关于社交网络,你不知道或不愿了解的东西可能会破坏你的生意
它们是生产力的消耗和带宽的累赘。它们是恶意软件的载体,也是商业间谍的礼物。数据泄漏就等着发生吧。不管你喜不喜欢,他们已经在你的企业里了。
认识一下社交网络。不,不是那部关于Mark Zuckerberg的电影——真正的社交网络,从Facebook、MySpace到Twitter和Flickr,你的同事和同事每天都在使用,不管他们是否正式允许。
[了解如何组装IT特别ops团队“IT精英团队:如何建立一支精锐突击队|想看有关科技行业恶作剧的幽默视频,请订阅Robert X. Cringely的地下通讯笔记.]
但企业内部的社交网络不仅是不可避免的,而且是必不可少的。如果使用得当,社交媒体可以帮助你的公司解决问题,提升公众形象,招募顶尖人才,并产生创意。如果执行不力,或者更糟糕的是,被忽视,就会造成一个痛苦的世界。
你可以上社交巴士,也可以被拖到后面,你自己选择。
驯服社交网络:有这样的朋友,谁还需要敌人?在工作中不受限制地使用社交网络会有什么问题呢?很多。即使你成功阻止了员工在《Farmville》中花一整天时间挤牛奶和收割庄稼,许多其他潜在的威胁也潜伏在表面之下。
以带宽为例。社交媒体正在消耗越来越多的网络资源。应用程序使用和风险报告.虽然在公司网络上发现的社交媒体应用程序的数量在过去一年中保持相对稳定,但这些应用程序消耗的带宽量增加了一倍多,预计将增加更多。
这家网络安全供应商的全球营销副总裁Rene Bonvanie说:“社交媒体流量非常大。”“通过社交媒体应用,我们看到带宽需求大幅上升。在许多情况下,它确实与这些组织的业务系统发生冲突,这可能会导致连续性问题。”
更糟糕的是,因为他们基于信任,社交网络已经成为扩散恶意软件的非常有效的传播,首席战略官员说FaceTime,Web 2.0安全工具的制造商 - 比如,更重要,例如电子邮件。
卡特说:“我们在电子邮件和传统网络世界中受过良好的训练。“我们不再点击看起来可疑的。exe附件或url——由于我们的垃圾邮件过滤器,我们甚至可能再也看不到它们了。但在社交网络的世界里,我们收到信息/通知的人是我们信任的人,我们更容易简单地点击链接,感染自己。”
根据熊猫安全的社交媒体风险指数PDF在美国,三分之一的中小企业遭受过通过社交媒体发起的恶意软件感染,Facebook是主要来源。由于过度信任社交网络用户,曾经被认为几乎绝迹的恶意软件威胁在商业环境中卷土重来。
然而,最大的威胁可能是意外的数据泄漏,其中很好的员工员工秘密项目的细节,他们正在努力,“检查”在两家公司之间的机密交易中的会议,或提及的邮寄状态更新公司内部问题。这不仅仅是在酒吧中丢失了原型iPhone的规模,但员工的社交媒体长手可以使您的组织从公共尴尬到法律负债。
“我无法告诉你有多少公司因为发现他们的员工使用泄露敏感数据的社交网络而来找我们,”轴技术,数据屏蔽产品的供应商。“一个收集信息的P2P网络或像Facebook这样的社交网络,几乎相当于挖了一条隧道,直接进入一家公司的数据中心。”雷竞技电脑网站
在Proofpoint第七次对外通信安全年度研究调查显示,五分之一的组织报告称在社交网络上丢失了机密或敏感信息——奥斯特曼承认这个数字可能低于实际数字。在过去12个月里,20%的受访公司曾因员工在社交网络上违反公司政策而对其进行纪律处分,7%的公司曾因员工在社交网络上的行为而解雇员工。
它变得更糟。如果你的员工在像Facebook这样的网站上发布专有信息,而Facebook的法律条款声称对其网络上共享的任何数据拥有所有权,你可能会失去对公司知识产权的控制。
“这一切都归结于服务条款,”卡特说。“不同的社交网络之间存在差异,这也带来了问题。在社交网络上拥有专有数据绝对会引起企业的担忧,尤其是当这些数据没有存储在其他地方的时候。企业应该关注他们的记录保留政策,而不是依靠Facebook、LinkedIn或Twitter来存储这些数据。”
驯服社交网络:阻止你的危险的社交媒体从它的角度来看,对社交媒体的理解响应是阻止它并忘记它。根据调查,大约30%至50%的组织调查说,他们禁止在工作中使用Facebook,Twitter,LinkedIn和其他流行的社交媒体网站。只需将facebook.com和Twitter.com添加到您的禁止URL列表中,然后返回手头的真实工作?
帕洛阿尔托网络公司的Bonvanie说错了。大多数公司都否认他们的员工有多少人使用社交网络,以及他们能做什么来阻止它。
Bonvanie说:“你问一些IT人员关于社交媒体的问题,他们会说,‘在我们的网络上没有人使用Facebook,’或者,‘他们不能使用它,因为我们使用IPS或URL过滤来屏蔽它。’”“在这两种情况下,那些IT人士都完全错了。我们看到了社交媒体在企业中的大规模渗透。”
多么巨大?Palo Alto Networks检测到在去年春季调查的347个企业网络中的92%上的Facebook上使用。在87%的公司网上检测到Twitter;LinkedIn和MySpace,83和82%。
Bonvanie说,当IT部门采取措施阻止用户访问Facebook和其他社交网站时,用户总会找到办法绕过这些障碍。
他表示:“使用公共代理,人们很容易绕过这些障碍。”“五分钟后,他们又回到了Facebook上,你就完全失去了控制。相信我,员工上Facebook是非常有动力的。”
即使你设法阻止了所有员工在工作时使用社交网络,你也无法阻止他们晚上回家时在twitter上谈论公司机密。社交媒体屏蔽者要注意了:Bonvanie补充道,如果员工在工作时间上不了社交网站,那么他们下班后更有可能在社交网站上攻击你的公司。
Bonvanie说:“如果你在工作时阻止他们登录Facebook,那么他们登录Facebook并谈论公司的动机要比你允许他们登录的动机高得多。”“如果你在工作时把他们惹毛了,他们回家后就会这么做。如果公司的文化是允许使用社交媒体,但要聪明使用,告诉人们如何做,什么不该说,那么他们在家里就不太可能这么做。”
部分解决方案由FaceTime的SocieIte或Palo Alto网络的下一代防火墙等工具提供,该控件提供了粒度控制,其中每个员工可以访问社交网络。例如,公司可能允许完全访问Facebook,但块使用Farmville或聊天等本机功能等第三方应用程序的使用。粒度控制可以使营销或客户服务部门中的员工使用Twitter来推广公司并解决用户问题,同时保持那些可以接入敏感信息的人离线。或者它可能允许一些员工简单地阅读但不是写 - 所以他们可以扫描LinkedIn配置文件以招募目的,但不会花费有价值的公司时间更新自己的简历。
其中一些控件也可以在公司之外扩展。例如,如果员工帖子他们不应该来自非网络家庭PC或互联网咖啡馆,例如,Sociality可以在下次用户通过公司网络登录其帐户时识别和存档新帖子,Notes Carter。
另一个潜在的解决方案是数据泄漏防护软件。Alexey Raevsky,CEO的Alexey Raevsky表示,大约70%的数据泄漏是一名员工意外或故意泄漏豆类的结果Zecurion.像Zecurion的DLP套件可以监控所有出境通信 - 电子邮件,聊天和社交媒体更新 - 并阻止任何被视为保密或专有的信息。但是使用DLP意味着在您的公司认为敏感和更新这些过滤器的信息上保持密切关注。
“社交媒体让你很容易说出不该说的话,”Bonvanie说。“这项技术需要做的不仅仅是简单的二进制块或允许。”
警告:未来愚蠢,请谨慎行事FaceTime的卡特指出,使用软件工具来对抗社交媒体弊病的问题在于,它们缺乏“愚蠢过滤器”。世界上最好的社交媒体安全或DLP套件也不能阻止员工在他们的留言板上发布一些愚蠢或令人尴尬的东西。
“最重要的是教育,”卡特说。“教育,再教育,再教育。在适当的地方设置技术指导解决方案,这样你可以定期提醒用户风险,也提醒他们公司关于访问与业务无关的网站的政策。”
每家公司都需要解决社交网络,并创建有关如何且无法使用的综合政策。然而,五个企业中有四个缺乏这样的政策,董事总经理董事董事,董事总经理署长Protiviti的,风险管理咨询。这可以导致道路上的主要法律和监管问题。
他说:“你可以试着忽略社交网络,但法律和声誉方面的危险仍然存在。”“如果员工使用商业资源——网络服务器、台式机或笔记本电脑——访问一个社交媒体网站,或将其中的任何部分用于商业目的,需要查看其中共享的数据,就像查看公司电子邮件系统共享的信息一样。这让大多数首席信息官大开眼界。”
制定社会政策并不一定是一场磨难。等网站社交媒体管理或今天的社会媒体旨在帮助组织为社交媒体创建工作场所政策。但是制定社会道路规则的最佳来源可能是坐在公司的自助餐厅里。
当IBM需要为其40万全球员工制定互联网指南时,它求助于最合理的来源:员工本身。IBM在2005年发布了关于博客的第一套指导方针,它是通过员工驱动的wiki创建的。自那时以来,这些规则已经被彻底修改了两次,以反映技术的变化,包括2010年版本与社交网络明确处理.
指南中充满了常识性的建议;例如,他们建议不要匿名发帖,尽量不要挑起争端,总是以第一人称写作,在发布有关公司事务的帖子时表明自己是一名员工,并明确表示你发布的评论是你自己的个人观点,而不是IBM的观点。
你不会发现什么:沉重的警告或有关社会媒体不当行为所讨论的惩罚的细节。
IBM创新与协作项目负责人约翰•鲁尼表示:“信任的概念是我们关于社交计算和正确业务行为的指南中至关重要的一项内容。”“在我们的文化中,我们希望我们的员工明白,他们是值得信赖的,他们的行为是专业的,他们代表了IBM的最大利益。如果出现潜在冲突,我们有办法处理。但我们很少在这方面采取行动。”
Protiviti董事总经理兼风险技术服务全球主管斯科特•格雷西亚尔尼(Scott Gracyalny)表示,制定员工切实遵守的政策的关键,是在正式规则和温和鼓励之间取得正确的平衡。
“一般来说,政策应该是全面的,但不是那么严格,因为它导致员工试图规避你的安全控制,”他说。“它应该以积极的基调写,这是一种赋予赋权的感觉,而不是”不要这样做“或”你不能这样做“。”