De (on)mogelijkheden van social networks (1)

In drie delen ga ik in op de (on)mogelijkheden van de social networks zoals die er nu voor staan, ik bekijk de zaak vanuit bedrijfsmatig oogpunt. Het eerste deel gaat in op de potentiele veiligheidsrisico’s, het tweede deel zal in gaan op de gevolgen voor de productiviteit en tot slot zal ik in het derde deel ingaan op de bedrijfsmatige mogelijkheden en valkuilen.

Vandaag lezen we op het internet dat Duitse bedrijven social networks afsluiten voor hun medewerkers. Niet op de laatste plaats door de veiligheidsrisco’s die daar bij komen kijken, maar ook door de tijd die verloren gaat omdat hun medewerkers niet aan het werk zijn, maar met hun facebook profiel aan het spelen zijn. Dit is een van de punten waar wij het onze vorige kennissessie bij 2e2 over gehad hebben, moet je het gebruik van social networks op de werkvloer nou toestaan of tegen gaan en wat zouden dan de potentiele gevolgen zijn van een beslissing op dit gebied?

Laat ik even beginnen te melden dat het onderstaande mijn visie is op dit onderwerp en dat dat dus niet per definitie het juiste standpunt hoef te zijn.

Er valt voor beide standpunten wat te zeggen en eigenlijk is zowel het blokkeren als het vrijgeven van de social networking websites zoals facebook even goed te verdedigen. Maar het is dus nou net die situatie die het voor een bedrijf zo moeilijk maakt om daar een keuze in te maken, wel is het zo dat je als bedrijf op het moment dat je dit soort websites vrij geeft zo goed als niet meer terug kan. Reden genoeg dus om niet over een nacht ijs te gaan bij het maken van een keuze op dit gebied.

lees verder

Beveilingsriscio
Een van de redenen die aangehaald wordt om je personeel niet op social networks te laten is het beperken van het risico dat er gevoelige bedrijfsdata gelekt wordt. Alleen ben je er dan nog niet door alleen websites als Facebook en Hyves te blokkeren, de mogelijkheden om online bestanden uit te wisselen zijn ontelbaar, en het selectief proberen te blokeren van deze manier van het lekken van data is eigenlijk geen doen meer. Zoals Steph Janssen in zijn presentatie al aangaf moet er meer gedacht worden aan content aware filters die de bedrijfsdocumentatie inventariseren en het uitgaande verkeer scannen op inhoud om te bepalen of een document het bedrijf verlaat. En natuurlijk moet je dan niet vergeten om iemand bij de deur van je bedrijf te zetten om te controleren of je medewerker niet toevallig een USB stick in zijn/haar broekzak heeft zitten waar het document op staat.

Je kunt je afvragen hoe ver je hier in moet gaan, als het bedrijf in kwestie een bank of onderzoek doet naar biologische wapens heb je natuurlijk een heel andere insteek dan wanneer je te maken hebt met een groothandel in printpapier. Maar zelfs in dat laatste geval zijn er meer risico’s dan je aanvankelijk zou denken.. Als de CEO van een beursgenoteerde papierfabrikant vlak voor de jaarcijfers op Facebook helemaal in de put zit en loopt te zuchten en steunen zal het niet als een grote verrassing meer komen dat de jaarcijfers niet al te best zullen zijn. Of misschien nog erger, door de posts van deze CEO op Facebook zakt de beurskoers in, vooruitlopend op de verwachte slechte resultaten mensen raken hierdoor gedupeerd, maar bij de daadwerkelijke presentatie blijkt er niets aan de hand te zijn, alleen heeft die CEO kennelijk persoonlijke problemen. Nou is dat natuurlijk deels slecht onderzoek van de beleggers, maar de posts van de CEO hebben in ieder geval zeker niet geholpen bij de goede beeldvorming.

Alhoewel we met het bovenstaande voorbeeld meer op het terrein van potentiele imagoschade komen (absoluut niet te onderschatten overigens) geeft het wel een potentieel veiligheidsriscio. Doordat de CEO kennelijk problemen heeft kan deze persoon gevoelig zijn voor chantage / omkoping of wat dan ook in die richting, de aard van deze problemen zijn namelijk met wat viswerk vaak helemaal niet lastig te achterhalen en dus ook uit te buiten. Waar in het verleden het prive leven en het werk leven van een persoon vrij eenvoudig gescheiden konden blijven wordt dat met de opkomst van social networks niet eenvoudiger, je zou je af kunnen vragen of mensen die op hoge posities in bedrijven sowieso wel gebruik zouden moeten maken van deze open netwerken. Overigens is er natuurlijk wel een groot verschil tussen een Linkedin en Hyves of Facebook.

Een ander scenario: Marietje heeft een nieuwe baan gekregen en schrijft op Twitter dat ze tegenwoordig bij Bedrijf X werkt. Na een aantal dagen zet ze trots een foto van haar nieuwe werkplek op haar Facebook profiel. Wanneer het dan twee weken later zwaar winter weer wordt, de wegen dicht zitten en de treinen niet meer rijden post ze dat ze die dag thuis werkt. Al deze zaken los zijn op zichzelf geen grote risico’s, maar denk dan ook eens aan het volgende:

Op de foto van haar werkplek blijkt een sticker met het servicedesknummer te zitten, we hebben de naam van het bedrijf al, en weten dat ze vanaf thuis kan werken, wat weerhoud iemand er dan nog van om met haar naam dat servicedesknummer te bellen, te vertellen dat je je wachtwoord vergeten bent en een reset aan te vragen. Met wat gokwerk is vaak ook het externe adres voor het remote thuiswerken te raden en als het bedrijf in kwestie geen oplossing met SMS codes of tokens gebruikt ben je op dit moment succesvol als buitenstaander binnen gekomen.

Natuurlijk bevat het bovenstaande een aardig aantal mitsen en maaren, alleen neemt dat niet weg dat het geen ondenkbaar scenario is. Bij veel grote bedrijven zal dit niet werken omdat aan dit soort zaken gedacht is, bij hele kleine bedrijven kent iedereen elkaar en zal het ook niet kunnen, maar de bedrijven die klein begonnen zijn en een groeispurt hebben doorgemaakt zijn vaak vatbaar voor dit soort aanvallen. En dan heb je dus alleen maar de vrij op social networks beschikbare informatie gebruikt.

Het gevaar van de sociale netwerken zit hem dus niet zo zeer in het direct lekken van bedrijfsgevens, maar in de algemene gegevens die mensen onbewust lekken. Het is ook zo goed als onmogelijk om je als bedrijf te wapenen tegen het lekken van die gegevens, wel is het uiteraard goed mogelijk om de eenvoud van het misbruiken van die gegevens tot een minimum te beperken. In het voorbeeld dat ik eerder aangehaald heb is het invoeren van een extra authenticatie laag zoals een sms code of een token voldoende. Het grote voordeel van bijvoorbeeld tokens is dat mensen fysiek toegang moeten hebben tot de persoon in kwestie om het token te ontvreemden, dit maakt de drempel al vele malen hoger. Wanneer je dit dan combineerd met een goed gertrainde servicedesk en procedures voor het resetten van passwords heb je dat alvast afgedicht.

Even los van het echt lekken van bedrijfsgevens is het een goede zaak om als bedrijf een gedragscode op te stellen voor je personeel dat ook voorziet in hoe om te gaan met gegevens over je werk(gever) op sociale netwerken en je online profielen. Het echt lekken van gegevens is iets dat in de arbeidscontracten afgedekt zal moeten worden. Verder komt het er eigenlijk op neer dat je een goede dosis gezond verstand nodig hebt om hier mee om te kunnen gaan, probeer je in te leven in de mogelijke scenario’s. Ik heb hier boven een mogelijk scenario uitgeschreven, maar zoals uit de daarop volgende alinea al blijkt zijn er veel variabelen die er voor zorgen dat ieder bedrijf anders is en dus ook op andere wijze kwetsbaar is voor deze problematiek.

In mijn ogen is het gebruik van social networks op het werk dan ook geen direct veiligheidsrisico, maar dient er wel zeker over na gedacht te worden hoe je er als bedrijf mee om wil gaan, er zijn zeker situaties denkbaar waarbij je als bedrijf er voor kiest om je medewerkers ver van dit soort platformen weg wil houden. Daar staat dan wel ook tegenover dat het als bedrijf voordelen kan hebben om je personeel wel los te laten op het wereldwijde net en de diverse social networks. Maar daarover meer in de volgende twee delen.

13 comments

  1. Ik ben zelf een groot voorstander van Social Networks, maar bedrijfsmatig kan het inderdaad heel lastig liggen. Hoe ga je om als bedrijf met het (overmatig?) gebruik van Social Networks binnen je bedrijf. Ik denk dat er genoeg oplossingen zijn op dit gebied.

    1) Stel een gedragscode op binnen je bedrijf en geef ook (verplichte) informatie sessies over het gebruik van de sociale netwerken binnen het bedrijf. Een goede sfeer binnen het bedrijf kan zich goed vertalen naar mooie leads voor dat bedrijf door medewerkers die happy zijn in hun uiting over het bedrijf.

    2) Bij overmatig gebruik zou ik iets als http://www.webspy.com/ gaan inzetten. Puur om de mensen zelf te laten zien hoe lang ze zelf op de sociale netwerken zitten en hoeveel het hun eigen werk impact geeft, en van daaruit hun eigen beslissing te laten nemen. Inzicht in gebruik kan mensen er juist op laten letten dat ze niet te veel bezig zijn met hun sociale netwerk op het werk.

    1. Beide punten die je aandraagt komen in zekere mate terug in de volgende twee stukken, vooral in het stuk over productiviteit ๐Ÿ™‚

  2. Ik ben van mening dat inderdaad goede voorlichting het belangrijkste is. Eventueel zelfs een “examentje” waarna je pas toegang krijgt tot dergelijke middelen. Er zijn bedrijven die medewerkers pas na het succesvol afronden van een e-learning toegang geven tot bepaalde modules of middelen. Waarom hier niet?

    De beveiliging moeten we aan blijven werken en over nadenken. Maar helemaal dicht krijg je hem niet is mijn vrees altijd. Een opgeleidde medewerker met goede afspraken in zijn arbeidscontract is mij dan ook veel meer waard dan het gevecht tegen de slecht opgeleidde medewerker die de gevolgen van zijn acties simpelweg niet overziet. Dit laatste blijft namelijk de verantwoordelijkheid mijn inziens onterecht bij de IT organisatie leggen. Dat je mensen beschermt is prima, maar mensen tegen zichzelf beschermen terwijl ze dat niet willen is historisch gezien een onmogelijke opgaaf!

    Blijf pragmatisch en reรซel, maak dingen bespreekbaar en let op elkaar. Maak duidelijke afspraken en bescherm je gegevens goed. Niet alleen met IT, maar met gedrag en afspraak. Een goede mix zorgt dat kosten en inspanning in balans blijven.

    1. Het is inderdaad vooral ook een stukje bewustwording, maar dat bedoelde ik ook al aan te geven door er op te wijzen dat het grootste risico eigenlijk komt door het onbewust lekken van op zichzelfstaand ongevaarlijke informatie.

      Je kan ook geen eenduidige goede oplossing geven, iedere situatie vraagt een andere aanpak op dit gebied, waarbij het dan wel weer zo is dat overal het gebruik van gezond verstand erg belangrijk is. En bepaalde zaken horen in een arbeidscontract te worden opgenomen of in een vorm van gedragscode.

      1. Ik vond ook dat je dat heel helder verwoorde hoor, vond het leuk om concreter in te gaan op je mening, aangezien ik die zeker deel.

        Het onbewuste stuk trok je duidelijk naar voren en het ene bedrijf is het andere niet (waar je al uiterst heldere contrasten in schetste!)

        1. Als ik mijn drie stukken af zullen we er gezamelijk eens voor gaan zitten om er een slot aan te schrijven ๐Ÿ™‚ We zitten inderdaad op een lijn over de inhoud en hebben er beiden veel mee te maken, dus denk dat het leuk is om er een gezamelijk slot aan te schrijven ๐Ÿ™‚

  3. De discussie of je social networks tijdens werktijd mag gebruiken is in mijn ogen vergelijkbaar met het aannemen van prive telefoontjes. Er zal waarschijnlijk niemand zijn die klaagt als jij op dinsdagmiddag de verzekeringsagent belt om te regelen dat ze naar je auto komen kijken die in de prak is gereden, maar als jij iedere dag een uur met je moeder gaat zitten bellen op kantoor dan wordt het ineens iets heel anders. Ik zie het voor sociale netwerken ook zo: als je een bericht leest of ergens op reageert is daar op zich niets mis mee, maar als het een structureel onderdeel van je dag wordt waar je veel tijd aan besteedt, dan wordt het een ander verhaal. Awareness bij mensen creeeren door ze zelf te wijzen op de hoeveelheid tijd die ze besteden aan sociale media (zonder er direct consequenties aan te verbinden) is misschien een mooie tussenweg.

    Wat betreft het gebruik van tokens en dergelijke.. Iemand die รฉcht bedrijfsgeheimen wil jatten, die heeft die token fysiek niet eens nodig. Ook tokens zijn te omzeilen met een goede portie social engineering:

    – Hallo Marietje, je spreekt met Mark van de IT Servicedesk. Ik zag dat je vandaag thuis werkt, klopt het dat de e-mail vandaag langzamer is dan gebruikelijk?

    Marietje: Uh, ik heb er nog weinig van gemerkt vandaag, maar had vorige week wel een foutmelding in mijn beeld.

    – Oh, ik weet het al, dan is je token niet meer gesynchroniseerd met de hoofdserver. Kun je mij als de balkjes links helemaal vol zijn een nummer geven, dan zal ik de synchronisatie opnieuw instellen voor je.

    Maretje: 387383

    – Bedankt, ik ga er aan werken!

    … binnen…

    Zelfs met awareness zijn dit soort situaties bijna niet te trainen. Een groot deel van de medewerkers zal gewoon een password of tokennummer geven als er telefonisch door de ‘helpdesk’ om gevraagd wordt..

    1. Yep, het stuk social enginering vind ik zelf erg fascinerend en dat is ook extreem lastig om daar als bedrijf mee om te gaan. Natuurlijk zijn er talloze manieren om dat uit te sluiten, maar dan kom je wel op een punt waarbij je je moet afvragen of de werkbaarheid van het systeem niet in het gedrang komt. Want vergeet niet dat er een omslagpunt is waarbij de mensen op zoek gaan naar wegen buiten het systeem om om hun zin te krijgen (als het te lastig is om de officiele weg te volgen).

      Zoals je al aangeeft zijn er sitauties waar je je gebruikers gewoon niet op getraint krijgt. Helaas komt het veel te vaak voor dat helpdesken / servicedesken nog om het wachtwoord van een gebruiker vragen waardoor je het er ook echt niet in zal krijgen dat een gebruiker zijn / haar wachtwoord niet af wil geven.

      Wat dat betreft kunnen we ons sowieso afvragen of wachtwoorden wel een houdbaar iets zijn.. Je ziet dat in een groot deel van de scenario’s die je kan bedenken dat het wachtwoord een kritiek punt is, nou ben ik zelf niet direct voorstander van het gebruik van biometrische oplossingen.. Waar ik wel potentieel in zie is het gebruik van patronen en plaatjes. Ik zelf onthoud mijn pincodes niet zo zeer door de cijfers te onthouden, maar het is een pattroon van knoppen op het keypad (WAAROM zijn die dingen in verschillende landen anders ;)).

      Maar ja, we kunnen hier hele boeken over volschrijven als we willen, maar het eerste dat moet gebeuren is een stukje awareness zoals je zelf al aanhaalt, dan zijn we al een heel eind ๐Ÿ™‚

      1. Ik moet wel zeggen dat je blog aanmoedigt tot schrijven. Binnenkort ook maar weer eens in mn pen/toetsenbord klimmen ๐Ÿ˜›

  4. Ik ben in ieder geval blij om te lezen dat het onderwerp wel leeft gezien het aantal reacties ๐Ÿ™‚

  5. Zouden werknemers niet gewoon overstappen op hun mobieltjes zodra de werkgever social networking sites blokkeert? Zolang je het niet blokkeert kun je tenminste nog content filteren ๐Ÿ™‚ Leuk artikel trouwens!

    1. Over het gebruik van mobiele telefoons zijn vaak al goede afspraken gemaakt waardoor dat in de praktijk eigenlijk wel mee valt ๐Ÿ™‚

Comments are closed.