Dentro de las organizaciones federales, el uso de medios informativos va
web est avanzando y tomando apogeo de una manera muy rpida en los tiempos actuales. Estas prcticas son motivo de avances y oportunidades hacia las personas que consultan estas pginas pero a la vez llega con una infinidad de riesgos integrados. Como bien se menciona al tomar la decisin de implementar la tecnologa de medios sociales, es tomada basndose en el riesgo y no en la tecnologa como tal. Estas implementaciones deben ejecutarse teniendo en cuenta el tamao del proceso, las amenazas, capacidades tcnicas de las reas y lo posibles beneficios que retribuirn a la organizacin. Al tratarse de recursos del gobierno o federales, estos servicios y programas web son los ms propensos a ataques, es por esto que el rea de seguridad deben enfocarse en un programa de gestin de riesgos, en las cuales se deben incluir los riesgos a los elementos humanos, a la organizacin y a la infraestructura federal. La mitigacin de los riesgos en los portales pblicos y privados federales, deben esta acatados por polticas relacionadas a la mayora de las tecnologas ya que al ir estas evolucionando contantemente, se hace mas extensa la brecha de seguridad da con da, es por esto, que stas deben estar centradas en el uso y comportamiento de los usuarios tanto de manera personal como profesional, ayudando as a mantener la triada de la seguridad de la informacin: Confidencialidad, Integridad y Disponibilidad. Hoy en da mucha de la informacin de los pases, est contenida en la famosa nube, este tipo de tecnologas es reconocido por que la informacin est disponible en cualquier punto del planeta y en cualquier dispositivo, es por esto que se deben de implementar controles de seguridad adicionales en estos alojamientos externos. En enero de 2009 el presidente Norteamericano Barack Obama firm un memorndum de transparencia y gobierno abierto, con la cuales se dio pauta al uso de tecnologas de medios sociales para interactuar con el pblico. Vivek Kundra menciona que estas son la base para aprovechar la cantidad de conocimientos que existen en las comunidades de Estados Unidos. Para esto desarrollo un plan que menciona cinco puntos esenciales para la agenda de la administracin. Gobierno abierto y transparente Reduccin de costos en el gobierno Ciberseguridad Democracia participativa Innovacin. Para este escrito se bas esencialmente en la ciberseguridad, sugiere la creacin de polticas para el gobierno federal ante los medios sociales, esto como en las organizaciones privadas, pretende reeducar a los funcionarios pblicos de alta direccin. Como el uso de los medios sociales es mas de uso comn de los funcionarios, su utilizacin no debe ser una decisin tomada nicamente por el rea de TI sino ser gestionado a travs de un proceso de gestin de riesgos, ya que su uso o no, debe ser un proceso de toma de decisin basado en riesgos. En otro caso, investigadores de la Universidad de la Defensa Nacional, mencionan que los medios sociales son el software social, estas conectan bsicamente a las personas con la informacin. Estos manejan cuatro casos de uso de los medios sociales. Inward Sharing: permite que la informacin de Gobierno Federal sea compartida con grupos externos, como los gobiernos estatales y locales, polica, organizaciones privadas y poblacin. Esto es conocido como intercambio interinstitucional. Outward Sharing: los sitios web pblicos como LinkedIn que son ocupados para facilitar la comparticin de la informacin. Inbound Sharing: puede ser utilizado para adquirir informacin de la poblacin, estas son asemejadas a encuestas participativas. Outbound Sharing: sitios web pblicos de medios sociales comerciales que permiten externar informacin, ejemplos claros son el Facebook o Twitter. Actualmente, existen leyes de seguridad, polticas y directrices para los sistemas de informacin federales, como son el NIST, DOD, OMG GAO y el DHS. Es por esto, que el uso de medios sociales para la comunicacin de informacin federal y la seguridad ciberntica involucra no solo a amenazas conocidas sino tambin a vulnerabilidades por descubrir, los cuales requieren controles actualizados para su mitigacin. Como se mencion anteriormente, los sitios federales son los mas atacados en la web, es por esto que se deben de conocer los principales ataque a los que los usuarios pueden ser propensos. Pishing: es un ataque que se dirige a un usuario o grupo de usuarios en particular, el mtodo es que el usuario obtiene un archivo o un enlace el cual contiene cdigo malicioso. Estos tipos de archivos se obtiene en la piratera o en los medios sociales. Ingeniera social: con el uso de los medios sociales, existe dentro de la red infinidad de informacin relacionada a las personas an ms si estas son personalidades pblicas, el primer paso de cualquier ataque de ingeniera social es recoger informacin sobre el objetivo del atacante, para los cuales usan comnmente las redes sociales. Ataques a aplicaciones web: como las aplicaciones web son pginas dinmicas, las cuales interactan con un servidor, contienen cientos de comandos para comunicarse con ellos. Este tipo de ataques puede utilizar los medios sociales para ingresar a los equipos de los usuarios e instalar desde un programa espa hasta el control total del equipo. Existe el OWASP que es una gua para la implementacin de seguridad en aplicaciones web. Al ser tomada una cuenta de medio social del ndole federal puede ocasionar desde mensajes no oficiales hasta la guerra. Dentro del escrito se generan recomendaciones y estrategias para los departamentos federales, agencias y diseadores de polticas y as reducir el riesgo de ataque. Controles de directivas: Cada funcionario dentro de los departamentos debe de general las polticas para la comunicacin en los medios sociales ayudado ampliamente por la oficina de comunicaciones. Concientizar a sus empleados para el uso correcto y el tipo de publicaciones que se deben permitir. Control de adquisiciones: como los medios sociales son en su mayora de terceros, los gobiernos federales deber de implementar una gestin de riesgos, mitigacin y aceptacin de riesgos residual. Las agencias federales deberan requerir controles de seguridad y privacidad mejoradas a travs de los servicios de medios sociales contratados. Algunos ejemplos pueden ser, autenticacin encriptada, validaciones de entrada, gestin de cookies, permitir que un SOC federal operado o contratado para supervisar de forma independiente las operaciones de seguridad y de red, asegrese de que el hardware y software de produccin utilicen la ltima versin del software o bien no inferior de una versin anterior, entre otras. Controles de formacin: como ya se sabe, los usuarios finales son siempre el eslabn ms dbil de la cadena, es por esto que se debe de generar un poltica de formacin que concientice a stos de las mejores prcticas para el uso de informacin en los medios sociales, as como una formacin peridica para defenderse ante la ingeniera social. Controles de red: existen infinidad de proveedores que brindan seguridad en tecnologas de red, pero cabe mencionar que ninguna proporciona el 100% de seguridad, es por eso que se deben de integrar diferentes controles de red como pueden ser, tecnologa de filtrado, inspeccin de paquetes, servidores proxy, firewalls, sistemas de prevencin de intrusos (IPS), entre otros o Un SOC / NOC, proporciona permite centralizar, localizar y responder a las amenazas que pueden ser introducidas por medio de las redes sociales. Controles de HOST: Como todo lo anterior, el contar con un alojamiento seguro es esencial para los gobiernos federales. Muchos de estos controles de proteccin de punto final implementan diversas directrices como son FISMA, NIST y OMB, y tambin proporcionan protecciones que salvaguardan especficamente contra los ataques de los medios de comunicacin sociales. El Common Operating Environment (COE) se asegurar de polticas de configuracin de host coherente y global y de endurecimiento en todo el Gobierno Federal. Los anfitriones pueden configurar utilizando el Federal Desktop Core Configuration (FDCC), y validados a travs de un Content Security Automation Protocol (SCAP) como escner compatible. o Las agencias federales deben asegurarse de tener actualizados los parches para el sistema operativo y las vulnerabilidades de las aplicaciones, y que la actualizacin de archivos de firmas de los antivirus y el registro de sistema est habilitado para informar al SOC en estaciones de trabajo en tiempo real. o El uso de las tecnologas de virtualizacin de escritorio permite a los usuarios ver sitios web potencialmente maliciosos en una "caja de arena" que salvaguarda el resto del sistema operativo host frente a los ataques de compromiso contra el sistema operativo. o Actualizar a la ltima versin del navegador para los usuarios autorizados para el uso de los medios sociales. Navegadores ms modernos utilizan tecnologas anti-phishing adicionales diseadas para proteger contra los ataques de uso comn en los sitios web de medios sociales.