Op de Gartner Summit Security & Risk Management, dat 18 en19 september in London plaats vond, was het onmogelijk niet over de risico’s van social media te praten. Het aantal gebruikers van Facebook, Twitter en LinkedIn neemt nog steeds flink toe en social media zijn niet meer uit onze samenleving weg te denken. Het is al bijna gewoon geworden dat er tijdens een gezellig etentje met vrienden wordt getwitterd of tijdens werk even een WhatsApp-je naar vrienden wordt gestuurd. Je kunt bijna stellen dat het voor sommigen een lijdensweg is om de smartphone niet te kunnen of mogen vasthouden. Een aardige reactie hierop is het spelletje ‘stacking’. Stapel de smartphones op elkaar en leg ze op de tafel als je met vrienden naar de kroeg gaat, degene die het niet meer kan houden als de telefoon gaat, die is af. De verliezer moet dan de rekening betalen.
Je kunt er over discussiëren of het goed is om de smartphone zo te integreren in je dagelijks leven. Een ding is in ieder geval zeker; het biedt enorme kansen voor veel organisaties, met name in retail. De commerciële mogelijkheden voor context-gerelateerde advertenties zijn talloos dankzij de smartphone. Op basis van data verkregen uit social media (interest groups, nieuwsbrieven, aankopen, connecties, etc) worden generieke campagnes vervangen door ‘persoonlijke aanbiedingen’. Dat klinkt allemaal leuk en lijkt op een win-win voor de ondernemer en consument. Maar welk risico lopen we hier eigenlijk mee?
Gaat de productie per medewerker omlaag door het bijwerken van Facebook tijdens werktijd? En wat als medewerkers blogs posten die het imago van het bedrijf kunnen schaden? Moet de werkgever het tolereren als medewerkers privé extreme berichten op het internet zetten? Gartner’s analyst Andrew Walls heeft hier een duidelijke mening over. Volgens hem zijn er nog veel ondernemingen die denken dat als ze social media op het werk blokkeren, ze géén social media-risico lopen. Daar is Andrew het niet mee eens. Sterker nog, hij beschouwt dit als een veel voorkomende valkuil. Hij is van mening dat organisaties zich nu echt moeten gaan opmaken voor het bestrijden van risico’s van social media.
Op basis van onderzoek is er een Top 6 security & risk management-doelstellingen samengesteld ten aanzien van social media. Wat beschouwen bedrijven als de belangrijkste uitdagingen van risicomanagement voor social media?
- Ontdek en bepaal de risico’s van social media;
- Aantoonbaar voldoen aan de gestelde wet- en regelgeving in social media;
- Ongepaste content gepost in social media door medewerkers;
- Negatieve impact op de reputatie/imago van de organisatie;
- Incomplete vastlegging van communicatie binnen het bedrijf (waardoor scheef beeld werkelijkheid);
- Negatieve impact op productiviteit van medewerkers*
*eigenlijk geen security risico, maar een management issue.
Andrew is van mening dat deze zes uitdagingen rondom risicomanagement van social media organisaties nog wel een aantal jaar bezig zal houden. De eerste doelstelling (#1 Ontdek en bepaal de risico’s van social media) is een belangrijk startpunt om te bepalen en te plannen hoe de risico’s gereduceerd moeten worden. Gartner adviseert de volgende vier stappen om de risico’s op te sporen en te reduceren: Monitoren – Analyseren–Evalueren – Mitigeren.
Volgens Gartner is de eerste stap het monitoren van digitale communicatie zoals intern emailverkeer of welke medewerkers schrijven in externe media. Bepaal vervolgens hoeveel data je wilt verzamelen (zet duidelijke grenzen) en leg de via social media verzamelde data vast. Analyseer deze data vervolgens. Bijvoorbeeld, welke sites zijn het meest populair bij onze medewerkers en wat is de strekking van de site? Wat en wanneer is de piek in het gebruik? Wat zijn de standaard productiviteitsratio’s, enzovoort. Evalueer daarna of de productiviteit afwijkt van de standaard en zo ja, onderzoek wat de impact daarvan is voor de onderneming. Tot slot, mitigeer de risico’s. Stel bijvoorbeeld duidelijke richtlijnen en doelstellingen op ten aanzien van social media. Maatregelen kunnen zijn: het blokkeren van sites, het filteren van toegang en gebruik. Hou er wel rekening mee dat het blokkeren van sites kan leiden tot gedemotiveerde medewerkers, die inventief genoeg zijn om een workaround te vinden (zoals eigen wifi op het werk) en waarschijnlijk hun ongenoegen ook zullen melden in de social media. Effectiever is het om medewerkers te trainen in wat wel en niet is toegestaan en de beredenering erachter. Beïnvloeding helpt waarschijnlijk meer.
Het detecteren van risico’s in social media vereist dus wel een andere aanpak dan wat veel bedrijven tot nu toe gewend waren in andere risicogebieden. Maar ja, ontkennen heeft geen zin. Sterker nog, door dit adequaat aan te pakken, kun je concurrentievoordeel behalen en imagoschade beperken. Nieuwe trends vereisen flexibiliteit en samenwerking tussen de verschillende afdelingen zoals risk, legal, sales & marketing en IT. Ook al is het niet altijd even gemakkelijk, ook hier is weer een geïntegreerde aanpak nodig en moet het silo-denken worden doorbroken. Succes ermee!