Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Можно ли безопасно «адаптировать» личности в социальных сетях к бизнес-процессам?

Можно ли безопасно «адаптировать» личности в социальных сетях к бизнес-процессам?

Единая авторизация – это чрезвычайно удобно в первую очередь для пользователя различных услуг. Но применение социальных сетей для этой цели, безусловно, определенный риск для безопасности бизнеса, оказывающего услугу. Конфиденциальные данные ее сотрудников и клиентов оказываются в руках третьей стороны, что может поставить бизнес в зависимость от социальной сети, повлечь нежелательные утечки и т.п. Можно ли найти баланс рисков и преимуществ?

В последнее время активнее, чем когда-либо развиваются различные протоколы идентификации и управления доступом через сторонние ресурсы. По-моему подобную авторизацию предлагают уже все популярные на российском рынке социальные сети. И развиваются они, в первую очередь, с оглядкой на бизнес, который будет использовать их в качестве «независимого центра авторизации».

Чем же они могут быть полезны бизнесу? Чаще всего бизнес-операции привязываются к идентичностям из социальных сетей в рамках общения с клиентами в сегменте B2C. Согласитесь, удобно пригласить клиента на сайт и предложить ему использовать для входа не заново заполняемую анкету, а его профиль в социальной сети. Но компании осторожно относятся к подобному нововведению, т.к., фактически, они вынуждены будут смириться с тем, что данные их клиентов (в том числе, их количестве и качестве) хранятся у третьей стороны. Безопасно ли это? Не поставит ли компанию в зависимость от ежеминутных веяний в социальной сети, которой было отдано предпочтение? Не будут ли таким образом раскрыты «излишние» конфиденциальные данные?

Конечно, каждая компания отвечает на эти вопросы по-своему, применительно к собственной бизнес-ситуации. Но, мне кажется, поскольку социальная сеть не является частью корпоративной сети, в любом случае невозможно контролировать, что именно пользователи (клиенты или сотрудники) раскрывают на ее страницах. Поэтому в существующих условиях полнейшее игнорирование проблемы социальных сетей может иметь даже менее приятные последствия, чем разрешение любых действий.

Возможно, бизнесу не стоит «бояться» интеграции с социальными сетями. Напротив, вместо того, чтобы ограждать себя от зла, исходящего от социальных сетей, полным запретом, эффективнее будет заняться образовательным процессом и выработкой мер «противодействия»?

И первым пунктом в плане адаптации компании к угрозе от социальных сетей должна стать жесткая корпоративная политика в отношении подобных ресурсов, которая должна ответить на ряд вопросов:

  • Есть ли сотрудники, использующие социальные сети для работы?
  • Существуют ли идентичности из социальных сетей, используемые в бизнес-процессах?
  • Могут ли остальные сотрудники получать доступ к своим профилям на работе?
  • Какие данные сотрудники не имеют права размещать в социальных сетях (например, отзывы о работе, информация о своих функциях, инженерные данные и т.п.)?

В рамках этой политики все, что не разрешено, должно быть запрещено и отфильтровано. Кроме того, необходимо объяснить работникам и аудитории, с которой приходится контактировать, какие риски связаны с социальными сетями, каким образом лучше выстраивать собственную защиту, какие данные не следует размещать.

Аналогичным образом необходимо запретить, условно говоря, «обратную» передачу некоторых данных. По большей части это, конечно, относится к упомянутой выше корпоративной политике работы с социальными сетями, но, т.к. вопрос не очевиден, хочется на нем сделать отдельный акцент. Многие сотрудники на сегодняшний день используют мобильный доступ к социальным сетям. Соответствующие «родные» приложения для повышения эффективности своей рекламы и предоставления дополнительных сервисов часто просят разрешения на получение данных геолокации пользователя и передают их на свой сервер. Такая информация, как место, время и частота пребывания в определенной точке сотрудника – конфиденциальные данные, раскрытие которых при определенном стечении обстоятельств могут повредить бизнесу.

Необходимо устанавливать уровень доверия полученным по протоколу управления и идентификации данным, в соответствии с политикой безопасности социальной сети, обеспечивающей эту идентификацию. Поскольку наиболее популярные социальные сети, которые имеет смысл использовать в роли «центра идентификации», бесплатны и допускают свободную регистрацию пользователей без указания их паспортных данных, любой может ввести поддельную информацию. Соответственно, личностям, подтвердившим себя лишь такими сомнительными сведениями нельзя давать доступ к областям, где требуется, грубо говоря, указание паспорта. Идентификация через социальную сеть – чуть более чем обычное удобство, но не гарантия подлинности.

Дополнительные материалы

Комментарии (1)

  • Аватар

    Якушевич Ольга [Владимировна], 17 мая 2012, 15:16

    0

    Я думаю, эта тема может быть актуальна, в первую очередь, не в сфере B2B, а в розничной интернет-торговле. Покупая любой товар в интернет-магазине, человек может зарегестрироваться через социальную сеть, в которой указаны некорректные персональные данные. Закон не запрещает физ.лицам при регистрации указывать информацию, которая не соответствует действительности, да и какая разница, что человек написал при авторизации, он ведь купил в итоге, возможно, даже поставил лайк и сделал дополнительную рекламу :).

    Также, что касается социальных сетей, у нас в компании с недавнего времени принято решение, выносить обсуждения по различным тематикам в facebook. Обсуждения, по большому счету, не требуют высокого уровня конфиденциальности, а просто предоставляют участникм возможность общаться, без дополнительных расходов на ПО. Что касается конфиденциальной информации, то я думаю, что выносить ее в социальные сети пока рано и достаточно безрассудно.