社交網絡已經成為首選的溝通渠道。雖然一些企業最初抵制在工作時使用社交網絡，但是，許多企業現在認為,使用社交網絡對于業務工作有益。他們理解企業社交媒體工具能夠推動同事之間的協作和改善溝通。公共社交網絡網站也許能夠幫助機構吸引客戶和員工、改善客戶服務和管理自己的形象。

然而，社交網絡與生俱來的風險對于企業來說是很糟糕的。

主要的風險是：社交網絡很容易引起惡意軟件攻擊。其它威脅包括網絡突破、知識產權盜竊、泄露企業敏感的商業信息以及劫持網站和社交媒體賬戶等。

控制這些威脅需要一個安全戰略，制定利用監視和保護企業網絡的技術來管理社交媒體使用的政策。通過全面地和持續不斷地培訓員工以可以接受的方式使用社交網絡來加強政策和技術是非常重要的。

制定社交媒體安全戰略的第一步是對商務數據分類。這樣，員工就可以準確地理解什么是敏感的信息，什么不是敏感的信息。這個過程還應該具體說明誰有權訪問企業內容以及這種信息可以如何使用。

政策對于每個員工和每個社交媒體網站都有所不同。例如，一位員工可以在商業媒體網站的公共配置中包含員工的隸屬關系和工作職務，但是不能在個人網站披露這些信息。人力資源部門的員工可以提供更多的公司信息，因為這樣做對于招聘人員非常重要。

要記住，黑客現在把目標對準了智能手機和平板電腦等移動設備。企業應該具體規定是否允許員工用這些設備訪問社交網絡網站以及允許哪一種應用程序訪問社交網絡網站。

一旦制定了政策，把網絡監視技術和數據保護技術結合來增強這些政策也許是必要的。在某些情況下，這些技術也許已經作為標準的IT安全措施在使用。如果是如此，應該設置這些技術包含社交網絡控制。

改變員工行為的挑戰

使用社交網絡，即使認真規劃的政策和技術組合也許也不能完全奏效。那是因為你不能阻止員工在晚上回家之后在社交媒體上發布數據;人們不顧企業的政策想做什么就做什么。你能做什么?實施一個嚴格的和持續不斷的員工教育計劃，教育員工以可以接受的方式使用社交網絡。

一個企業應該預先培訓員工，明確說明如何正確地使用公司信息。一定要具體：告訴員工他們在社交網絡上對于本公司能夠說什么和不能說什么。員工應該理解發布企業數據是絕對禁止的，除非企業鼓勵這樣做。

針對員工的安全知識水平采取有針對性的教育計劃。應該用非常真實的情況解釋惡意軟件的風險、數據損失和其它威脅對于企業和個人的影響。向員工介紹如何識別社交媒體攻擊中使用的詐騙手段和如果識別釣魚網站。培訓應該展示這些威脅是如何在社交媒體上傳播的以及這些威脅是如何下載到用戶計算機或移動設備上，然后滲透到企業網絡的。要強調這個知識在家里和在工作場所都同樣有用。

然而，教育不能排除技術教育。對于許多員工來說，通過社交網絡共享已經成為一種條件反射式的事情，他們也許不會意識到無意間在社交網絡上發布的消息能夠損害一家企業。員工還應該理解，當他們把自己當作一家公司的員工的時候，他們在數字領域正在代表這個公司。

最后，全面解釋在使用社交媒體時不遵守公司政策的后果。要非常明確地指出：違反隱私、客戶保密和知識產權等公司行為準則的人有被解雇的風險。