专家们建议从制定一个好的计划开始。虽然很多企业已经采用了可接受的使用策略，恰当地解决了e-mail和互联网的使用问题，但却很少有企业制定过既能在工作期间使用社交媒体，又能保障企业网络正常运转的相关流程。

　　“组织需要做的第一件事就是要扩展现有的可接受的使用策略，以便覆盖所有类型的互联网沟通方式，”m86安全公司的技术战略副总裁bradley anstis说。

　　可接受的使用策略能够解决诸如允许访问的级别等问题。举例来说，并非所有员工都需要在youtube上发布视频，或者下载facebook的应用。对于某些群组的员工来说，只读访问就足够了。要教育员工知悉和社交媒体相关的安全风险，并提供相关的内容共享指南，都是可接受使用策略的关键内容。

　　2010年初，facetime通信公司曾经调查过1654位it经理和终端用户，结果出现了很大的分歧。在这份调查中，62%的it专业人士估计在他们的网络上存在着社交网络应用，而来自已部署了facetime设备的实际数据显示，社交网络应用在所调查的样本中为100%。所发现的文件共享工具也有74%，而只有32%的it专业人士估计有人在用这类工具。发现web聊天工具也有95%，但却只有31%的it专业人士估计有人在用。

　　未来，it的挑战就在于要解决因此带来的安全风险，例如通过员工的社交媒体活动而带进来的恶意软件，或者由于员工疏忽大意导致的商业敏感信息的泄露等。

　　除了纯粹的web威胁外(恶意软件、僵尸网络、网络钓鱼、有目标攻击)，还有治理结构、风险和法规遵从(总称grc)等问题需要考虑，check point的产品营销经理john vecchi说。“web 2.0给it部门的grc努力带来了新的挑战，尤其是在数据保护方面。web 2.0让企业信息有了更多的泄密渠道。”

　　为了监管社交媒体活动，it部门必须能够在应用层有强制用户或特定群组的策略(比较典型的做法是与企业目录集成)。能够探测并禁止基于脚本的恶意软件也是重要的，因为这样做不仅可以分析下载的内容，而且还能发布内容，确保不会有人违背数据保护策略。

　　以美国的杜瓦尔县学区为例，该学区就定义了好几个互联网访问级别作为其可接受使用策略的组成部分。各校的校长和管理资源的官员拥有最全面的访问权，包括对社交网站的访问权，该学区的信息安全经理jim cullbert说。

　　而访问控制在该学区的其他群组中间则更为严格。例如学区的职员可允许使用园区网之外的e-mail应用，但是教师不允许，因为该学区希望所有教师与学生及学生家长间的通信只能通过内部的邮件系统来进行。学区的内容过滤策略与其active directory的部署紧密相连，并通过m86安全公司的web过滤和报表技术强制执行。

　　虽然采取防范社交媒体安全的额措施是重要的，但是it部门还是需要留意员工对于像facebook、twitter和linkedin等网站的使用，可能也会像企业基础设施中的其他方面一样是无法完全控制或者无法锁定的。因为员工的行为准则和价值判断是不可能自动千篇一律的。

　　因此forrester的wang建议，“对于员工们在网上做些什么一定要有开放的心态。我会让员工意识到风险的存在，并为他们提供工具自己去评估和社交媒体相关的风险，但是我也会让他们自己作出决断。”

上一页  [1] [2]