Marketing y Seguridad: 4 consejos para el uso de los medios sociales

0
35

Si le pregunta a los ejecutivos de ciberseguridad dónde está el mayor riesgo para sus empresas, el 41,33% le dirá que es en marketing. Al menos, eso es lo que el proveedor de investigación Pollfish sostiene en su informe de octubre del 2020 de una muestra de 600 profesionales americanos. No cualquier tecnología, sin embargo: el 25,67% está específicamente preocupado por las cuentas personales de los ejecutivos en los medios sociales.

La preocupación es por una buena razón. Aquellos en la industria pueden recordar a un empleado de la Agencia de Manejo de Emergencias de Hawaii de pie junto a su computadora con las contraseñas del sistema en las notas Post-it detrás de él. Esto fue hace tres años y se publicó en su cuenta de Twitter. La foto fue tomada por la Associated Press, y luego compartida en línea. Si esto llevó a la alerta del 13 de enero del 2018 que advirtió incorrectamente a los hawaianos que se acercaba un ataque con misiles balísticos, quién sabe. No hace falta ser un experto en medios sociales para saber que la foto fue una mala idea.

Ya sean fotos o mensajes o cualquier otra cosa que la gente comparta, Harman Singh, fundador de la empresa de evaluación de riesgos Cyphere, llama a los medios sociales «fruta madura» para los hackers, una gran «prueba de la conciencia y las políticas de seguridad de [una] empresa». Si una empresa es descuidada con las mejores prácticas en un sentido, puede ser vulnerable en otros.

Los medios sociales de las empresas suelen estar dirigidos por el departamento de marketing, un departamento que a veces puede tener más influencia que la seguridad, con su propio asiento en la C-suite. El mercadeo y la seguridad no siempre se conectan o necesariamente se llevan bien. Singh señala que una «diferencia de visión» afecta la forma en que ambos abordan sus trabajos: El marketing quiere tanta información sobre la compañía como sea posible, la seguridad la retiene. «A los departamentos de marketing a menudo les resulta difícil hablar con los técnicos en su idioma y viceversa», anota Singh.

Cómo los actores de la amenaza explotan los medios sociales
No es tanto que los hackers quieran las credenciales de la compañía en Twitter o Facebook, es todo lo que llevan. Si el marketing utiliza contraseñas similares en todas las cuentas, el éxito de la piratería de Twitter es una posible entrada al sitio web de la empresa. Hackear desde allí al Adobe Experience Manager, las traducciones del sitio web, las listas de correo de los clientes, o cualquier otra cosa que alguien pueda robar o usar para dañar la reputación.

Si eso no es suficiente para asustar a cualquier departamento de marketing para que coopere, hay aún más datos que los actores nefastos pueden obtener de la información publicada. «Las imágenes subidas a través de Twitter, Instagram y otros canales de medios sociales a menudo dan … información de geolocalización, modelo de dispositivo, [y] software e información relacionada», comenta Singh.

Tome su tweet de conferencia diaria, por ejemplo (bueno, antes del COVID, es decir): Marketing monta un stand y toma fotos de las ventas conversando con los clientes. «Nos encanta ayudar a los clientes a optimizar el potencial de los widgets en tiempo real», twittean, «#WidgetConLive», y luego, debajo de la foto, una línea: «Las Vegas Convention Center / Etiquetado en esta foto» con nombres de altos ejecutivos. ¡Voilà! Gracias a este tweet, los hackers saben qué empleados están viajando y a dónde. Hacen clic en la etiqueta para vincularse a las cuentas personales de esos individuos, donde luego obtienen aún más información de la empresa: «Esperando mi avión en LAS», «En escala en SLC», «¡Gran encuentro con Bob en WidgetCustomer.com!»

Una vez que los hackers están monitoreando las cuentas personales y corporativas, pronto tienen acceso a la agenda de viajes de un ejecutivo, la cual, según Singh, puede ser analizada para saber dónde «existen lugares o clientes de la compañía…. Esta información puede ser alimentada a los vectores de ataque de ingeniería social, por ejemplo, haciéndose pasar por un director senior que está viajando, y luego llamando al equipo de soporte de TI para restablecer su contraseña debido a que las tareas importantes se atascan cuando está en un aeropuerto». Gracias a Twitter, saben exactamente qué aeropuerto nombrar.

Por eso Singh dice, «los equipos de marketing y comunicaciones deben trabajar en tándem con la ciberseguridad», ya sea que los departamentos se entiendan naturalmente entre sí o no.

4 consejos para asociarse eficazmente con el marketing
Amir Tarighat, director general del proveedor de detección de amenazas Achilleion, está de acuerdo, señalando que la barrera de seguridad/comercialización se supera con el respeto mutuo: «La seguridad de los medios de comunicación social debe ser abordada como un proceso y una asociación con los comercializadores. Los profesionales de la seguridad deben respetar la naturaleza creativa del trabajo de los vendedores», lo que a menudo se hace en horas extrañas desde lugares extraños. Mientras que una autorización más pesada podría evitar los ataques de «estoy en la calle», Tarighat dice que también es importante «entender que [los vendedores] podrían necesitar usar un teléfono inteligente BYOD [trae tu propio dispositivo] para enviar un tweet a las 9 p.m.».

«Debido a la naturaleza de los medios sociales, el equipo de infosec no tiene control sobre ningún medio social… tecnología y políticas más allá de la configuración de la privacidad», señala Tarighat, explicando que como las plataformas de medios sociales están «más allá del control de contraseñas y la seguridad de los dispositivos, el resto de las herramientas de infosec no ayudan aquí». La asociación es la única manera de que la seguridad no sea impotente.

Tarighat y Singh ofrecen estos cuatro consejos para asociarse con el marketing.

Desarrolla unas pautas simples. El marketing se encarga de proteger la marca de la empresa. No quieren limpiar el daño a la reputación, la exposición de la propiedad intelectual, o responsabilidades similares más de lo que lo hace la seguridad. Aunque no sepan qué es la información de identificación personal (IIP) de inmediato; una vez que se les explique, tampoco querrán que sus direcciones estén en las manos equivocadas. Enfoque la seguridad de los medios sociales como algo que ayuda a los comerciantes a protegerse y a hacer su trabajo.

Evite caer en la trampa. Mientras que Singh sugiere establecer «seguridad de cuentas de medios sociales e inspecciones regulares», esta relación viene con su propio equilibrio de poder. El mercadeo típicamente tiene un asiento en la C-Suite, mientras que la seguridad puede que no, y las mejores políticas del mundo no significan nada si los mercadotécnicos no las siguen.

«Los departamentos de marketing pueden ser cautelosos para colabor con infosec si se convierten en invasivos o se interponen en el camino de su creatividad. Los equipos de Infosec tienen que tratar a los profesionales del marketing de manera diferente, porque tienen más discreción en la forma de hacer su trabajo creativo que otros departamentos con estaciones de trabajo tradicionales. Cosas como dejar que los profesionales del marketing elijan su propio método de MFA [autenticación multifactorial] es una gran manera de compartir esa supervisión», señala Tarighat.

Aborde las preocupaciones de BYOD. Tarighat también recomienda dejar que los vendedores utilicen sus propios dispositivos; algo que Singh desaprueba incondicionalmente, diciendo que la seguridad debería «asegurar que el personal de la empresa no utilice las cuentas de la empresa en sus dispositivos móviles si no lo permiten los equipos de seguridad», afirmando que BYOD «podría llevar a que el personal sea blanco… y en algunos casos, las contraseñas compartidas podrían llevar a que las cuentas del personal sean pirateadas».

Sin embargo, si se presiona demasiado esta guía, la asociación puede romperse. Tarighat señala, «El aspecto más importante de la información de los medios sociales son los dispositivos BYOD. BYOD ya es muy popular, incluso más para los departamentos de marketing», algo que era cierto incluso antes de que los vendedores empezaran a trabajar desde casa debido a la pandemia. «Negociar la seguridad de BYOD no es fácil, porque los empleados dudan en entregar el control total de MDM [gestión de dispositivos móviles] a sus empleadores. Por otra parte, la emisión de dispositivos de la empresa no ayuda mucho, ya que puede ser costosa y menos eficiente para los empleados», añade.

En otras palabras, las empresas pueden quedarse atascadas con todos esos dispositivos personales, le guste o no a la seguridad.

Intente reunirse en el medio. Pida a los vendedores con teléfonos Android que utilicen el perfil de trabajo de la empresa. Originalmente incorporado en Android 5.0, Google actualizó la función a través del sistema operativo 11 el pasado mes de septiembre. Tarighat dice, «Permita la creación de un usuario completo y separado que puede ser administrado por un MDM tradicional, manteniendo el perfil personal totalmente separado».

Tarighat también dice que la seguridad y el marketing pueden crear «un procedimiento para comprobar los dispositivos y aplicaciones registrados en la plataforma de medios sociales». Por ejemplo, cuando Twitter envía una nueva alerta de inicio de sesión, ¿a dónde va? Si seguridad puede convencer al marketing para que los haga destinatarios, sabrá de las infracciones antes y tendrán menos que hacer. «Los profesionales de la seguridad deberían comprobar regularmente las plataformas para ver si hay inicios de sesión de dispositivos o lugares desconocidos. Ver dispositivos o aplicaciones no aprobados es una señal de un ataque, o más bien de que su colaboración con el infosec no va bien», añade.

John Terena Bell CSOonline.com – CIOPeru.pe

 

Artículo anteriorIBM ultima la compra de Nordcloud
Artículo siguienteDespués de un 2020 impredecible, esto es lo que puede esperar de la nube híbrida en 2021