Sociale media zijn een steeds grotere risicofactor binnen bedrijven. Eén misplaatste tweet kan een enorme reputatieschade als gevolg hebben, zowel voor bedrijven als individuen. Zo haalde een Amerikaanse pr-medewerkster tijdens haar vakantie met één racistische tweet haar hele professionele leven overhoop. Ik denk echter dat de sociale media op zichzelf niet het probleem zijn. Het risico zit in het feit dat werknemers buiten de IT-afdeling om zelfstandig allerlei externe online diensten gaan gebruiken, zonder daarbij basale security-richtlijnen in acht te nemen.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Sociale media worden meestal ingezet vanuit een marketing-perspectief. Voor deze afdeling hebben ze immers allerlei voordelen om de communicatie en interactie met klanten te verbeteren. Maar de keerzijde is dat toegang tot dit belangrijke communicatiekanaal maar zelden wordt beheerd door de IT-afdeling. Het gevolg is dat er vaak meerdere mensen kunnen inloggen op een zakelijke Twitter- of Facebook-account, waardoor er bij problemen of misbruik niet altijd te achterhalen valt wie er verantwoordelijk is. En wat als er werknemers opstappen? Wordt het wachtwoord dan gewijzigd, of houden deze ex-medewerkers ook buiten het bedrijf toegang? Dat is sowieso geen gewenste situatie. Maar beveiliging is geen prioriteit van de marketing-afdeling, en ook een sales-medewerker zal zich zelden druk maken over de beveiliging van de klantbestanden in zijn Dropbox-account. Gelukkig zijn er ook tools als Sprinklr beschikbaar die kunnen helpen om het beheer van social media-accounts beter te kunnen controleren. Maar hoe kun je het gebruik van dit soort tools afdwingen en het accountbeheer onder controle krijgen? Moet IT hier tussenbeide komen?
Social media-beleid
Het volledig faciliteren en onder controle brengen van sociale media door een IT afdeling, is niet de oplossing. Hiermee ontneem je het communicatiekanaal al zijn snelheid en spontaniteit en je vervangt het door mogelijk bureaucratische controle. Veel beter is investeren in het trainen van mensen voor het gebruik van social media voordat ze überhaupt toegang krijgen. Maar daaraan vooraf gaat het opstellen van een social media-beleid, ofwel een beschrijving van de regels en best-practices voor het zakelijk gebruik ervan. Zowel voor manier van communicatie over het bedrijf als het gebruik van de bedrijfspagina. Dell zag al in 2007 de noodzaak hiervan in en besloot een ‘social company’ te worden. Michael Dell stelde toen: “These conversations are going to occur whether you like it or not. Do you want to be a part of that or not? My argument is you absolutely do.” Het hele digitale conversatie-ecosysteem werd sindsdien in kaart gebracht en in lijn gebracht met de doelstellingen, richtlijnen en verwachtingen op dit gebied. Ik denk dat zo’n beleid geen duimendik document moet zijn vol juridische terminologie, maar slechts een pdf van hooguit twee pagina’s in heldere taal. Dit is wat elk bedrijf zou moeten doen: nadenken over hoe je wilt dat werknemers met social media omgaan en dit zo kort en bondig mogelijk op papier zetten. Doe bijvoorbeeld eens inspiratie op aan de hand van het social media beleid van Dell. De eerste stap is het op papier zetten, de tweede is ervoor zorgen dat het personeel er kennis van neemt. Dit kun je doen door een korte cursus of instructie te geven. Dell heeft hier zelfs een Social Media and Communities University (SMaC U) voor ingericht. Het belangrijkste doel is dat medewerkers worden gewezen op de risico’s en zich niet zonder enige instructie op de social media activiteiten van het bedrijf storten.
Faciliteert vooruitgang
Ten slotte is er nog een belangrijk iets om te overwegen: moet je het veilig omgaan met zakelijke accounts voor social media, Dropbox of Google Drive aan de werknemers overlaten? Nee, ik denk dat dit weinig zin heeft. Buiten de IT-afdeling heeft lang niet iedereen de security-mindset die nodig is om de risico’s te overzien en proactief met beveiliging bezig te zijn. Wel kan iedereen op eenvoudige wijze hiervan bewust zijn. De IT-afdeling moet wat mij betreft een faciliterende rol krijgen bij het beveiligen van de relevante cloud-diensten. Zorg ervoor dat de werknemers via systeembeheer of het social media team accounts kunnen laten aanmaken voor hun activiteiten, die ze vervolgens op basis van een goed beleid mogen gebruiken. Maar geef de afdeling die is belast met het aanmaken van die accounts vervolgens ook de opdracht om zich te ontfermen over zaken als het accountbeheer, het wijzigen van wachtwoorden en het instellen van rechten. Dit is hun expertise en zij zouden daarom moeten ondersteunen op dit gebied. Door inzet van technologie kan de IT afdeling dit zelf verder vergemakkelijken en verantwoordelijkheid nemen of beleggen. Dit is de beste manier om de voordelen van social media niet in te perken met een rigide IT-beleid. Uiteindelijk grijpen al die werknemers niet voor niets naar allerlei cloud-diensten. Ze voegen meerwaarde toe voor de arbeidsproductiviteit en op het gebied van marketing en communicatie. Organisaties moeten dit erkennen en zich niet blindstaren op het controleren en beheersen, maar op het faciliteren van vooruitgang.
