Balanceando beneficios y riesgos implantando tecs Web 2.0 en la empresa

Page 1

Balanceando beneficios y riesgos implantando tecs Web 2.0 en la empresa Information Systems Security Association ISSA Puerto Rico Chapter Programa de Educación Continua / 11 de febrero de 2009

Eliut D. Flores Caraballo, Ph.D. Presidente, KManagement, Inc. / Catedrático, Escuela Graduada de Ciencias y Tecnologías de la Información, Universidad de Puerto Rico, Río Piedras eflores@kmanagement.com / 787 249 4444 / http://www.kmanagement.com

2 Eliut D. Flores, Ph.D. © ISSA PR Chapter

Hablemos de… • • • • • •

Las tec Web 2.0 están en todas partes… Pero… ¿qué son, realmente? ¿Debemos bloquearlas o adoptarlas? Función de las Tec Web 2.0 en la empresa Riesgos de seguridad Estableciendo el balance…

2/11/2009

3 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

LAS TEC WEB 2.0 ESTÁN EN TODAS PARTES… • Nuestros hijos viven en Facebook • Los estudiantes tienen vidas virtuales en SecondLife • Mi madre de 71 años tiene un blog el cual es visitado por decenas de personas del mundo entero • Las empresas están despertando a la utilización de las tec Web 2.0 para estimular la colaboración y gerencia del conocimiento

4 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

PERO… ¿QUÉ SON, REALMENTE? • Forrester Research define Web 2.0 como: ▫ Un grupo de Tecnologías y aplicaciones que facilitan la interacción eficiente entre personas, contenido y datos en apoyo de nuevos negocios, ofrecimientos tecnológicos y estructuras sociales

• En buena medida. las tec Web 2.0 son todo sobre contenido generado por los usuarios (Gaudin 2007)

5 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

PERO… ¿QUÉ SON, REALMENTE? • Predice Forrester gran inversión en la Web 2.0: ▫ La inversión agregada en las redes sociales, RSS, wikis, blogs, mashups, podcasting y widgets crecerá a una tasa anual compuesta de 43% en los próximos cinco años. ▫ Para el 2013, la inversión anual en la Web 2.0 empresarial alcanzará los $4.6 billones

6 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

¿DEBEMOS BLOQUEARLAS O ADOPTARLAS? • Las tec Web 2.0 deben implantarse para apoyar la consecución de los objetivos de la empresa, no por pura moda • Validar compatibilidad cultura organizacional ▫ Si crear y compartir conocimiento… y colaborar son valores importantes… las tec Web 2.0 contribuirán ▫ Si la burocracia y la dirección autoritaria son la norma… las tec Web 2.0 provocarán confrontación

7 Eliut D. Flores, Ph.D. © ISSA PR Chapter

¿DEBEMOS BLOQUEARLAS O ADOPTARLAS? • Pregúntense (Lawlor 2008)… ▫ ▫ ▫ ▫

¿Cuáles son sus metas para las tec Web 2.0? ¿Quiénes poseen la información en su org? ¿Cómo trabajan juntos en la actualidad? ¿Cómo buscan y comparten el conocimiento?

• ¿Cuán importante es que los miembros de la organización se mantengan conectados…? ▫ Entre sí ▫ Con personas fuera de la organización

2/11/2009

8 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

FUNCIÓN DE LAS TEC WEB 2.0 EN LA EMPRESA • Ampliar esquema de búsqueda de información, conectar expertos para construir conocimiento • Superar barreras geográficas, temporales y físicas • Estimular mentoría y liderazgo consultivo

9 Eliut D. Flores, Ph.D. © ISSA PR Chapter

FUNCIÓN DE LAS TEC WEB 2.0 EN LA EMPRESA • Promover colaboración de gran escala • Destacar personas con impedimentos ▫ Ampliar alcance sin requerir desplazamiento

• Ampliar red de contactos profesionales ▫ En la organización ▫ En la industria ▫ En la comunidad

2/11/2009

10 Eliut D. Flores, Ph.D. © ISSA PR Chapter

Existen dos niveles de riesgo en la implantación de las tec Web 2.0 en la empresa

RIESGOS DE SEGURIDAD

Violación de la infraestructura tecnológica y de la seguridad de los datos de la empresa

Errores de juicio y abusos de los usuarios en el proceso de creación y divulgación de contenido

2/11/2009

11 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

RIESGOS DE SEGURIDAD: TECNOLOGÍA • Violación de autenticación • Robo de identidad • Penetración de código maligno ▫ WORMS, virus, ejecutables XML malware, Trojan horses, AJAX hacking

• Phishing sites (Neich 2008)

12 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

RIESGOS DE seguridad : Tecnología • SSL botnets penetran el firewall corporativo y extraen información sin ser detectados • Rich Internet Applications (RIAs) que usan ActiveX plug-ins, técnica común en las RIAs, son especialmente vulnerables. ▫ El 89 % de las debilidades de los plug-ins de los navegadores reportadas por Symantec en el 2007 afectaron plug-ins ActiveX de Internet Explorer

13 Eliut D. Flores, Ph.D. © ISSA PR Chapter

RIESGOS DE SEGURIDAD: USUARIOS • Permitir acceso a material confidencial • Revelar secretos y Propiedad Intelectual de la compañía • Violación de la cadena de mando ▫ Acceso horizontal puede violentar procesos de autorización y ámbitos de autoridad

2/11/2009

14 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

RIESGOS DE SEGURIDAD: USUARIOS • Hostigamiento y falta de respeto ▫ Importante proteger a los usuarios de otros usuarios…

• Utilización impropia de Propiedad Intelectual externa • Posible pérdida de foco y productividad ▫ La herramienta no es un fin en sí mismo ▫ Definir responsabilidades y tiempo a dedicar

15 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • La clave para lograr el balance es… definir la estrategia: ▫ ▫ ▫ ▫

Plan de Gerencia del Conocimiennto Empresarial Definir objetivos específicos Medir Retorno de Inversión Asignar responsabilidades  Diseño y Gerencia del Plan KM y Tec Web 2.0  Programación y Administración  Promoción y Supervisión

16 Eliut D. Flores, Ph.D. © ISSA PR Chapter

ESTABLECIENDO EL BALANCE… • Elementos esenciales ▫ ▫ ▫ ▫ ▫ ▫

Apoyo inequívoco de la alta y media gerencia Creación de la oficina del CKO Adopción de políticas e incentivos Análisis del ROI Sembrar y cegar la cosecha… de conocimiento Proteger la seguridad empresarial  Instalar infraestructura dedicada  Publicar políticas  Monitorear cumplimiento

2/11/2009

17 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • Planificar salvaguardas tecnológicas (Gaudin 2007, Neich 2008) ▫ Verificar y auditar código externo de aplicaciones Web 2.0 integradas a servidores empresariales ▫ Impedir que los usuarios puedan usar JavaScript ▫ Prohibir la publicación de información personal que los spammers puedan capturar ▫ Controlar y monitorear en la red corporativa los protocolos RTSP, MMS, IM, SSL y las aplicaciones P2P para identificar amenazas y ataques

18 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • Planificar salvaguardas tecnológicas (Gaudin 2007) ▫ Realizar scans manuales y automáticos de los blogs de los usuarios y websites legítimos para verificar que no tengan código maligno ▫ Presten atención a las vulnerabilidades de AJAX ▫ Bloquear data posting a sites de alto riesgo y con certificados SSL inválidos

19 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • Planificar salvaguardas tecnológicas (Edwards 2008) ▫ Usar codificación (encryption) de alta calidad ▫ Analizar aplicaciones web para identificar debilidades de validación de las pantallas ▫ Configuraciones inseguras de los servidores web

20 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • Planificar salvaguardas tecnológicas (Edwards 2008) ▫ Codificar los discos de los equipos de almacenamiento ▫ Borrar todos los files temporeros ▫ Mantener los parchos de seguridad al día en los sistemas operativos y en las aplicaciones ▫ Probar y evaluar vulnerabilidad de las aplicaciones luego de cada actualización o cambio

21 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

ESTABLECIENDO EL BALANCE… • El reto para la empresa está en lograr establecer un fino balance entre la seguridad de la red, los usuarios y los secretos de la organización… a la vez que protegemos la experiencia de los usuarios con las tec Web 2.0 y los estimulamos a crear conocimiento para lograr los objetivos de la organización.

22 Eliut D. Flores, Ph.D. © ISSA PR Chapter

Recursos en Internet • Second Life: www.secondlife.com • Del.icio.us: http://del.icio.us • LinkedIn: www.linkedin.com

2/11/2009

23 Eliut D. Flores, Ph.D. © ISSA PR Chapter

2/11/2009

Referencias • Edwards, John (2008). Best practices for web 2.0 security. IT Security.com February 12. • Gaudin, Sharon (2007). The Move To Web 2.0 Increases Security Challenges. InformationWeek, May 24. • Lawlor, Maryann (2008). Web 2.0 means business. SIGNAL Magazine, May. • Martel, David (2008). Web 2.0: Going, Going, strong. Analyst Views. Blogs.Northernlight.com. • Neich, Wayne (2008). Guest Column: Security Web 2.0Open Season for the attackers? ITNews, 18 February.

Muchas Gracias

Balanceando beneficios y riesgos implantando tecs Web 2.0 en la Eliut D. Flores Caraballo, Ph.D. empresa Presidente, KManagement, Inc. / Catedrático, Escuela Graduada de Ciencias y

Information Systems Security Association ISSA Puerto Rico Chapter Programa de Educación Continua / 11 de febrero de 2009

Tecnologías de la Información, Universidad de Puerto Rico, Río Piedras eflores@kmanagement.com / 787 249 4444 / http://www.kmanagement.com

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.