接受社交媒体

企业不能简单地把上社交网站视为员工的个人消遣行为,而完全在工作环境中禁止社交网站。

由于很有诱惑力,因此有些企业可能会禁止其员工访问社交网站和社交媒体网站,但这绝非长久之计。如今,很多行业企业的IT部门都会遭遇到来自员工的压力,要求放宽限制,能够让他们访问像Facebook、LinkedIn和YouTube等网站。

这种压力来自多个方面。销售和营销团队希望通过社交媒体吸引客户,并向客户销售产品。企业内部员工希望有更多的自由能够在工作场所访问个人的社交网络账户。人力资源部门也希望能够招聘、雇佣和留住精通社交媒体的员工,但是他们都因为企业过于严格的限制使用策略而感到不满。

“有很多企业,无论大小,都在避免使用非常严厉的禁止社交媒体的做法,而改用一种更为宽松的访问模式,”Forrester的副总裁兼首席分析师Chenxi Wang说。

这里的挑战就在于,要找出既能让企业利用社交媒体发挥自身优势,又能保证员工的生产效率,确保网络安全的平衡之道。

专家们建议从制定一个好的计划开始。虽然很多企业已经采用了可接受的使用策略,恰当地解决了e-mail和互联网的使用问题,但却很少有企业制定过既能在工作期间使用社交媒体,又能保障企业网络正常运转的相关流程。

“组织需要做的第一件事就是要扩展现有的可接受的使用策略,以便覆盖所有类型的互联网沟通方式,”M86安全公司的技术战略副总裁Bradley Anstis说。

可接受的使用策略能够解决诸如允许访问的级别等问题。举例来说,并非所有员工都需要在YouTube上发布视频,或者下载Facebook的应用。对于某些群组的员工来说,只读访问就足够了。要教育员工知悉和社交媒体相关的安全风险,并提供相关的内容共享指南,都是可接受使用策略的关键内容。

2010年初,FaceTime通信公司曾经调查过1654位IT经理和终端用户,结果出现了很大的分歧。在这份调查中,62%的IT专业人士估计在他们的网络上存在着社交网络应用,而来自已部署了FaceTime设备的实际数据显示,社交网络应用在所调查的样本中为100%。所发现的文件共享工具也有74%,而只有32%的IT专业人士估计有人在用这类工具。发现Web聊天工具也有95%,但却只有31%的IT专业人士估计有人在用。

未来,IT的挑战就在于要解决因此带来的安全风险,例如通过员工的社交媒体活动而带进来的恶意软件,或者由于员工疏忽大意导致的商业敏感信息的泄露等。

除了纯粹的Web威胁外(恶意软件、僵尸网络、网络钓鱼、有目标攻击),还有治理结构、风险和法规遵从(总称GRC)等问题需要考虑,Check Point的产品营销经理John Vecchi说。“Web 2.0给IT部门的GRC努力带来了新的挑战,尤其是在数据保护方面。Web 2.0让企业信息有了更多的泄密渠道。”

为了监管社交媒体活动,IT部门必须能够在应用层有强制用户或特定群组的策略(比较典型的做法是与企业目录集成)。能够探测并禁止基于脚本的恶意软件也是重要的,因为这样做不仅可以分析下载的内容,而且还能发布内容,确保不会有人违背数据保护策略。

以美国的杜瓦尔县学区为例,该学区就定义了好几个互联网访问级别作为其可接受使用策略的组成部分。各校的校长和管理资源的官员拥有最全面的访问权,包括对社交网站的访问权,该学区的信息安全经理Jim Cullbert说。

而访问控制在该学区的其他群组中间则更为严格。例如学区的职员可允许使用园区网之外的e-mail应用,但是教师不允许,因为该学区希望所有教师与学生及学生家长间的通信只能通过内部的邮件系统来进行。学区的内容过滤策略与其Active Directory的部署紧密相连,并通过M86安全公司的Web过滤和报表技术强制执行。

虽然采取防范社交媒体安全的额措施是重要的,但是IT部门还是需要留意员工对于像Facebook、Twitter和LinkedIn等网站的使用,可能也会像企业基础设施中的其他方面一样是无法完全控制或者无法锁定的。因为员工的行为准则和价值判断是不可能自动千篇一律的。

因此Forrester的Wang建议,“对于员工们在网上做些什么一定要有开放的心态。我会让员工意识到风险的存在,并为他们提供工具自己去评估和社交媒体相关的风险,但是我也会让他们自己作出决断。”


共6页: 上一页123456下一页

相关内容