Ha nagyon szigorú egy vállalat, egy sor olyan informatikai eszköz áll rendelkezésére, mellyel blokkolhatja a vállalt eszközeiről munkaidőben a hozzáférést a közösségi portálokhoz. Kérdés, hogy ez mennyire célravezető. Ha a szervezete végül úgy dönt, hogy nem a teljes tiltást választja, számtalan kérdésre kell válaszolnia a menedzsmentnek. Az egyik legfontosabb megválaszolandó kérdés: ki döntsön arról, hogy igent vagy nemet mond a szervezet a hozzáférésre? És ha a válasz igen, ki, mikor és mihez férhessen hozzá? A döntés semmiképen sem tisztán az informatika problémája.
Szabályok és eszközök összhangja
Szabályozni sok mindent lehet, de elsősorban azt kell és lehet, hogy a vállalat eszközeiről ki mihez fér hozzá. Erre a menedzsment döntésének függvényében már remek jogosultságkezelő (access management) rendszerek vannak, melyekkel az egész folyamat automatizálható. (A jogosultságkezelés egyik fontos aspektusáról részletesen írtam Erre figyeljenek, amikor a dolgozó munkába áll! c. cikkemben.) Az azonban már sokkal nehezebben szabályozható, hogy az alkalmazott milyen tartalmat közölhet magáról egy közösségi oldalon. Azt pedig, hogy harmadik személy milyen adatokat, információkat közöl egy közösségi oldalon a vállalat alkalmazottairól, gyakorlatilag lehetetlen bármilyen módon befolyásolni.
Ha a lehetőségek e téren korlátozottak is, a korábban már említett access managementtel együtt, azzal összhangban érdemes kezelni ezt a kérdést is.
A vállalaton belül az egyértelműen azonosítható, hogy kinek van szüksége a munkájához közösségi oldalakra. Az ma már egyértelmű, hogy a marketing és a termékmenedzsment területén dolgozók számára ezek nélkülözhetetlen eszközök. Ugyanakkor sok olyan szervezet van, ahol már minden kollégának meg kell engedni, hogy munkaidőben is elérje a közösségi portálokat.
Lájkol, olvas,csetel, játszik?
A védelmi eszközök gyártói mindenesetre próbálnak reagálni erre a problémára. Egyre több olyan alkalmazás kerül a piacra, ami nem pusztán arra alkalmas, hogy a közösségi oldalhoz való hozzáférést tiltsa vagy engedélyezze. Szabályozható például az is akár, hogy egy-egy felhasználó milyen tevékenységet végezhessen ezeken az oldalakon, és meghatározható az is, hogy milyen időintervallumban teheti meg ezt. Egyes eszközök arra is alkalmasak, hogy azokban hozzáférési sávszélességet határozzunk meg ezeknek a közösségi oldalakkal történő kommunikációra.
Az IT feladata itt viszonylag egyszerű. Ha a menedzsment meghozta az üzleti célokkal összhangban lévő döntést, az IT-nak meg kell keresnie, az ahhoz és a belső folyamatokhoz legjobban illeszkedő technológiát, illetve az azt megvalósító eszközt.
Például a magasabb szintű szolgáltatást nyújtó webhozzáférés-menedzsment megoldások már képesek azt is menedzselni, hogy olvasási hozzáférésen túl milyen szolgáltatásokat használhatunk egy weboldalon belül. Például meghatározható, hogy olvashatjuk ugyan a Facebookon a bejegyzéseket, de nem játszhatunk az oldalon, nem chatelhetünk, nem nyithatunk meg videókat stb.
Elhajlós estéből céges botrány
Tipikus eset: egy elhajlós este után az alkalmazott egyik barátja felteszi saját Facebook oldalára azt a képet, melyen közösen szerepel az alkalmazottal. Ez önmagában még nem nagy probléma, hiszen a webes keresők az alkalmazottat nem találják meg név szerint. Ha azonban egy harmadik közös ismerősük megjelöli (teging) az alkalmazottat az inkriminált képen, az viszont már okozhat problémát, hiszen a képen szereplő személyek azonosíthatóvá válnak. És persze a dolgo még fokozható: a kompromittáló fotókon az alkalmazott a vállalta logójával díszített pólót visel.
A Facebook alapértelmezett beállítása, hogy ha valaki megjelöl engem egy fotón, akkor az automatikusan megjelenik az idővonalamon, és bekerül a fényképeim közé is. És ehhez nekem nem kell tevőlegesen közreműködnöm – leszámítva természetesen a kép elkészültét lehetővé tevő bulizást.
De mit lehet tenni ennek megelőzésére?
Vajon elvárható-e, hogy a kollégák ne tegyenek ki olyan fotókat magukról az internetre, ami rossz fényt vetne az őket alkalmazó cégre? De ha nem ők teszik ki, vajon elvárható-e, hogy eltávolítsák saját idővonalukról az ilyen kompromittáló képeket ha valaki megjelölte őket (és nem használták a tagreview-t)?. Továbbgondolva: elvárható-e tőlük, hogy ha tudomást szereznek egy olyan képről, ami a munkaadójuk számára kompromittáló, mindent megtegyenek azért, hogy az lekerüljön onnan? A válasz egyértelműen igen. De az már az őket alkalmazó cég feladata, hogy megtanítsa őket, hogyan kell eljárniuk az ilyen esetekben.
Alap, hogy engedélyezni kell a Facebook „Mások általi megjelölésemre és megjelölésem ajánlásaira vonatkozó beállítások” azaz tagreview parancsot. Segítségével mindig felül lehet vizsgálni, hogy a feltöltött képeken a megjelöltek-e, ráadásul még azelőtt, hogy azok megjelennének a Facebookon.
Ha megtanítjuk az szülőket, hogy védhetik meg gyermeküket a keresőmotorok és közösségi oldalak kutató technikáitól és egy esetleges kompromittáló tartalomtól, akkor sokkal könnyebben elfogadják az erre vonatkozó szabályokat az őket alkalmazó vállalat esetében is.
Egy információtöredék is lehet veszélyes
Számtalan üzleti kockázatot rejtenek a közösségi oldalak. Nagyon fontos forrásai például az adatszivárgásnak, melynek megelőzésére úgynevezett DLP (Data Loss Prevention – adatvesztés-megelőző) eszközöket fejlesztenek a biztonsági eszközök gyártói. Persze az adatszivárgásban vannak fokozatok. Terjedelmi korlátok miatt itt és most csak egy viszonylag egyszerű és jól kivédhető alesetével foglalkozunk.
Milyen hatása van annak, ha egy közösségi oldalon valakiről egyértelműen kiderül, hogy egy áram- vagy gázszolgáltatónál, esetleg valamelyik önkormányzatnál dolgozik? Közvetlen nyilván kicsi. Ám ha figyelembe vesszük, hogy a közösségi oldalak kapcsolati háló szolgáltatásával ma már könnyen találunk egy közös ismerőst, akin keresztül, akár áttételesen is akár jogosulatlan előnyöket is lehet szerezni.
A probléma viszonylag egyszerűen orvosolható.
A pontos vállalt megjelölés helyett alkalmazzuk az iparágat: energetika, vízügy, közlekedés, kereskedelem stb. Ha jól választjuk meg a területet, az segít az ismerősöknek az azonosításban, de csökkenti annak veszélyét, hogy valamiféle fondorlatos korrupciós hálóba keveredjünk. A szervezet feladata az, hogy fogalmazzon meg konkrét ajánlásokat és szabályokat arra, hogy az alkalmazottak milyen formában közöljenek személyes, ám a cégüket akár áttételesen is érintő adatokat a közösségi oldalakon.
Nem tudom elégszer hangsúlyozni, ezeket a szabályokat és ajánlásokat mindig írásban kell rögzíteni, és ahogy előző cikkemben írtam, pontosan követni kell a dolgozó cégen belüli karrierjét is, hogy mindig az adott pozícióhoz illeszkedő szabályok és ajánlások – és csak azok! – vonatkozzanak rá.
A szerző tréner, a Gill & Murry tanácsadó cég vezetője
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak