Social media. Alle bedrijven hebben ermee te maken en hebben vragen. Toestaan of niet? Hoe regelen we dat? Wat voor afspraken moeten we maken met medewerkers? Een ding is zeker: social media is een zeer menselijk fenomeen, dat – mits op de juiste manier ingezet – kan bijdragen aan het succes van een onderneming. Maar er moet wel goed nagedacht worden op de mogelijke risico's en consequenties.
De mens is een sociaal wezen. En dat brengt heel veel getob met zich mee. Zo zei onlangs bioloog/auteur Midas Dekkers tijdens een congres van Surfnet, waar hij sprak over samenwerking. Een andere bioloog, Constanze Mager-Melicharek (werkzaam bij Burgers’ Zoo), hield voor een gezelschap van installateurs (die in de bouwketen willen samenwerken met architect, aannemer, enzovoorts) eveneens een betoog over dit onderwerp. De mens is een van de weinige dieren die zichzelf herkennen in een spiegel. 'En daarmee is hij tot bedrog in staat. Hij kan zich namelijk inleven in de ander en bedenken welk effect zijn gedrag heeft op een ander', vertelde zij.
Het is – uit biologisch oogpunt – dus niet zo gek dat social media een hoge vlucht hebben genomen. Mensen willen graag van alles met elkaar delen; hoe smeuïger het nieuws, hoe sneller dit de aarde rondzingt. Cijfers over aantallen berichten en filmpjes die de ronde doen over social media als Facebook, LinkedIn en YouTube zijn al achterhaald op het moment dat je ze optekent.
Tegelijk is het niet verwonderlijk dat er risico's aan social media zitten. Voor organisaties is het van belang deze biologische kenmerken te herkennen en maatregelen te treffen om het gebruik van social media in goede banen te leiden. Bij bedrijven komen tegenwoordig jonge medewerkers binnen die gewend zijn om via social media contact te onderhouden. Het is geen optie hun die mogelijkheden te onthouden, hoewel sommige IT-managers neigen naar een totaal verbod.
Met een verbod ontneemt een organisatie zichzelf echter de mogelijkheid om social media effectief in de bedrijfsvoering op te nemen. Uit een wereldwijd onderzoek van McKinsey (december 2011) blijkt dat 45 procent van de bedrijven proeven neemt met het gebruik van sociale platformen of hier al mee werkt. Social media zijn immers een mooi middel om met partners, klanten en prospects in contact te komen en te blijven. Heel veel organisaties presenteren zich met een filmpje op YouTube; heel veel werknemers presenteren zich via LinkedIn.
Dataverlies
Een studie van Vanson Bourne en de Cerias Group van de Purdue Universiteit laat zien dat de risico's daarbij aardig in de papieren kunnen lopen. De ondervraagde bedrijven meldden bij elkaar een schadepost van meer dan 1 miljard dollar ten gevolge van het gebruik van social media. Dan gaat het bijvoorbeeld om dataverlies, het ongewild bekend worden van bedrijfsgegevens en imagoschade.
Organisaties kunnen zeker profiteren van de voordelen social media, maar de risico's moeten wel herkend en aangepakt worden Dat vereist zowel een integrale aanpak als een technologische architectuur. Want het is een kwestie van mentaliteit én techniek. Begin met het opstellen van richtlijnen waaraan medewerkers zich dienen te houden. Vertel ze vooral welke informatie niet op internet mag gaan rondzwerven; maak ze bewust van hun eigen rol.
Tegelijk is het zaak een aantal technische oplossingen in stelling te brengen. Implementeer een gelaagde beveiligingsaanpak. Er zijn verscheidene mogelijkheden om de risico's van social media te beperken. Denk aan applicatiebewuste controle, waarbij de securityoplossing detecteert in welke toepassing een medewerker actief is (bijvoorbeeld binnen Facebook) en afhankelijk van gedefinieerde policyregels in Active Directory al dan niet toestaat of deze persoon iets mag meedelen. Voorkom dat medewerkers kritieke informatie zoals klant- en rekeningnummers posten. Het is mogelijk om dergelijke informatie te blokkeren.
Byod
Ook byod is hierbij een factor waar organisaties rekening dienen te houden. Medewerkers nemen hun tablet, smartphone overal mee naar toe en kunnen ze dus ook overal kwijtraken. Zorg ervoor dat er dan geen dataverlies kan optreden. Daar zijn verschillende methoden voor. Denk er ook aan om mobiele apparatuur regelmatig – en bij voorkeur automatisch – te voorzien van beveiligingspatches en software updates.
Voorheen was het genoeg om malware op te sporen en op een zwarte lijst te zetten. Maar de aanwas van deze kwaadaardige software is nu zo groot dat deze methode zichzelf heeft ingehaald. Het is nu zinvol om de zwarte lijst te combineren met automatische detectie van opvallend gedrag en ongewone code. Ook die oplossing is beschikbaar.
Social media zijn een kans voor bedrijven, mits wordt gezorgd voor een goede beveiligingsstructuur en duidelijk beleid. En betrek daar alle medewerkers bij, want de mens is een sociaal wezen.
Social media en Social IT
Social media en Social IT zijn ook de thema's van de beurs Infosecurity 2012, die op 31 oktober en 1 november plaatsvindt in de Jaarbeurs Utrecht. McAfee is een van de sponsors en ik neem ook deel aan de Computable Expertsessie ‘Help, mijn bedrijf wordt gehackt!', op donderdag 1 november om 10:30 uur.
Een rare kronkel: dataverlies door social media, met als verklaring dat een tablet of smartphone verloren kan raken. Dit heeft mijns inziens niets met social media te maken.
Dat gezegd hebbende: de kracht, maar ook het grootste risico is de snelheid waarmee (on-)waarheden de ronde doen in de wereld.
Kijk naar de vermeende claims tegen toyota enkele jaren geleden in Amerika. Doordat het verhaal een eigen leven gaat leden, en via de sociale media snel wereldkundig gemaakt werd heeft Toyota een flinke deuk in haar imago opgelopen. Hier kun je als bedrijf echter heel weinig aan doen.
Wat je op o.a. twitter en de fora van radar en kassa steeds mee ziet is dat deze permanent gescand worden door communicatie-afdelingen van grote bedrijven om meteen in te antwoorden, discussies te “sturen”, service te verlenen maar vooral om de schade in te dammen.
Binnen je eigen bedrijf kun je mensen bewust maken van de kracht (of macht?) van social media, of dingen verbieden, maar dat is slechts een druppel op de gloeiende plaat.
Social media hebben een ‘kracht van zichzelf’. Het is ontzettend moeilijk om de balans vast te houden tussen wat organisaties willen (top down) en wat medewerkers introduceren (bottom up). Dit gaat niet alleen over verbieden of gebieden maar vooral over stimuleren, motiveren en richting wijzen. Het gaat ook over netiquette, het stimuleren van zelfreinigende mechanismen (tussen collega’s) en het nemen van organisatorische verantwoordelijkheid voor minder social mediastress. Kort samengevat: Digitaal Verantwoord Ondernemen (DVO).
De meeste organisaties gebruiken social media voor marketing & sales en recruitment. Er zijn echter ook genoeg voorbeelden van organisaties die het inzetten voor interne communicatie, innovatie en voor hun productieproces.
De column heeft mij teveel focus op de techniek / tooling kant. Hoe zit het met de mensen? De processen binnen een organisatie? De ketenpartners die je nodig hebt? (wat als jouw klant dat debiteuren nummer dat jij van hem hebt op Facebook zet? Daar helpt je eigen beveiliging niet tegen).
Persoonlijk ben ik van mening dat het artikel wat eenzijdig kijkt naar social media. Namelijk vanuit een technische kant. Ik ben, net als @Michiel Croon van mening dat bedrijven niet alleen naar social media moeten kijken vanuit de techniek en de bedreigingen die daarbij horen.
Als je als bedrijf gebruik maakt van een goede social media strategie en die samen met je werknemers uitdraagt, dan zijn de risico’s al aanzienlijk kleiner.
Dat je daarnaast je infrastructuur aan moet passen aan deze tijd, byod, cloud, mobiel werken, etc. is natuurlijk evident. Het heeft alleen weinig met social media te maken vind ik.
Vanuit de techniek gezien is het een goed onderbouwd artikel, maar onthoud dat je met je IT infrastructuur en IT policy alleen je eigen netwerk kunt controleren en dan nog is het nooit helemaal waterdicht. Daarbij heeft ook nagenoeg iedereen tegenwoordig een smartphone met daarop social media apps. Anders gezegd: als je met je smartphone op zak binnen het bedrijf bent, dan ben je, bewust of onbewust, per definitie een liability. Uiteraard zien we onze collega’s en medewerkers niet op die manier, maar kijken we juist naar de toegevoegde waarde die social media biedt voor je organisatie. De uitdaging bij social media is dat beste resultaten kunnen worden behaald als je als bedrijf zo open en transparant mogelijk bent. En daar wringt de schoen met IT. Als organisatie heb je daarom de volgende verantwoordelijkheden met betrekking tot social media.
1) Uitleggen wat je missie, visie & strategie op social media is en daar een policy aan hangen
2) Uitleggen wat in de dagelijkse praktijk de mogelijkheden en de gevaren van social media zijn
3) Zelf actief zijn op social media en daarmee het goede voorbeeld geven
Wat je aan de IT kant doet moet ondersteunend zijn aan bovenstaande, niet andersom. Voor de volledigheid, ik bedoel niet dat dit in het artikel beweerd wordt, ik geeft het alleen aan.
@PaVaKe ik onderschrijf je reactie, social media is niet controleerbaar, hoogstens beïnvloedbaar. Als je als organisatie een ‘controlfreak’ bent, dan heb je een probleem.
Verder, het is logisch dat René Pieëte vanuit de techniek schrijft, dat is zijn vakgebied en de Computable website het medium.