Chapter
RIESGOS DE seguridad : Tecnología
• SSL botnets penetran el firewall corporativo y extraen información sin ser detectados
• Rich Internet Applications (RIAs) que usanActiveX plug-ins, técnica común en las RIAs, son especialmente vulnerables.
▫ El 89 % de las debilidades de los plug-ins de los navegadores reportadas por Symantec en el 2007 afectaron plug-ins ActiveX de Internet Explorer
2/11/2009
12
Eliut D. Flores, Ph.D. © ISSA PR Chapter
RIESGOS DE SEGURIDAD: USUARIOS
• Permitir acceso a material confidencial
• Revelar secretos y Propiedad Intelectual de la compañía
• Violación de la cadena de mando
▫ Acceso horizontal puede violentar procesos de autorización y ámbitos de autoridad
2/11/2009
13
Eliut D. Flores, Ph.D. © ISSA PR Chapter
RIESGOS DE SEGURIDAD: USUARIOS
• Hostigamiento y falta de respeto
▫ Importante proteger a los usuarios de otros usuarios…
• Utilización impropia de Propiedad Intelectualexterna
• Posible pérdida de foco y productividad
▫ La herramienta no es un fin en sí mismo
▫ Definir responsabilidades y tiempo a dedicar
2/11/2009
14
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• La clave para lograr el balance es… definir la estrategia:▫ Plan de Gerencia del Conocimiennto Empresarial▫ Definir objetivos específicos▫ Medir Retorno de Inversión▫ Asignar responsabilidades Diseño y Gerencia del Plan KM y Tec Web 2.0 Programación y Administración Promoción y Supervisión
2/11/2009
15
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• Elementos esenciales▫ Apoyo inequívoco de la alta y media gerencia▫ Creación de la oficina del CKO▫ Adopción de políticas e incentivos▫ Análisis del ROI▫ Sembrar y cegar la cosecha… de conocimiento▫ Proteger la seguridad empresarial Instalar infraestructura dedicada
Publicar políticas Monitorear cumplimiento
2/11/2009
16
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• Planificar salvaguardas tecnológicas (Gaudin 2007, Neich 2008)▫ Verificar y auditar código externo de aplicaciones Web
2.0 integradas a servidores empresariales▫ Impedir que los usuarios puedan usar JavaScript▫ Prohibir la publicación de información personal que
los spammers puedan capturar▫ Controlar y monitorear en la red corporativa los
protocolos RTSP, MMS, IM, SSL y las aplicaciones P2P para identificar amenazas y ataques
2/11/2009
17
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• Planificar salvaguardas tecnológicas (Gaudin 2007)
▫ Realizar scans manuales y automáticos de los blogs de los usuarios y websites legítimos para verificar que no tengan código maligno
▫ Presten atención a las vulnerabilidades de AJAX
▫ Bloquear data posting a sites de alto riesgo y con certificados SSL inválidos
2/11/2009
18
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• Planificar salvaguardas tecnológicas (Edwards 2008)
▫ Usar codificación (encryption) de alta calidad
▫ Analizar aplicaciones web para identificar debilidades de validación de las pantallas
▫ Configuraciones inseguras de los servidores web
2/11/2009
19
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• Planificar salvaguardas tecnológicas (Edwards 2008)▫ Codificar los discos de los equipos de
almacenamiento▫ Borrar todos los files temporeros▫ Mantener los parchos de seguridad al día en los
sistemas operativos y en las aplicaciones▫ Probar y evaluar vulnerabilidad de las aplicaciones
luego de cada actualización o cambio
2/11/2009
20
Eliut D. Flores, Ph.D. © ISSA PR Chapter
ESTABLECIENDO EL BALANCE…
• El reto para la empresa está en lograr establecer un fino balance entre la seguridad de la red, los usuarios y los secretos de la organización… a la vez que protegemos la experiencia de los usuarios con las tec Web 2.0 y los estimulamos a crear conocimiento para lograr los objetivos de la organización.
2/11/2009
21
Eliut D. Flores, Ph.D. © ISSA PR Chapter
Recursos en Internet
• Second Life: www.secondlife.com
• Del.icio.us: http://del.icio.us
• LinkedIn: www.linkedin.com
2/11/2009
22
Eliut D. Flores, Ph.D. © ISSA PR Chapter
Referencias
• Edwards, John (2008). Best practices for web 2.0 security. IT Security.com February 12.
• Gaudin, Sharon (2007). The Move To Web 2.0 Increases Security Challenges. InformationWeek, May 24.
• Lawlor, Maryann (2008). Web 2.0 means business. SIGNAL Magazine, May.
• Martel, David (2008). Web 2.0: Going, Going, strong. Analyst Views. Blogs.Northernlight.com.
• Neich, Wayne (2008). Guest Column: Security Web 2.0-Open Season for the attackers? ITNews, 18 February.
2/11/2009Eliut D. Flores, Ph.D. © ISSA PR Chapter
23
Balanceando beneficios y riesgos
implantando tecs Web 2.0 en la
empresaEliut D. Flores Caraballo, Ph.D.Presidente, KManagement, Inc. / Catedrático, Escuela Graduada de Ciencias y Tecnologías de la Información, Universidad de Puerto Rico, Río [email protected] / 787 249 4444 / http://www.kmanagement.com
Information Systems Security Association ISSA Puerto Rico ChapterPrograma de Educación Continua / 11 de febrero de 2009
Muchas Gracias
Top Related