Sociale netwerken herschrijven de regels van IT-beveiliging en hebben daardoor een grote invloed in de taken van mensen die werkzaam zijn in de beveiliging van bedrijven, zegt managing secutrity consultant bij Forsythe Jeff Sizemore.

"Sociale netwerken zijn op het moment nogal een uitdaging voor de industrie", zegt Sizemore. "Het is lastig om proactief te handelen op beveiligingsgebied in het geval van sociale netwerken. Als het gaat om datadiefstal en -verlies is het veel makkelijker om proactief te handelen bij e-mail bijvoorbeeld."

Sociale netwerken zijn echter "erg goed verpakt", stelt Sizemore. "Dat is erg verraderlijk, omdat je de gebruiker moet toelaten om de website te gebruiken, maar tegelijkertijd moet je hem kunnen verbieden om naar specifieke gedeeltes van die website te gaan", zegt hij.

Ontoereikend

Deze websites bevatten kwetsbaarheden die niet goed opgespoord kunnen worden door veel beveiligingstechnologieën van vandaag. Veel bedrijfstechnologieën, van webfiltering tot traditionele firewalls tot netwerkbeveiligingsapparaten, zijn ontoereikend om met deze uitdagingen om te gaan, aldus Sizemore.

"Je moet iets op de computer hebben dat slim genoeg is om te zien dat er een applicatie in de website zit, en veel firewalls kunnen dat niet en veel van de beveiligingsoplossingen op de pc's van de gebruikers kunnen dat ook simpelweg niet", zegt hij.

Het eerste wat IT moet doen is werknemers voorlichten, vindt Sizemore. "Je moet beginnen met het voorlichten van de werknemers over hoe ze IT actief kunnen gebruiken terwijl ze toch de privacy en betrouwbaarheid in het oog houden. Dat wil zeggen dat ze voorbij het specifieke programma of applicatie moeten kunnen kijken", zegt hij.

Vertrouwelijke data

Werknemers moeten begrijpen wat vertrouwelijke data is. Dus als ze op de sociale netwerksites zitten, moeten ze zich realiseren wat de gevolgen zijn van hun acties, zegt Sizemore. "Veel van de tools die we hebben kunnen nog niet goed omgaan met sociale netwerken. Maar als we dan die ene sociale netwerksite eindelijk goed kunnen beveiligen, komt er alweer een volgende om de hoek gluren... Op een gegeven moment moet je bij jezelf te rade gaan en toch de gebruikers zelf gaan trainen", zegt hij.

"Het risico met sociale netwerken is grotendeels dat er informatie kan worden gelekt", zegt Jamen Quin, een lead analyst bij Info-Tech in London.

Push-probleem

Ondertussen weet men maar al te goed dat data door mensen kan worden gestolen uit een organisatie, vaak door illegaal in te breken in het netwerk. Maar in het geval van sociale netwerken is het een push-probleem, aangezien de data vrijwillig wordt verspreid. En omdat content door de gebruiker onmiddellijk gepost wordt, wordt het niet altijd gecontroleerd door de organisatie, zegt hij.

"Ze hebben er de tijd niet voor om alle content die door werknemers op de sites wordt gezet handmatig te controleren, dus het risico dat werknemers per ongeluk of expres informatie delen die ze niet zouden mogen delen is aanwezig", stelt hij.

De eerste technologische oplossing was om de sociale netwerksites simpelweg te weren, bijvoorbeeld door tools te gebruiken die de sites blokkeerden. Veel organisaties doen dat nog steeds, aldus Quin. Maar een toenemend aantal organisaties gebruiken sociale netwerken juist voor zakelijke doeleinden, en om dat te kunnen doen moeten ze hun netwerk dus als het ware 'openzetten'", zegt hij.

Technische maatregelen

Bedrijven nemen steeds meer technische maatregelen om zichzelf te beschermen tegen de bedreigingen van sociale netwerken, vertelt Quin. Dat houdt dus ook in dat er technische controle moet plaatsvinden op wat werknemers op de sociale netwerken publiceren, zegt hij.

Er zijn een aantal stappen die IT moet nemen wanneer het een policy ontwikkelt voor sociale netwerksites, zegt Quin. Eerst moet je bepalen of je sociale netwerksites echt nodig hebt in je zakelijke model. "Probeer erachter te komen of het echt noodzakelijk is. Als het dat niet is, is blokkeren toch echt de beste optie. Het risico is namelijk significant" stelt hij.

Als je tot de conclusie komt dat je het nodig hebt, moet je uitvogelen wie het precies nodig heeft. "Als het mogelijk is, beperk het gebruik van sociale netwerksites dan tot die personen", zegt Quin. De derde stap is het implementeren van technische controle, zoals datalekpreventie. Dat zal de informatiestroom in de gaten houden om zeker te stellen dat ongepaste informatie niet uitlekt, zegt hij.

Twee dreigingen

Sociale netwerken vormen twee algemene dreigingen voor grote organisaties. Phishing-aanvallen en het naar buiten brengen van intellectuele eigendommen, zegt Andrew Storms, hoofd van beveiligingsoperaties bij nCircle.

De meeste werknemers die in de technologische sector werken mengen hun werk- en privéleven tegenwoordig. Dat betekent dat ze waarschijnlijk op het werk wat tijd besteden aan sociale netwerken en dat ze thuis tijd besteden aan werk. Dit mengen van werk- en privéleven maakt het moeilijker voor werknemers om goed na te denken over het gebruik van sociale netwerksites op het werk, zegt hij.

"Je kunt deze vermenging maar het beste accepteren en de problemen een stapje voor zijn", zegt Storms. Om een stapje voor te zijn, moet IT "het feit begrijpen en erkennen dat dit soort dingen gebeuren en dat iedereen eraan meedoet", en vervolgens moet worden besloten om het openlijk in de organisatie bespreekbaar te maken, zegt hij.

Jaarlijkse trainingen

Dat kun je bijvoorbeeld doen door het omgaan met sociale media toe te voegen aan jaarlijkse trainingen beveiligingsbewustzijn, stelt Storms voor. "Zeg duidelijk dat je erkent dat mensen persoonlijke sociale netwerksites gebruiken op de computers van het bedrijf. Laat ons je helpen om te begrijpen wat het betekent om het op een veilige en verstandige manier te gebruiken", zegt hij.

"Als je wilt dat je beleid nageleefd wordt, moet je uit je kantoor komen en met de mensen praten. Want laten we wel wezen: je kunt niet alles blokkeren", aldus Storms.