已存档页面： 2020信息安全提示

社交媒体的风险与回报

社交媒体是您组织的通信工具箱中的一个很好的工具。许多美国人至少在一个平台上拥有账户，并希望找到自己喜欢的品牌和社区的页面。如果使用得当，它可以带来很多好处：

• 提供实时信息。社交媒体使组织能够实时提供信息。如果您的组织需要快速传达重要信息，这将特别有用。例如，如果您的组织遇到时间敏感事件（例如数据泄露），您可以使用社交媒体分享相关信息，并提供您的关注者可以采取的补救措施。政府实体可以使用社交媒体传播有关计划和公开会议、日程安排变更、道路工程以及选民需要了解的其他信息。
• 回答问题。社交媒体允许消费者向组织询问问题并提供反馈。这意味着您知道他们想要什么信息和产品功能、您做得好的地方以及可以改进的地方。您可以改变您的客户服务流程、添加新产品或更改现有产品，或者继续做您擅长的事情。最重要的是，您可以对客户做出回应，这将有助于提升您的形象和业务。
• 使您的组织人性化。消费者可以了解您的品牌及其背后的人，反之亦然。由于对话是人与人之间的，而不是机器人与人之间的，因此公司可以使用社交媒体以其他营销和广告无法做到的方式接触客户。例如，与传统广告相比，您可以通过社交媒体传达更人性化的声音。即使只是一句简单的“请私信您的信息，以便我们调查您的问题”，也能在很大程度上让现有客户满意，甚至可能获得一些新客户。

当然，独角兽是因正当理由而走红的帖子。然而，对于组织使用社交媒体来说，并不是一切都看起来那么美好。

制定以安全为重点的社交媒体计划

随着用户和平台数量的增长，与社交媒体平台相关的隐私和安全风险只会增加。网络犯罪分子挖掘社交媒体账户以获取可用于恶意活动的宝贵情报。所有组织都应制定考虑到网络安全和隐私的社交媒体政策。第一步是制定社交媒体政策，包括可以发布什么内容、谁可以发布、在什么设备上发布（例如，他们可以使用个人设备吗，或者DOE是公司拥有的设备？），以及谁负责保管和更改密码。 这些只是需要解决的一些问题；有一些指南可以帮助您制定详细的计划。

以下是在您的组织中制定安全社交媒体计划的一些提示：

• 建立由资深人士领导的社交媒体团队。此人将负责实施和执行贵公司的社交媒体政策，以及向需要的人提供访问权限。该团队应包括来自 IT 部门的人员，他们可以就风险缓解提供咨询，并在出现安全问题时提供帮助。
• 使用基于角色的电子邮件地址而不是员工地址。使用social@company.com和communications@company.com等电子邮件地址会使入侵网络变得更加困难。网络犯罪分子需要两个电子邮件地址才能弄清楚您公司的电子邮件分配方案，这是侵入您的网络或建筑物所需的宝贵信息。
• 您的计划应该包括一种保护选择参与您的社交媒体活动的员工的方法。他们应该考虑为工作设立单独的社交媒体账户，并且不与个人账户关联。
• 除非员工同意参加社交媒体活动并采取措施保护自己，否则尽量不要使用多个标识符（例如姓名和部门，或姓名和电子邮件地址）来识别员工。例如，如果您发布获得奖励的员工的照片，请避免将其标识为会计部门的 Jane Smith。犯罪分子可以利用这些信息进入大楼（“我来见会计部门的简·史密斯”）或在公司目录中找到她和她的电子邮件地址。
• 社交媒体（或任何面向公众的网站）上的任何员工照片都应在封闭的会议室或远离活跃工作区的其他区域拍摄。这将防止机密信息、员工姓名或屏幕或办公桌上的信息被无意中拍摄。
• 考虑零信任政策，并要求所有帖子在发布前必须经过社交媒体团队的审核。
• 至少每季度审查一次您的社交媒体政策。检查每个平台的隐私设置并进行必要的更改。确保只有需要访问和发布权限的人才拥有这些权限，删除DOE的人员，并根据需要更改权限。 与您的 IT 专家坐下来讨论最新的威胁，以确保您受到保护。最后，查看您的整体社交媒体政策，以确保它最适合您的组织并进行任何必要的更改。

保障我们互联的未来

事实证明，社交媒体是企业和政府组织强大的沟通工具，但它的力量既可以用来帮助，也可以用来伤害。精心实施的完善的社交媒体政策和安全计划将极大地改善您的社交媒体策略并保护员工的隐私。