在本篇文章中，我們將探討工作場所使用社交網絡帶來的安全問題，以及如何解決這些問題。

五年前，對于企業來說，設計網站并不是一個大問題。以前員工使用社交網站主要用于個人目的，IT很容易創建政策和安全控制來防止員工在企業系統和網絡訪問社交網絡。

然而，在企業開始使用社交網絡用于業務目的(包括銷售、營銷和客戶服務)后，這一切都改變了。事實上，曾經被視為是浪費時間的社交網絡活動現在已經成為很多企業的主要營銷方式。

曾經阻止社交媒體的企業現在開始為企業內的某些用戶和組放寬這種限制。然而，企業管理和IT面臨的挑戰是，如何控制對社交網絡的使用，以平衡安全性和靈活性。

這個問題的部分原因是，很多企業并不了解真正的核心問題：并不是攻擊者在濫用社交網絡發布的信息，或者他們在使用這些網站來發動攻擊，而是員工不了解他們在網上發布信息涉及的風險，并且，他們沒有意識到成功的攻擊可能帶來的損害程度。

這方面有幾個關鍵問題需要考慮。首先是社交網絡的本質，社交網絡是一個平臺，用戶可以協作和共享—主要是出于個人目的(至少在初期階段是這樣)。問題是，員工并沒有意識到他們在這些環節中公開發布的信息可以被用于社會工程共計，或者用于重設這些網站的密碼。他們的公開檔案讓攻擊者可以很容易識別員工，他們通常能夠獲取足夠的信息來發動有效的魚叉式釣魚攻擊。

另一個因素是年齡。員工的年齡在很大程度上影響著共享的信息量和對社交網絡的理解度。老員工并不會排斥社交媒體，在另一方面，工作十年左右的員工是伴隨著Facebook成長起來的，當他們到達餐廳或者在Instagram發布其朋友和同事的照片時，他們并不會過多考慮。

這也許并不令人驚訝，即當在涉及社交媒體使用的危險性和安全性時，員工和IT并不是很了解。員工能難理解攻擊者如何利用最平淡無奇的信息來攻擊他們或者他們的企業。然而，他們必須意識到的是，幾乎一切信息都可以用來攻擊他們，從幫助臺的員工信息和銷售團隊信息，到企業野餐的地點，甚至佩戴公司徽章的員工照片都可能被攻擊者利用。

在數字防御報告“社交媒體的危害：每個‘社交媒體交際花’都應該知道的事情”中，介紹了幾個案例來說明攻擊者試圖尋找的有價值的信息類型。其中一個例子是一名沮喪的員工在自己的Twitter賬號上抱怨其公司保安總是遲到：“我討厭等這個總是遲到的保安!”攻擊者可能利用這種信息來了解員工日程和工作時間，從而更容易侵入企業，選擇保安不在值班的時候。

除了上述危害，在網上發布的信息還可能暴露關于企業地點和正在使用的技術的信息。這種泄露的信息往往是元數據形式，即關于文件內數據的信息以及嵌入到文件本身的信息。元數據可能包括(但肯定不限于)地理位置信息、擁有者/作者/用戶名、計算機名、網絡共享、IP地址和應用程序版本。