Archivo de la etiqueta: Redes Sociales

El Segundo Trabajo de Heracles: La Hidra de Lerna (X). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Para concluir, podemos decir que la participación de las Administraciones Públicas en las redes sociales es legalmente posible y, dentro de los límites explicados, incluso oportuna. Aunque hay riesgos, estos pueden ser mitigados sin demasiada dificultad. Y aunque esta participación no está exenta de cierta complejidad, la adecuada formación de los implicados en el uso del entorno tecnológico al que se enfrentarán, así como en el marco legal aplicable y las condiciones para el uso de dichas herramientas limitarán los riesgos inherentes.

También es importante la formación de los profesionales implicados respecto de sus responsabilidades y obligaciones sobre la información que manejan y respecto de los ciudadanos. Para ello, la creación y difusión adecuada de guías de estilo y manuales de uso bien elaborados constituye la mejor estrategia.

Es muy recomendable la existencia de una figura encargada de supervisar el cumplimiento de estas normas, lo que supone la traslación de la figura del “Gestor de Comunidades”[1]  al ámbito de la Administración Pública.

En cualquier caso, la forma en que las administraciones decidan estar presentes en las redes sociales debe ser fruto de un análisis de riesgos. Un análisis serio sobre las amenazas y su impacto en la organización nos dará una idea más acertada sobre aquellos de lo que debemos preocuparnos y orientarnos sobre las formas de mitigarlos.

Sencillamente, “cesar la actividad” susceptible de riesgo no es una opción responsable sin un análisis riguroso sobre las consecuencias. Hay ocasiones en las que cesar en las actividades propias de la organización no es posible ni viable, incluso puede introducir mayores riesgos, entre los que están aquellos que afectan a la imagen de la organización.

 

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García

 

 

 

Bibliografía y Referencias del capítulo:

  • ISACA Journal 2011.  Volume 1. Chain Exploitation—Social Networks Malware. http://www.isaca.org/Journal/Past-Issues/2011/Volume- 1/Pages/Chain-  Exploitation- Social-  Networks-Malware.aspx
  • INTECO – Seguridad, Observatorio, Guías. http://www.inteco.es/Seguridad/Observatorio/guias/guia_ayuda_redes_sociales
  • Las diez principales amenazas del networking social – CSO. http://www.csospain.es/Las-diez-principales-amenazas-del- networking- social/seccion- actualidad/articulo-202014
  • Social Networks and Privacy—Threats and Protection. http://www.isaca.org/Journal/Past-Issues/2012/Volume- 5/Pages/Social- Networks- and- Privacy-Threats-and-Protection.aspx
  • ISACA Journal 2012. Volume 5. What Every IT Auditor Should Know About Auditing Social Media. http://www.isaca.org/Journal/Past- Issues/2012/Volume- 5/Pages/What-Every-IT- Auditor- Should-Know-About-Auditing- Social- Media.aspx
  • Las Administraciones públicas en las redes sociales. Teresa Pereyra Caramé. Secretaria de revistas. Agencia de Protección de Datos de la Comunidad de Madrid. http://www.datospersonales.org/ septiembre 2012
  • SOCIALIZACIÓN EN INTERNET – Las Redes Sociales (I) 16 de abril de 2012. http://elblogdeangelucho.wordpress.com/2012/04/16/socializacion-en- internet-las- redes- sociales-i/
  • SOCIALIZACIÓN EN INTERNET – Las Redes Sociales (II) 17 de abril de 2012. http://elblogdeangelucho.wordpress.com/2012/04/17/socializacion-en- internet-las- redes- sociales-ii/
  • Consejos para mantener mi privacidad en Facebook. http://www.hijosdigitales.es/2012/07/consejos-para-mantener-mi- privacidad-en- facebook/
  • ¿Cómo puedes proteger tu seguridad y privacidad en Facebook? https://www.osi.es/es/actualidad/blog/2012/06/26/%C2%BFcomo- puedes-proteger- tu- seguridad-y-privacidad-en- Facebook? Origen=rs_twitter
  • Al publicar fotos de las vacaciones en las redes sociales, ¿conoces tus derechos? http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Post_veranoseguro_fotos
  • Etiquetas en las imágenes de las redes sociales, un riesgo para la privacidad y la convivencia. http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Post_veranoseguro_etiquetas
  • Difuminado de caras: cuando la imagen requiere del anonimato. http://googleespana.blogspot.com.es/2012/07/difuminado-de- caras- cuando-la-imagen.html
  • ¿Puedo colgar las fotografías de las vacaciones con mis amigos en redes sociales? http://www.legaltoday.com/gestion-del- despacho/nuevas- tecnologias/articulos/puedo-colgar-las-fotografias-de-las-vacaciones-con- mis-amigos-en-redes-sociales
  • 7 de cada 10 CIOs han bloqueado el acceso a Facebook este 2012. http://blog.segu-info.com.ar/2012/08/7-de-cada-10-cios-han- bloqueado- el.html#axzz27VIFilxr
  • Seguridad en Twitter. https://www.osi.es/protegete/protegete-en- internet/redes-sociales/guia-seguridad- twitter?origen=rs_twitter
  • Elmundo.es. 9/08/2012. Condenado a 2 años de cárcel por entrar en el correo de su ex pareja y revelar datos. http://www.elmundo.es/elmundo/2012/08/09/valencia/1344506626.html?cid=GNEW970103
  • 5 consejos para mejorar nuestra privacidad en redes sociales. http://lukor.com/blogs/revistadetecnologia/2012/08/07/5- consejos-para- mejorar- nuestra- privacidad-en-redes-sociales/
  • ¿Es responsable un webmaster de los comentarios que se vierten en su web? http://www.elconfidencial.com/tecnologia/2012/08/13/es- responsable-un-webmaster-de-los-comentarios-que-se-vierten-en- su- web- 2950/
  • Facebook meterá publicidad en el muro de sus usuarios sin su consentimiento. http://www.globbtv.com/2440/noticias/facebook-  metera-publicidad-en-el-muro-de-sus-usuarios-sin-su-consentimiento
  • Etiquetas en las imágenes de las redes sociales, un riesgo para la privacidad y la convivencia. http://www.inteco.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/Post_veranoseguro_etiquetas
  • No sé lo que quiero pero lo quiero ya. http://www.solis.com.ve/no-se-lo- que-quiero-pero-lo-quiero-ya/
  • Cómo proteger tus fotos en Facebook para que no sean descargadas ni compartidas. http://www.socialblabla.com/como- proteger-tus-fotos-en- facebook-para-que-no- sean- descargadas-in- compartidas.html?utm_source=twitterfeed&utm_medium=twitter
  • Consejos de seguridad y privacidad en las redes sociales. http://mallorcaconfidencial.com/20120826_91183-consejos-de- seguridad- y- privacidad-en- las-redes-sociales.html
  • recomendaciones para proteger su privacidad. http://blog.segu- info.com.ar/2012/08/10-recomendaciones-para-proteger- su.html#axzz26q1XvIMk
  • 5 maneras en que Facebook engaña a usuarios. http://america.infobae.com/notas/57008-5-maneras-en-que-Facebook- engana-a-  usuarios
  • El 63% de las apps de Facebook publican contenidos en nombre de los usuarios. http://www.europapress.es/portaltic/socialmedia/noticia-63- apps-facebook-publican- contenidos-nombre-usuarios- 20120905153041.html
  • Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas. www.inteco.es.
  • GRUPO DE TRABAJO SOBRE PROTECCIÓN DE DATOS DEL ARTÍCULO 29
  • Dictamen 5/2009 sobre las redes sociales en línea http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_es.pdf
  • guiaRRSSConsejeriaAndaluciav1
  • Informe de Amenazas CCN-CERT- IA-03/13. Riesgos Derivados de las Redes Sociales. CCN-CERT
  • Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas www.inteco.es. http://creativecommons.org/licenses/by-nc/2.5/es/  “
  • What Every IT Auditor Should Know About Auditing Social Media. ISACA JOURNAL VOLUME 5, 2012. ©2012 ISACA. www.isaca.org
  • Protiviti, “Managing Privacy Risks in Social Media-driven Society,”. www.protiviti.com
  • Las Administraciones públicas en las redes sociales. Teresa Pereyra Caramé. Revista Datospersonales.org. La revista de la Agencia de Protección de Datos de la Comunidad de Madrid. Nº 58. Agosto 2012.


[1] Más conocido en el argot como “community manager”.

El Segundo Trabajo de Heracles: La Hidra de Lerna (IX). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

¿Cómo podemos entonces contrarrestar todos estos riesgos a los que se expone la organización? Veamos algunas ideas al respecto.

Uno de los riesgos inherentes al uso de las redes sociales por parte de cualquier organización consiste en la inconsistencia de la imagen institucional. Otras amenazas como la suplantación de identidad o el “defacing[1] pueden desembocar en situaciones parecidas.

Por otro lado, siempre existe el riesgo de que aparezcan páginas “no oficiales” que imitan los perfiles institucionales. Aunque el impacto de esta amenaza es aún mayor, puede intensificarse mucho más si la administración no está presente en las redes sociales para contrarrestar esta “imitación”.

El riesgo de inconsistencia en la imagen institucional se puede contrarrestar con la publicación de guías de estilo y formación específica para los usuarios autorizados a actuar en nombre de la organización a través de las redes sociales.

En este sentido, diversos organismos sanitarios públicos y privados han publicado dichas “guías de estilo” con el objetivo de orientar a los centros y sus profesionales en el uso adecuado de las redes sociales como herramientas de comunicación con el ciudadano. Ejemplo de ello es la “Guía de usos y estilo en las redes sociales del Sistema Sanitario Público de Andalucía”, publicada por la Consejería de Salud y Bienestar Social. También están las del Gobierno Vasco, la Generalitat de Cataluña y la Política de redes sociales: experiencia del Hospital Sant Joan de Déu. En el ámbito privado encontramos la “Guía práctica para el uso de redes sociales en organizaciones sanitarias”.[2]

En cuanto a la suplantación de identidad, puede limitarse casi por completo con una configuración adecuada de las opciones de privacidad y utilizando claves de usuario fuertes (con más de ocho caracteres, combinando letras mayúsculas y minúsculas con números y símbolos) y cambiándolas de forma periódica.

El “defacing” (ataque en el que se modifica la web y se hacen aparecer mensajes, normalmente reivindicativos de parte del atacante) y la aparición de páginas de “imitación” pueden limitarse con una actitud activa por parte de la organización, denunciando rápidamente estos comportamientos ante el prestador de servicio oportuno y adoptando las medidas preventivas y correctivas apropiadas.

Como todos sabemos, el uso de las redes sociales conlleva la aceptación de las condiciones impuestas por el prestador de servicios correspondiente, que suele incluir cláusulas abusivas relativas a la propiedad intelectual del material alojado en la red, suponiendo una cesión de derechos a favor del prestador del servicio. Esto también es así para la administración.

El problema consiste en que la Administración Pública no puede ceder sus derechos de propiedad intelectual en favor de terceros, según se recoge en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.

Ante el riesgo de que algún usuario autorizado publique o comparta documentación sometida a propiedad intelectual a través de las redes sociales, una vez más, una buena labor de concienciación y formación entre los usuarios autorizados será la forma más efectiva para limitar el riesgo de que ocurra esta amenaza.

Por otro lado, una labor de supervisión activa de los contenidos por parte de la administración ayudará en esta labor. Esta supervisión no debe confundirse  con formas de control o censura que limitarían la eficacia de éstas herramientas en sus cometidos.

Otra de las grandes preocupaciones de las administraciones, que las llevan a limitar el uso de las redes sociales como medios de comunicación institucionales, son los datos de carácter personal.

En aquellos casos en los que un usuario de las redes sociales actúa en nombre de una empresa, asociación o las utiliza con fines comerciales, políticos o sociales,  se considera que el mismo no está actuando en el ámbito personal y, por tanto, estará plenamente sometido a la LOPD.

Una administración pública que usa las redes sociales se encontraría, por tanto en esta situación. Sin embargo, aunque estaría sometida a la LOPD, si se hace un uso con los fines que analizaremos algo más adelante en este capítulo (actividad informativa y comunicación institucional) no se estarían tratando datos de carácter personal.

Los proveedores de servicios de las redes sociales ofrecen la posibilidad de utilizar perfiles de empresa, organizaciones, instituciones y similares. Estos no permiten lanzar o aceptar solicitudes de amistad, con lo que no se generará una relación de amigos que pudiera considerarse un fichero que habría que declarar.

De nuevo, la formación y concienciación de los usuarios autorizados vuelve a cobrar gran importancia para limitar este tipo de riesgos. La difusión del deber de secreto y las consecuencias de su incumplimiento entre los empleados autorizados para representar a la organización a través de las redes sociales son uno de los mecanismos más efectivos.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] Más información en Wikipedia: http://es.wikipedia.org/wiki/Defacement

[2] Guía en la que también han colaborado Fran Sánchez y Manuel Jimber. http://www.guiaredessocialesysalud.es/

El Segundo Trabajo de Heracles: La Hidra de Lerna (VII). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Por último, la tercera figura participante en las redes sociales, es decir, los proveedores de servicios (como Facebook®, Twitter® o Linkedin®) también tienen sus obligaciones y responsabilidades frente a los usuarios.

Nuevamente, encontramos un buen resumen en la  “Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas”. www.inteco.es.

 

 

“Los prestadores de servicios de alojamiento de páginas web, servicios web 2.0, servicios de alojamiento de datos, los proveedores de acceso, los operadores de telecomunicaciones.

Obligaciones:

  • Informar a los clientes sobre los principales datos como prestadores de servicios (identificación y correo electrónico), los servicios prestados y los términos de la prestación, la política de protección de datos, así como los medios técnicos que aumenten la seguridad de los usuarios.
  • Colaborar con los organismos públicos para ejecuciones que no puedan realizarse sin su ayuda.

Responsabilidades:

  • Son responsables de los contenidos si tienen conocimiento efectivo de que la actividad o la información a la que remiten es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización.
  • Son responsables en cuanto a los datos de carácter personal que se tratan en los buscadores de perfiles o en las campañas de publicidad personalizada. “

Conociendo las obligaciones y responsabilidades de los distintos actores no es difícil establecer unas pautas sencillas de actuación en las redes sociales para cada uno de los actores intervinientes. A continuación relacionamos las recomendadas por la guía INTECO ya mencionada.

“En la Web 2.0 los usuarios deben respetar unas normas de privacidad, tanto en lo relativo a datos propios, como si la información que difunden es de terceros.

  • Los usuarios deben proteger su información. Por ello, es necesario leer las políticas de privacidad, estableciendo unos límites sobre quién puede o no acceder a la información publicada.
  • Una buena práctica es recurrir al uso de seudónimos o nicks personales permitiéndole disponer así de una “identidad digital”.
  • No se debe publicar información excesiva de la vida personal y familiar, esto es, información que no se difundiría en entornos no tan cercanos.
  • Es necesario tener especial cuidado al publicar contenidos audiovisuales y gráficos, especialmente si son imágenes relativas a terceras personas.
  • Antes de publicar una foto es recomendable considerar si es adecuado colgarla o si dicha acción puede traer consecuencias, involucrando a gente del trabajo, colegio, universidad o del entorno cercano o personal.
  • Si se desea utilizar o reproducir cualquier obra en la Red (gráfica o no), se debe acudir al aviso legal de la página web donde se encuentre y ver las condiciones de reproducción de la misma.”

Se puede acudir a la Agencia Española de Protección de Datos, AEPD (www.agpd.es), para ejercer los derechos que otorga la LOPD en relación a la protección de los datos de carácter personal. En el sitio de la AEPD se puede descargar el modelo de reclamación.

Según se establece en la LOPD, toda persona que trate datos de carácter personal (asociados a buscadores, a perfiles, etc.) debe cumplir unas obligaciones y atender a los afectados de dicho tratamiento, sería el caso de administradores y moderadores. Entre otras, éstos deberán tener en cuenta que:

  • Debe inscribirse el fichero en el registro de la AEPD y adecuar los ficheros a la normativa vigente (LOPD y reglamento de desarrollo).
  • Están obligados a informar a los usuarios sobre la política de privacidad de la página web, así como de la finalidad para la que se recaban datos de carácter personal, identificar al responsable del tratamiento y los derechos que protegen al usuario.
  • Se debe recabar el consentimiento inequívoco del afectado para difundir los datos de éste.
  • Permitir a los usuarios el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.

Además, si se trata del sitio de organismos públicos, habría que incluir algunas recomendaciones adicionales:

  • No incluir publicidad, no sería ético.
  • Elaborar una política de publicación.
  • Poner a disposición de los usuarios mecanismos que les permitan formular una denuncia.

 

Es importante ejercer de una forma efectiva las labores de supervisión y control, sobre los participantes y sus informaciones. Ante comentarios o informaciones incorrectas o ilícitas, mediar en el debate y/o eliminar los comentarios.

Aunque no son fáciles de implementar, deben establecerse medidas tecnológicas que permitan conocer la edad de los usuarios; especialmente si se trata de organismos públicos, tales como: el uso de certificados reconocidos de firma electrónica o de aplicaciones que detecten el tipo de sitio web visitado y los servicios más demandados.

Es un deber colaborar con las Fuerzas y Cuerpos de Seguridad del Estado para identificar usuarios que cometen hechos ilícitos.

Después de todo lo visto anteriormente, podemos preguntarnos: ¿qué razones pueden tener los organismos públicos para estar presentes en los medios sociales?

En el portal de administración electrónica podemos encontrar la siguiente afirmación:

“los medios y redes sociales son un lugar de encuentro, en el que los usuarios de Internet consumen un tiempo cada vez mayor. Los organismos y ministerios han iniciado un acercamiento a los mismos, saliendo al encuentro de los ciudadanos allí donde los ciudadanos se encuentran”.[1]

Lo que demuestra una estrategia clara de la Administración Pública para llegar a los ciudadanos a través de los nuevos medios. Podemos decir entonces, que el uso de las nuevas tecnologías está perfectamente justificado con unos fines concretos. Sin embargo, es necesario tener en cuenta las regulaciones aplicables.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García

 


[1]  http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P1201618801340024638979&langPae=es

El segundo trabajo de Heracles: La Hidra de Lerna (VI). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Del mismo modo que los usuarios de las redes sociales tienen unos derechos, también tienen sus responsabilidades, así como los “generadores de contenido” (administradores).

“En primer lugar, como usuarios, debemos respetar los “derechos” de los demás, haciendo un uso responsable del derecho a la libertad de expresión.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su  “Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas” expone que:

Exceden a las funciones del usuario y, por tanto, son conductas ilícitas:

  • Cometer el delito de injurias o calumnias al realizar una falsa imputación de un delito a otra persona o manifestar expresiones que atenten contra el derecho al honor, a la propia imagen y a la intimidad personal.
  • Incurrir en violaciones a la Ley de Propiedad Intelectual (Derechos de Autor) al publicar cualquier obra protegida que no cuente con la expresa autorización del titular o no se haga un uso correcto del derecho de cita, ya sea sobre textos (artículos, libros, notas, etc.), o contenidos multimedia (música, audio, video, software, etc.).
  • Violar derechos de marca, de diseño, secretos comerciales o violar derechos industriales (como patentes).
  • Atentar contra el derecho a la protección de datos publicando información privada de terceros (publicar un correo electrónico personal).
  • Cometer delitos de pornografía infantil al publicar cualquier representación de un menor de dieciocho años dedicado a actividades sexuales explícitas o toda representación de sus partes genitales con fines predominantemente sexuales.”

 

La responsabilidad será, en todo caso, de la persona que cometa el hecho delictivo. Sin embargo, dicha responsabilidad puede ampliarse a otras personas por la falta de una vigilancia correcta de la plataforma, como se verá en el apartado siguiente.

Por ejemplo, publicar un vídeo de otra persona que no ha otorgado su consentimiento expreso para que se realice esta difusión o incluso para que se grabara ese vídeo, supone un atentado contra su honor y su intimidad personal. ”

Por su parte, los administradores y moderadores tienen la obligación de hacer que se respeten todos los derechos de los usuarios y garantizar un uso de la plataforma. Aunque los comentarios puedan ser anónimos, el administrador sigue siendo responsable de los mismos.

Es una buena práctica que el administrador de un foro incluya en su página una política de publicación, para evitar entradas inapropiadas de los usuarios, así como la posibilidad de que otros usuarios denuncien estas situaciones y se pueda realizar un control posterior más efectivo.

Es importante resaltar la existencia de mecanismos efectivos que permitan a los usuarios denunciar situaciones que atenten contra alguno de los derechos mencionados (a través de un correo electrónico o un formulario, por ejemplo).

Aunque parezca un poco extraño, la existencia de publicidad determina la ley que será aplicable para la asignación de responsabilidad. De forma que, si el blog contiene publicidad, el propietario será considerado como un prestador de servicios y será de aplicación el artículo 16 de la LSSICE[1]. En cambio, si el blog no tiene publicidad, podrá considerarse al propietario como un medio tradicional o colaborador necesario, siendo de aplicación el Código Penal.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] Ley 34/2022, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. http://www.boe.es/buscar/doc.php?id=BOE-A-2002-13758

El segundo trabajo de Heracles: La Hidra de Lerna (V). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Para analizar este fenómeno en el entorno de las organizaciones, comentaremos antes los distintos roles que intervienen en el mismo. Son tres las figuras fundamentales, los usuarios (ciudadanos), los administradores y moderadores, y los prestadores de servicios.

Los usuarios son aquellos ciudadanos que utilizan las redes sociales y participan en los medios sociales y plataformas. En nuestro ámbito, los usuarios son aquellos ciudadanos o pacientes que interactúan con las organizaciones sanitarias por medio de herramientas 2.0.

Los administradores y moderadores son los responsables de gestionar estas herramientas. Incluyen, editan o eliminan contenidos y ejercen una moderación para garantizar el uso adecuado de dichas herramientas por parte de los usuarios, vigilando que se respeten las normas de participación establecidas y se respeten los derechos de todos los participantes. En nuestro ámbito, los administradores y moderadores serán los profesionales de la organización sanitaria que participan de forma activa en las redes sociales con un perfil institucional y, por tanto, representando a su organización sanitaria.

Los prestadores de servicios son aquellas empresas que ofrecen servicios web 2.0 tales como: Facebook®, Twitter®, Tuenti®, etc. También los proveedores de alojamiento de páginas webs, proveedores de acceso y los operadores de telecomunicaciones.

Cada uno de estos roles juega su papel en el entorno de los medios sociales y de una forma u otra todos tienen derechos y obligaciones.

Para conocer cuales son las obligaciones y responsabilidades de una organización será necesario conocer previamente los “derechos 2.0” de los usuarios en las redes sociales. Hagamos un breve recorrido por los mismos.

Poco hay que decir sobre el derecho que tenemos todos los ciudadanos a la libertad de expresión. Recogido en el artículo 20 de la Constitución Española, nos permite expresar y difundir libremente los pensamientos, ideas y opiniones, ya sea mediante la palabra viva o escrita, así como cualquier otro medio de comunicación.

Unido a la libertad de expresión, se encuentra el derecho a la libertad de información. Sin embargo, ésta se diferencia de la anterior en que presenta unos requisitos objetivos:

  • Que la información sea veraz, es decir, que exige la existencia de una base en hechos objetivos y reales.
  • Que la información tenga relevancia pública, careciendo de dicha relevancia los hechos que afectan a personas privadas en actuaciones o hechos cotidianos.

Los comentarios relativos a la intimidad de una persona “cercana” que no tiene carácter de personaje público no quedarían amparados bajo la protección del derecho a la libertad de información, y en función de los comentarios realizados, podría traspasar los límites del derecho a la libertad de expresión.

El derecho a la intimidad, privacidad y la propia imagen limita el derecho de libertad de información. Es posiblemente, el derecho que se invade con más facilidad. Por ejemplo, mediante la divulgación de insultos o calumnias contra personas identificadas en foros, o la ya tan extendida costumbre de publicar fotos de terceros en las redes sociales más allá del círculo de amigos.

El derecho a la protección de datos es también fundamental. Los usuarios de las redes sociales tienen derecho a que se respeten sus datos personales, estar informados de que actividades se realizan con los mismos y a que se les solicite consentimiento para utilizarlos. No es raro encontrar que los proveedores cambien las condiciones del servicio limitando o incluso eliminando este derecho.

Hay que tener en cuenta que funcionalidades como la geolocalización de un usuario, imágenes, vídeos y grabaciones de voz, son datos de carácter personal si pueden identificar al usuario y, por tanto, será necesario su consentimiento expreso para publicarlos.

Los responsables de webs y blogs asumen una cierta responsabilidad jurídica sobre aquello que se publica en sus sitios.

La propiedad intelectual es el derecho que tienen las personas sobre sus creaciones u obras. Siempre que desde una organización se quiera utilizar una obra (textos, fotografías, vídeos, etc.), debe comprobarse que está permitida su reproducción y que la obra no está protegida por la propiedad intelectual.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su  “Guía de introducción a la Web 2.0: aspectos de privacidad y seguridad en las plataformas colaborativas”[1] recoge lo siguiente:

“En el contexto de la Web 2.0, los usuarios podrán utilizar en plataformas colaborativas:

  • Cualquier obra que hayan creado (siempre que no hayan cedido los derechos de explotación a otros).
  • Obras con autorización de sus titulares de derechos, ya sea de forma directa o a través de cualquiera de las licencias existentes en la actualidad (Creative Commons, GPL, etc.).
  • Obras caídas en el dominio público.
  • Obras expuestas permanentemente en la vía pública (carteles, esculturas, etc.).
  • Discursos o conferencias pronunciadas en público, siempre y cuando tenga una finalidad informativa (y no meramente comercial).
  • Trabajos sobre temas de actualidad, en la medida descrita anteriormente.”


[1] www.inteco.es. http://creativecommons.org/licenses/by-nc/2.5/es/

El segundo trabajo de Heracles: La Hidra de Lerna (IV). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Al parecer, las mayores preocupaciones sobre el riesgo relacionado con las redes sociales se centran en los aspectos que afectan a la imagen pública de la organización y la eficacia operativa de sus trabajadores[1].

La figura 1 presenta algunas de las áreas de riesgo de las redes sociales en relación con los aspectos anteriormente mencionados: la imagen pública y la eficacia operativa.

Como puede observarse, muchas de las áreas de riesgo que se encuentran relacionadas, afectan a la eficacia operativa y, simultáneamente, a la imagen pública de la organización. Son probablemente los riesgos que más preocupan, debido a que pueden ocasionar una mala imagen o reputación y, por tanto, un posible impacto económico negativo.

 Figura 1- Áreas de riego de las redes sociales[2].

 

Riesgo

Imagen Pública

Eficacia Operativa

Uso abusivo de los empleados

X

Comentarios negativos

X

Falta de control adecuado de contenidos

X

X

Entendimiento cultural inapropiado

X

X

Potenciales violaciones de la confidencialidad de la organización

X

X

Expansión (velocidad de expansión de eventos adversos)

X

X

Mal uso (malware, usuarios compartidos, ignorancia)

X

X

Robo de identidad, Ingeniería social

X

X

Pérdida de información / datos sensibles

X

X

Violaciones al cumplimiento legal y normativo

X

X

Uso ineficiente de los recursos de red

X

Imagen corporativa inconsistente

X

Interrupción de los servicios

X

Robo de cuentas de usuario, defacing y difamación

X

X

La misma fuente anterior, en otro estudio, en relación con el uso de las redes sociales por parte de los empleados en el entorno laboral, muestra que existen otros riesgos adicionales más allá que la pérdida de productividad.

Figura 2- Riesgos de las redes sociales asociados con los empleados

El 64 por ciento de las personas que utilizan las redes sociales hacen clic en los enlaces, incluso sin saber donde llevará el enlace.
Más del 50% de los usuarios prestan sus credenciales de acceso a sus amigos
El 47% de los usuarios de las redes sociales han sido víctimas de malware
El 26% de los usuarios de las redes sociales comparten archivos personales en las redes sociales
El 21% de los usuarios de las redes sociales aceptan ofertas de contactos por parte de desconocidos
El 20% de los usuarios de las redes sociales han sufrido robo de identidad

Fuente: Taken in part from Protiviti, “Managing Privacy Risks in Social Media-Driven Society,” white paper, www.protiviti.com

“El 64 por ciento de las personas que utilizan las redes sociales hacen clic en los enlaces, incluso sin saber dónde les llevará. Es sólo una presunción, pues no tenemos datos al respecto, pero entendemos que quien sigue un enlace sin saber dónde le llevará lo hará igualmente mientras navega o lee el correo electrónico.  Respecto a los usuarios víctimas de ‘malware’ [3], cabría preguntarse cuántos de ellos no usan las redes sociales pero aun así son victimas del mismo.

Debido al daño que puede ocasionar a una organización, creemos necesario resaltar y explicar el riesgo de sufrir una suplantación de identidad. Si un atacante consigue las credenciales de una cuenta de las redes sociales de una organización, podría difundir mensajes maliciosos o malintencionados. Actuando en su nombre, podría utilizar la cuenta para la difusión de ‘spam’ [4] y aprovechar el buen nombre de la organización y la confianza que genera en sus seguidores para utilizar técnicas de ‘phishing[5] y pharming[6], con el objeto de recopilar datos sensibles de los mismos.

Otra amenaza importante para la imagen de la organización es la utilización de sus perfiles sociales como plataforma para la distribución de código dañino o malware. Si se tratara de la cuenta de un organismo público, el número de afectados podría ser enorme. Generalmente, detrás de todas estas amenazas se suelen encontrar técnicas de ingeniería social[7], que sigue siendo a la vez la herramienta más potente y más barata para introducir ataques más sofisticados.

Las redes sociales son, por tanto, un vehículo más para estas amenazas. Cabe pensar por tanto, que los mecanismos para protegernos de estas amenazas y minimizar los riesgos a los que se expone la organización con presencia en las redes sociales sean los mismos de siempre. La ingeniería social se puede contrarrestar eficientemente con la formación y concienciación adecuada de los usuarios. Por otro lado, la organización debe elaborar políticas claras y sencillas acompañadas de guías y directrices que ayuden a los usuarios a aplicarlas adecuadamente.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] ISACA Journal. Volume 5. 2012. What Every IT Auditor Should Know About Auditing Social Media

[2] Fuente: Taken in part from Protiviti, “Managing Privacy Risks in Social Media-Driven Society,” white paper, www.protiviti.com

[3] Más información sobre ‘malware’ en Wikipedia: http://es.wikipedia.org/wiki/Malware

[4] Más información sobre ‘spam’  en Wikipedia: http://es.wikipedia.org/wiki/Spam

[5] Más información sobre ‘phising’ en Wikipedia: http://es.wikipedia.org/wiki/Phising

[6] Más información sobre ‘pharming’ en Wikipedia: http://es.wikipedia.org/wiki/Pharming

[7] Más información sobre ingeniería social en Wikipedia: http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

El segundo trabajo de Heracles: La Hidra de Lerna (III). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Como ya hemos comentado, en general, las redes sociales presentan riesgos similares a cualquier otro servicio de tecnologías de la información. Sin embargo, en algunos centros sanitarios se pueden encontrar ciertas reticencias con el uso de las mismas. Se suelen alegar argumentos poco precisos, en nuestra opinión, aunque debemos reconocer que no están carentes de cierto fundamento. Eso sí, no suele parecer que se hayan evaluado los riesgos de forma seria y en base a metodologías contrastadas. Así mismo, tampoco parece haberse medido el riesgo de no tener presencia en las redes sociales.

En ocasiones, la decisión de prohibir el uso de las redes sociales no ha sido meditada en profundidad. Se trata más de lo que algunos profesionales del sector denominan “la Informática defensiva”, practicando una “seguridad por si las moscas”. Esta actitud podría estar limitando, e incluso impidiendo, determinados objetivos de la organización. En cualquier caso, una decisión de este calado debería estar basada en un exhaustivo análisis de riesgos. En realidad, la actitud mencionada, es una forma de gestionar el riesgo: cesar la actividad que puede causarlo. Pero la “Informática defensiva” es una mala interpretación de esta forma de gestionarlo pues, cesar una actividad necesaria, no es una forma de gestionar el riesgo.

Sin embargo, debido a su naturaleza expansiva, las redes sociales pueden potenciar el efecto de sus riesgos. Por ejemplo, dañando la imagen pública a causa de comentarios o mensajes negativos que difundan rápidamente. Aunque debemos decir que el daño puede verse aumentado por ignorar o gestionar inadecuamente dichos comentarios. De un mensaje negativo nunca podemos estar a salvo, pues no dependen al 100% de nosotros (aunque habría mucho que debatir en este sentido); lo que sí depende de nosotros es cómo reaccionamos ante ellos. Una respuesta adecuada puede volver un comentario negativo a nuestro favor.

Eso sí, para ser justos y alejarnos del negativismo, debemos decir que, del mismo modo, nuestra presencia en las redes sociales puede potenciar efectos beneficiosos sobre nuestra organización.

Las organizaciones tienen que convivir con cierto nivel de riesgo. ¿Qué decisiones se pueden tomar al respecto? Podemos evitarlo censando en la actividad que lo ocasiona. Esta opción es la más sencilla, puede convertirse en una forma de informática defensiva. Pero bien entendida, esta opción podría suponer una reingeniería de procesos. Otra opción consiste en trabajar en la reducción de la probabilidad de que se presente el riesgo. También podemos trabajar sobre las consecuencias ocasionadas una vez presentado el riesgo, trabajar sobre el impacto ocasionado. Por último podemos transferirlo, mediante la contratación de seguros, e incluso aceptarlo. Es decir, la organización considera el riesgo como “aceptable” y asume las posibles consecuencias de que se materialice.

Lo único que no se puede hacer con el riesgo es ignorarlo. Por lo tanto, tenemos que asumir y convivir con distintos tipos de riesgos, teniendo en cuenta que el riesgo es interactivo y  que se puede presentar como consecuencia de llevar a cabo una actividad o tarea, o también como consecuencia de no realizar esa misma actividad.

Si se mitiga un riesgo, es muy probable que se incremente algún otro riesgo relacionado. Por tanto, si esperamos a eliminar el riesgo para llevar a cabo una actividad, no podremos emprenderla jamás.

Otro aspecto importante relativo a los riesgos son las decisiones respecto a los mismos que se toman en el más alto nivel de las organizaciones. Tanto aceptarlos, como evitarlos, reducirlos o transferirlos, conlleva unos costes. Es razonable reducir un riesgo hasta que el coste de seguir reduciéndolo supere al impacto que ocasionaría si se produjera. Escoger la opción de cesar en la actividad que podría provocarlo también conlleva costes. ¿Se puede permitir la organización cesar en una de sus actividades? ¿Nos planteamos dejar de hacer transfusiones sanguíneas por el riesgo de infección? ¿O por el contrario redefinimos los procesos y perfeccionamos los controles sobre la sangre y sus derivados?

¿Por qué razón en algunas ocasiones se opta entonces por esta forma de gestionar los riesgos en lo que respecta al uso de las redes sociales? No deberíamos olvidar que las redes sociales no son más que herramientas para llevar a cabo actividades relacionadas con la misión o los objetivos de la organización; no son un fin en sí mismas. En cualquier caso, la decisión sobre cesar o no en una determinada actividad corresponde, como no puede ser de otra manera, a la dirección de la institución. El papel del personal técnico será el de ofrecer la información necesaria y aconsejar, después de un análisis de riesgos exhaustivo.

Pero tampoco debemos dejarnos llevar por tendencias o modas y pensar que las redes sociales son la Panacea. Como el resto de actividades de una organización, deberían demostrar su eficacia de forma objetiva, siguiendo la máxima: “Lo que no se puede medir, no se puede gestionar”. Del mismo modo, su uso debe estar ligado a los objetivos y estrategia de la organización.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García

El segundo trabajo de Heracles: La Hidra de Lerna (II). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

Antes de entrar en profundidad, nos gustaría exponer algunas premisas que consideramos fundamentales y que no deben ser pérdidas de vista por los responsables de las redes sociales como herramienta institucional.

Los datos personales tienen valor económico.

Los datos de carácter personal constituyen un gran negocio desde los años 80. No es difícil encontrar referencias a ellos parecidas a “el oro del siglo XXI” o “el combustible para los motores de nuestra sociedad actual”. Se compran y venden como cualquier otra mercancía. A limitar estos desmanes vino la LORTAD (Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal),  vigente hasta el 14 de enero de 2000 y la LOPD (vigente Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal), acompañada  del Real Decreto 1720/2007 que regula a la LOPD y establece las medidas de seguridad de la información mínimas exigibles. Y en ello seguimos. Parece que ya está casi listo el borrador del nuevo reglamento europeo de protección de datos que de aprobarse tendrá una trasposición directa a todos los países miembros de la UE. Los datos apuntan a que será aprobado antes de 2014.

El negocio de las redes sociales son los datos personales.

Con el tiempo, y gracias a la legislación para la protección de datos personales, se ha hecho más y más difícil la recolección de datos personales para fines comerciales. Algo que vienen a contrarrestar las redes sociales, entre otros modelos de negocio, ofreciendo servicios “gratuitos” a cambio de los datos de sus usuarios. Su principal negocio consiste en obtener beneficio económico de éstos mediante la venta de los mismos a terceros o utilizándolos para fines comerciales. Cuando un servicio es “gratuito”, la mercancía son tus datos personales.

No hay oportunidad sin riesgo.

Toda actividad conlleva cierto riesgo. Somos conscientes de que conducir supone cierta posibilidad de accidente, incluso mortal. Para disminuirla, existen las normas de circulación, la formación y concienciación de los conductores, la limitación de velocidad y, sobre todo, la precaución del conductor. Para disminuir el impacto en caso de accidente se incorporan cinturones de seguridad, airbags, sistemas ABS…

Igualmente, en la práctica clínica, existen riesgos inherentes. Por ejemplo, en las transfusiones sanguíneas existe cierta posibilidad de infección (hepatitis, VIH…), así como el riesgo de transfundir sangre de un grupo o Rh equivocado, lo que podría llegar a provocar la muerte del paciente.

Sin embargo, conducimos y construimos más carreteras y continuamos haciendo transfusiones de sangre, cuando se considera necesario. Todo ello a pesar de los riesgos que supone pues, al fin y al cabo, se siguen salvando incontables vidas humanas.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García

El segundo trabajo de Heracles: La Hidra de Lerna (I)

Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

La Hidra tenía un cuerpo prodigioso parecido al del perro, y ocho o nueve cabezas serpentinas, una de ellas inmortal; pero algunos le atribuyen cincuenta, o un centenar, o inclusive diez mil cabezas. De todos modos era tan venenosa que su solo aliento, o el olor de su rastro, podía destruir la vida.

Los mitos Griegos
el segundo trabajo: La Hidra de Lerna
Robert Graves

Las redes sociales están suponiendo un verdadero tsunami en cuanto a la forma de comunicación actual y debemos preguntarnos si el uso de éstas, como herramienta para la relación con los ciudadanos, es adecuada. ¿Conviene entrar en esa dinámica, o por el contrario las redes sociales suponen un peligro para las organizaciones y es conveniente cerrar las puertas a este fenómeno dándole la espalda? ¿Podemos darle la espalda?

Estos medios están provocando profundos cambios sociales y culturales a nivel global, presentando características únicas y sin precedentes capaces de amplificar la voz del ciudadano como nunca antes había sido posible. Es posiblemente esta característica, de “expansión vírica” la que polariza las posturas entre los que abogan por la adopción de las RR.SS. como una herramientas más para la comunicación institucional, los innovadores tempranos, y sus detractores, más prudentes y conservadores.

¿Presenta riesgos el uso de las redes sociales en el ámbito de la sanidad pública? ¿Son reales estos riesgos o son sólo argumentos vagos con el objeto de evitar o limitar el uso de las mismas?

Ciertamente no hay actividad humana exenta de riesgo, y por muchas medidas de seguridad, contramedidas, salvaguardas, medidas preventivas y planes de contingencias que se adopten, el riesgo cero no existe; es decir, nunca podemos garantizar la seguridad al 100%. Así pues, en toda actividad que emprendamos, deberemos asumir cierto grado de riesgo; si no, nunca la comenzaremos.

“Un barco está más seguro en el puerto. Pero no fue para esto que fueron construidos”
(@paulocoelho).

Algunos estudios recientes han demostrado que, en general, los riesgos que presenta el uso de las redes sociales en los entornos corporativos son los mismos que presenta cualquier otra actividad relacionada con las tecnologías de la información: como el correo electrónico o navegar por las páginas “no sociales” (conocidas como 1.0). [1] [2]Por otro lado, también es cierto que el uso de estos medios presenta algunos riesgos específicos o, al menos, se incrementan en algunas áreas. Los daños a la imagen pública o la velocidad de expansión de los eventos adversos están entre los riesgos que ocasionan mayor preocupación en la Dirección de una organización.

No cabe duda de que el error de un profesional que representa a una organización en las redes sociales, sumado a la velocidad de difusión del mismo, puede dañar la imagen pública de una organización en tiempo record. Pero, ¿disminuye este riesgo si la organización y sus profesionales no están presentes y activos en las redes sociales? O, por el contrario, se dispondrá de mayor capacidad de reacción precisamente por participar de las mismas. Para evitar el riesgo, ¿La solución es acabar con la actividad que lo puede ocasionar?

Pero no todo el monte es orégano. El uso de las redes sociales debería poder demostrar su eficacia, estando ligado a los objetivos y estrategias de la organización. En la medida en que las redes sociales sean capaces de satisfacer estos objetivos corporativos, seremos capaces de medir su eficacia.

Manuel Jimber
Fran Sanchez
Miguel Angel García


[1] [1. Informe de Amenazas CCN-CERT- IA-03/13. Riesgos Derivados de las Redes Sociales. CCN-CERT]

[2] [2. ISACA JOURNAL. Volume 5. 2012 What Every IT Auditor Should Know About Auditing Social Media. http://www.isaca.org/Journal/Past- Issues/2012/Volume- 5/Pages/What-Every-IT- Auditor- Should-Know-About-Auditing- Social- Media.aspx]