Social media zijn niet weg te denken uit onze maatschappij. Je valt op wanneer je niet op een of ander manier gebruik maakt van social media netwerken en bijbehorende applicaties. Leveranciers en gebruikers zien de vele voordelen van de sociale netwerken, maar zijn gebruikers zich bewust van de risico’s en ontbrekende veiligheid?
Bedrijven zetten massaal in op social media. Sociale netwerken worden gebruikt voor ondersteuning in reclame, persvoorlichting, marktonderzoek en vele andere toepassingen. Ook bij het vervullen van vacatures is social media een belangrijk hulpmiddel geworden, 95 procent van de organisaties gebruikt hiervoor LinkedIn. Gebruikers zien de vele voordelen en de initiële investering is vrijwel nihil. Maar er zijn ook nadelen.
Er is nagenoeg geen onderscheid meer tussen zakelijk en privé. Als er wordt gekeken naar het profiel van de individuele gebruiker binnen sociale netwerken valt het op dat de meeste gebruikers per social netwerk één gebruikersaccount bezitten. Dit account wordt dan zowel privé als zakelijk gebruikt. Dit heeft vanuit zakelijke optiek grote voordelen. Iedereen is altijd en overal beschikbaar via social media.
Het toenemend gebruik van social media zorgt voor een sterke groei van ons dataverkeer en is een onmisbaar hulpmiddel voor de business geworden. Social media zijn niet weg te denken uit onze maatschappij. Leveranciers en gebruikers zien de vele voordelen van de sociale netwerken, maar zijn gebruikers zich bewust van de risico’s en ontbrekende veiligheid?
Essentiële stappen voor het gestructureerd invoeren van social media worden gemakshalve overgeslagen. Welke invloed hebben deze aspecten op de informatiebeveiliging binnen organisaties en wijzigt dit de manier waarop de informatiebeveiliging binnen een organisatie moet worden toegepast? Met andere woorden: 'Welke impact heeft social media op de uitvoering van informatiebeveiliging en wat zijn nu typische nieuwe maatregelen als gevolg van social media.'
Altijd en overal bereikbaar zijn
Het maakt niet meer uit wanneer en waar je zakelijk of privé communiceert met collega's of vrienden. Vanuit beveiligingsoogpunt is juist dit een lastig aspect. Waar bijvoorbeeld voorheen gebruik werd gemaakt van beveiligingsmaatregelen zoals sociale controle, het beperkt toestaan van bepaalde toepassingen op het bedrijfsnetwerk of zelfs het blokkeren ervan, is dit niet meer mogelijk in de huidige wereld.
Risico's van social media zijn over het algemeen niet bekend bij de gebruiker. Een onbedoelde fout of misstap is eenvoudig gemaakt en lastig terug te draaien. Denk maar aan een medewerker die een negatieve of onjuiste berichtgeving over de organisatie of collega's de wereld in stuurt. Gevolg: reputatieschade en mogelijk zelfs schadeclaims.
Een tweede voorbeeld is misbruik van de vele op social media beschikbare persoonsinformatie door social engineering, waarmee identiteitsdiefstal zou kunnen plaatsvinden. Het onopzettelijk maar zeker ook opzettelijk openbaar maken van gevoelige informatie is technisch gezien niet tegen te houden. Met internetconnectiviteit op elke mobiele device is dat echt een illusie. Een gebruiker kan vanuit huis of onderweg evenveel schade aanrichten als van binnenuit de bedrijfsinfrastructuur.
Vanuit de business wordt aan de bedreigingen en risico's die social media met zich meebrengt maar beperkt aandacht gegeven. Hier schuilen verschillende gedachten achter. Vaak gedreven uit angst dat door bijvoorbeeld de afdeling informatiebeveiliging deze vorm van communicatie wordt beperkt of zelfs onmogelijk wordt gemaakt. De ogen sluiten voor potentiële bedreigingen veroorzaakt juist meer schade voor de business en mogelijk voor individuele personen. Maatregelen en gebruik moeten daarom in evenwicht zijn en elkaar niet tegenwerken.
De zakelijke cultuur werkt door in de privésfeer. Wanneer social media structureel wordt toegepast binnen een organisatie dient de cultuur en de communicatie van de organisatie hierop te zijn aangepast. Het in kaart brengen van de bedreigingen en risico's is voor een organisatie een eerste stap in de aanpak om bewust en evenwichtig om te gaan met verschillende scenario's. 'De beslissing om social media te omarmen is een op risico gebaseerde beslissing, niet een op technologie gebaseerde beslissing".
Kortom, gebruikers zijn vaak niet bewust van de fouten die ze maken of potentiële risico's die ze lopen. De organisatie heeft maar beperkt grip op social media. Hierdoor is technisch reguleren nagenoeg onmogelijk. Hiervoor is een duidelijk inzicht in de bedreigingen en risico's van essentieel belang.
Bewustwording als leerproces
Evenwichtige maatregelen kunnen de business en informatiebeveiliging verder helpen. Het nemen van maatregelen is een kwestie van leren. Wie risico's op het gebruik van social media wil beperken zal de gebruikers bewust moeten maken van de risico's die zij of de organisatie lopen door het gebruik ervan. Dit is een leerproces waarbij een organisatie zal moeten accepteren dat er zo nu en dan een fout kan worden gemaakt. Straf deze fouten niet zomaar af, maar zorg dat er kan worden geleerd van de gemaakte fouten en maak gebruikers bewust van wat ze fout doen en geef aan hoe het wel moet.
Bij dit bewustwordingsproces is het gebruik van korte herhaaldelijke boodschappen met duidelijke voorbeelden een manier om dit doel te bereiken. Het reguleren van social media middels techniek of een uitgebreide security policy werkt namelijk eerder averechts.
Zorg dat het management het goede voorbeeld geeft door actief te participeren en op een positieve manier gebruik te maken van social media. Deze steun vanuit de organisatie is van essentieel belang bij het stimuleren van het gewenste gedrag. Uiteindelijk zullen gebruikers het gewenste gedrag zowel zakelijk als privé volgen. Het monitoren van uitingen op social media in relatie met uw organisatie en direct actie ondernemen wanneer er specifieke activiteiten worden waargenomen is daarbij een belangrijk uitgangspunt. Adopteer deze activiteiten in het geheel van policies, communicatie en trainingen. Bepaal het doel, definieer duidelijke spelregels en besteed aandacht aan bewustwording. Monitor het gedrag en zorg bij incidenten voor duidelijke en eenduidige maatregelen.
Bij social media zien we een duidelijke verschuiving bij het inrichten en het ontwerpen van beveiligingsmaatregelen. Waar voorheen de aandacht op preventie en technische maatregelen lag zien we nu een verschuiving naar risicomanagement en bewustzijn. Een training voor medewerkers is een goed en effectief middel om de aandacht te vestigen op de beveiligingsaspecten bij het gebruik van social media. Wanneer men actief geleerd krijgt hoe om te gaan met social media, is de kans groot dat men dit privé ook overneemt. Duidelijke en heldere beleidslijnen en een gedragscode zijn hierbij belangrijke hulpmiddelen. Gebruik voor de communicatie van deze maatregelen en beleidslijnen een informele aanpak zoals de social media zelf.
Deze bijdrage is tot stand gekomen in samenwerking met het compleate Strict Security-team
Hallo Frank,
Leuk om te lezen. Recent heb ik een artikel bijgedragen over Digitaal Verantwoord Ondernemen (DVO) en het Social Media Growth model (zie https://www.computable.nl/artikel/opinie/internet/4517494/1282763/dvo-how-to-socialize-the-enterprise.html).
Bij DVO gaat het om:
a. Het besturen van de toegevoegde waarde die je met social media wilt realiseren
b. Het omgaan met interne en externe wet- en regelgeving (o.a. privacy, intellectual property en een data escow)
c. De “menskant”: nettiquette, (voorkomen van) social media stress en het bewaken van de balans tussen wensen van een organisatie (meest top-down) en creativiteit en initiatief van individuele medewerkers (bottom up).
d. Een escalatiemechanisme met korte lijnen om realtime in te kunnen grijpen indien bijv. een marketing actie op Twitter (voorbeeld) niet goed gaat. Recent overkwam dit McDonalds met #McDStories).
Het gaat hierbij volgens mij niet om verbieden of gebieden, maar vooral om stimuleren, motiveren en mensen de weg wijzen / voorlichten.
Ik wil nog wel toevoegen aan je verhaal dat social media niet alleen maar wordt gebruikt voor marketing en recruitment. Ook je innovatie, je voortbrengingsproces en je service & onderhoudsproces kun je hiermee ondersteunen. Het gaat dus ook niet alleen maar om tooling (de media kant van social media) maar vooral ook om andere manieren van samenwerking, nieuwe verdienmodellen etc. Bekende voorbeelden van organisaties die hier veel mee doen zijn Lego, KLM, Goldcorp en Ford.
Frank,
Ik wil graag iets aanvullen op het volgende stukje: “Een onbedoelde fout of misstap is eenvoudig gemaakt en lastig terug te draaien. Denk maar aan een medewerker die een negatieve of onjuiste berichtgeving over de organisatie of collega’s de wereld in stuurt. Gevolg: reputatieschade en mogelijk zelfs schadeclaims.”
Volgens mij is moeilijk in te schatten hoe groot de impact is van een dergelijke fout. Het kan twee kanten opgaan: 1. Het bericht wordt gezien als een willekeurig ander bericht van een individu. Immers de waarde die aan een individueel social media bericht wordt toegekend is lager dan aan een bericht dat op een nieuwssite staat. 2. Het bericht krijgt opvolging en lijdt tot een sneeuwbal.
Of de sneeuwbal gaat rollen is moeilijk te voorspellen, maar ik denk dat juist door het toenemende gebruik van social media dit steeds minder vaak het geval gaat zijn; immers iedereen weet dat je eerst even de berichten moet valideren. Hiermee heft de populariteit ook het grote risico op.
Voor het voorkomen werkt de ondersneeuw strategie vrij effectief. Zorgen dat er voldoende andere berichten geplaatst worden zodat het ene foute bericht raakt ondergesneeuwd. Dit moet dan natuurlijk wel snel gebeuren.