La Web 2.0 no son solo redes sociales

Con todas las especulaciones y exageraciones que rodean al tema de la Web 2.0, es necesario preguntarse: ¿Es posible obtener un escenario seguro y rentable para su uso en las empresas? La respuesta definitiva es SÍ. La Web 2.0 va más allá de las redes sociales. Aquellas empresas que utilizan sitios y aplicaciones Web 2.0 ven resultados tangibles – desde el incremento en los ingresos hasta mejoras en la colaboración y procesos simplificados. Sin embargo, entre los profesionales IT aún existe mucha confusión entorno a lo que constituye exactamente la Web 2.0, y si las empresas deben permitir a sus empleados el acceso a la Web 2.0 y – en caso afirmativo – cómo hacerlo de manera segura.

Incluso los Gerentes IT están confundidos con la Web 2.0

Una reciente encuesta global a 1.300 administradores IT encontró que sólo el 17 por ciento fueron capaces de identificar correctamente los sitios y herramientas Web 2.0 de una lista. Solo aproximadamente la mitad se dio cuenta de que iGoogle, o sitios como YouTube, y subir wikis son ejemplos de la Web 2.0. El término “Web 2.0” se utiliza para describir cualquier sitio Web que aloja contenidos generados por los usuarios. Esto puede incluir servicios de computación en la nube y proveedores de software hospedado tales como Salesforce.com; también incluye sitios populares de noticias como CNN.com, y desarrollos como iGoogle.

Ya que cualquiera puede contribuir con contenido, los sitios Web 2.0 presentan un mayor riesgo para los visitantes. La investigación demostró que casi la mitad de los contenidos generados en los 100 principales destinos de Internet, así como el 70 por ciento de estos sitios han hospedado código malicioso o han redirigido ocultamente hacia otros sitios infectados. Esta encuesta puso de manifiesto además una peligrosa brecha de seguridad cuando se utiliza la Web 2.0 en la oficina:

• El 80% de los gerentes IT dijo que se sienten confiados en la seguridad de sus organizaciones en la Web
• El 62 por ciento permite el acceso a algunos sitios Web 2.0
• Sólo el 9 por ciento tiene las soluciones de seguridad necesarias para proteger contra todos los riesgos asociados a la Web 2.0

¿Hay beneficios reales al usar la Web 2.0 en la oficina?

La emoción alrededor de la Web 2.0 no es infundada. La Web 2.0 permite a las empresas mejorar la colaboración y el intercambio de información, optimizar procesos de comunicación y recolectar información detallada de sus clientes, conducir estudios de mercado, interactuar con los principales interesados, y direccionar los ingresos. Una simple búsqueda en la Web revela muchos ejemplos de organizaciones que han utilizado la Web 2.0 y las ventajas obtenidas:

• Investigación de Mercados. La compañía de productos de consumo Kimberly-Clark Corp., creó una comunidad en línea para usuarios de productos para el cuidado personal de Scott. La empresa analiza los datos y la información del perfil de los usuarios para identificar a sus clientes más leales en productos y segmentos de mercado específicos.
• Recuperación de Cartera. Los empleados del departamento de cartera de Addison Avenue Federal Credit Union, buscan de forma regular el contenido subido en redes sociales para encontrar evidencias en fotos o videos de aquellos activos objeto de un cobro moroso. La organización también utiliza un blog para comunicarse, atraer y retener a sus usuarios más jóvenes.
• Generación de ingresos. Dell dice que Twitter le ha proporcionado U$2 millones de dólares en ingresos por alertas de ventas
• Las agencias gubernamentales también están entrando al juego. La administración de Obama hizo de la adopción de la Web 2.0 una prioridad, promoviendo una lluvia de ideas para discutir cómo las agencias pueden incorporar más la Web 2.0 en sus labores cotidianas. La Casa Blanca utiliza un blog, Facebook y cuentas de Twitter, al tiempo que los responsables Web del Consejo Federal dicen que el Gobierno debería exigir a sus organismos total acceso a la Web 2.0. Incluso, antes de llegar a la Casa Blanca, la campaña de Obama utilizaba la Web 2.0 mediante una comunidad en línea llamada My.BarackObama.com que permitía a los usuarios crear blogs para conseguir apoyo durante la campaña presidencial. Esto fue fundamental a la hora de coordinar casi 4,000 fiestas y recaudar más de U$2 millones de dólares por donaciones individuales de menos de U$200 cada una.

Un nuevo panorama de las amenazas

Aunque muchas empresas han encontrado formas para darle un buen uso a la Web 2.0, los directores IT y de seguridad de información han comenzado a despreocuparse por los riesgos de malware, la pérdida de datos y otros asuntos de seguridad.

Las soluciones de seguridad tradicionales, tales como los antivirus, por sí solos no pueden proteger contra amenazas de la Web 2.0 dinámica, que pueden incluso evadir la detección de antivirus mediante secuencias de comandos activos, código malicioso y tácticas de ingeniería social. La seguridad en el mundo Web 2.0 requiere de un análisis y categorización en tiempo real de contenido Web que nunca antes se había visto, que debe ser monitorizado “al vuelo”.

Por ejemplo, a principios de 2009, Websense Security Labs observó que los hackers aprovecharon el sitio My.BarrackObama.com para distribuir material pornográfico y lanzar un ataque troyano utilizando el blog del sitio. Lo más preocupante fue que sólo el 30% de los principales fabricantes de antivirus detectaron la amenaza.

Además de evitar el malware, los profesionales IT deben prevenir que los empleados carguen contenidos con derechos de propiedad intelectual, secretos comerciales, o cualquier otra información sensible, a blogs, sitios de computación en la nube, o aplicaciones Web 2.0. Por ejemplo, existe un caso reportado en un hospital de Estados Unidos en el cual las enfermeras, luego de realizar sus rondas, subían la información de los pacientes a Google Docs para intercambiar datos con otros facultativos. Aunque estaban tratando de ser más eficientes con su trabajo, esta situación volvió vulnerables los datos confidenciales de los pacientes ya que los procedimientos utilizados eran inseguros.

¿Cómo tomar ventaja de la Web 2.0 de forma segura?

En lugar de bloquear el acceso a sitios Web completos, las empresas requieren soluciones de seguridad adecuadas y políticas flexibles a sitios y aplicaciones Web 2.0 al tiempo que bloquean solamente el contenido malicioso o inapropiado y detienen la filtración de datos confidenciales.

El primer paso comienza con establecer políticas adecuadas y educar a los empleados. El departamento TI debe colaborar con otras áreas del negocio, incluyendo recursos humanos y área legal para documentar las políticas de uso adecuadas de Internet, en particular el acceso a sitios Web 2.0. Las empresas deben definir además el uso de Internet para fines personales, y regular el uso de redes sociales en la oficina.

La educación a empleados incluye los riesgos potenciales que enfrenta la empresa, la pérdida de propiedad intelectual y de reputación, así como la creación de un ambiente de trabajo seguir. Los administradores TI necesitan delinear específicamente qué tipos de datos corporativos pueden o no ser compartidos en los sitios de computación en la nube, y deben utilizar el mismo modelo de seguridad para evaluar los riesgos asociados, tal y como lo hacen para sus implementaciones de software empresarial.

Una vez establecidas las políticas de seguridad, los profesionales IT deben buscar un punto para controlar el enlace a la Web, datos y seguridad email. El siguiente paso es buscar una solución de seguridad Web 2.0, que como mínimo provea escaneo en tiempo real de contenidos en línea y análisis de seguridad con capacidad para examinar todo el tráfico Web (incluso tráfico cifrado SSL) y clasificar rápidamente los contenidos Web nunca antes vistos. Además, para ser efectiva en un entorno Web 2.0, una solución debe ser capaz de bloquear sólo los contenidos específicos de un sitio, sin temor a denegar el acceso al sitio en general.

La seguridad integrada de datos permite monitorizar y hacer cumplir las políticas de protección de datos a medida que transcurre el tráfico de Internet, el correo electrónico y los accesos mediante computadores portátiles y unidades USB. Es necesario además asegurar que la Web y las soluciones de seguridad de datos están integradas en una plataforma de gestión centralizada.

Flexibilidad para establecer políticas de seguridad granular

Empleados con diferentes roles requieren tener acceso a diferentes tipos de sitios Web 2.0, ya que tienen diferentes maneras de utilizar estos sitios. Por ejemplo, es posible que a algunos empleados que utilicen iGoogle se les pueda bloquear el acceso a reproductores específicos que puedan ser dañinos o inapropiados.

Finalmente, es necesario contar con un sistema que incluya actualizaciones de seguridad para la Web 2.0, y que lo haga en línea y de forma proactiva para descubrir las nuevas amenazas. La investigación proactiva es la única manera de identificar y prevenir las amenazas que escapan a la detección tradicionales antivirus.

-Por CIO AL