Etiket arşivi: social media security

Social-Media-Security

Sosyal Medya Güvenliği

 

Sosyal medya güvenliği çevrenizi ve sosyal medya sonucu global olarak her şirketin karşılaşabileceği olası durumları anlamak ile başlar. Sosyal medyanın gelişimi ile birlikte şirketler rekabetin birçok yeni yüzü ile tanıştılar. Şirketlerin IT departmanları ise günümüzde medya riskini azaltmak için, eskiden hiç olmadığı kadar; Pazarlama, İnsan Kaynakları, Hukuk, Finans ve Operasyon departmanları ile daha ‘yakın’ çalışmak zorundalar.

İtibar kaybı

Literatürde sosyal medya ile ilgili itibar kaybına ait birçok örnek olmasına ilişkin, şüphesiz bunlardan en hatırda kalanı British Petroleum (BP)’nin başına gelenler. Sosyal medya riskini yönetmek için herhangi bir strateji geliştirmeyen her zaman markasına ve ‘son satıra’ (bottom line – finansçılar bu deyimi bolca kullanır, son satırda net kar yer alır) zarar gelmesi konusunda ‘kırılgan’ olacaktır. 2010 yazında petrol devi BP denizde bulunan devasa tesisindeki bir patlama ile Meksika Körfezi’ne petrol akması krizi ile karşı karşıya kaldı. 107 koca gün boyunca firma bu akıma mani olamadı. BP bu krizden kaynaklanan endişeleri yönetmek için bir PR kampanyası açtı. BP’nin yetkilileri bölgenin temizlenmesi için 20 milyar $’lık bir bütçe ayırdıklarını ifade ettiler. Buna rağmen insanlar twitter, facebook ve bloglardan negatif yorumlar yapmayı sürdürdüler ve gittikçe artan bir işbirliği ile bir anti-BP kampanyası aldı başını yürüdü. BP’nin ‘yeterince’ açık olmaması ile birlikte bu açıklardan kaynaklanan ‘boşluklar’ sosyal medyada güzelce ‘dolduruldu’. Şirketin CEO’su Tony Hayward’da bu durumdan nasiplendi. Firmanın kendi twitter hesabında 18.000 takipçisi bulunurken, anti-BP’cilerin kurduğu hesap (BPglobalPR) birkaç hafta içinde 150.000 takipçiyi buldu. Bu Twitter hesabı Körfez için promosyon ürünleri satarak 10.000$ gibi bir para kazandı.

Yanlış giden neydi?

BP’nin başına gelen patlama önceden öngörülemez bir olaydı. BP’nin patlama ile ilgilii ‘risk yönetimi’ şu an konumuz dışında olsa da ‘sosyal medya’ yanlışları tam da bizim konumuzu oluşturuyor. Doğal olarak insanlar böyle bir olay karşısında endişelerini ve tepkilerini sosyal medyada paylaşacaklardır. Böyle olaylara karşı BP’nin kriz durumları ile ilgili sosyal medya planı olsaydı durum bu raddeye gelmeyebilirdi. İnsan Kaynakları tarafından baktığımızda Şirket, sosyal medyadaki varlığını yönetmek için yönetici bulundurabilirdi. Bunun yerine PR departmanında bir kişi ‘arada’ bu tür işlerle ilgileniyordu. Bunun bir sonucu olarak da koskoca resmi BP’nin resmi hesabı @BP_America 18.000 takipçiye sahipti. Anti-BP’cilerin hesabı şu an bile 144.000’lerde. (Resmi hesapları an itibarı ile 53.000). Çevreye olan etkileri sebebi ile ‘yeşil’ olan şirket logosu sevenleri (!) tarafından tekrar elden geçirildi. @BPGlobalPR logosu petrol damlayan siyah bir logo haline geldi. Bir çok BP karşıtı paylaşım Flickr ve Facebook’ta da yerini buldu, bir çok BP karşıtı T-shirt de satıldı. Şirketin ise markasını ve logosunu korumak için herhangi bir planı yoktu.

Olayın parasal kısmı düşündüğümüzde ise yüksek miktarda ‘negatif bahsetme’ basına da yansıyarak şirketin değerini düşürdü. Petrol akımı Körfeze devam ettiği müddetçe, Şirket yatırımcıları üzerinde de baskı oluşturdu. BP’nin değeri öyle çok düştü ki, diğer rekabetçi petrol firmaları gözünde ‘satın alınabilecek’ ölçülere geldi.

Operasyon yönünden, BP’nin attığı adımlar sosyal medyada ve basında sertçe eleştirildi. BP’nin olay mahaline muhabirlerin girişini engellediği yönünde haberler duyuldu. Başka raporlarda petrolün temizliği ile ilgili görevlilerin korunma için yeterli ekipman kullanmadığı yönünde haberler de çıktı.

İtibar yönünden, firma hakkındaki yorumların tamamına yakını ‘negatif’ hale geldi. Bu durum basına da yansıdı. Bu tür doğayı kirletme olaylarının insanlar tarafından büyük tepki göreceğini öngöremeyen firma, kriz durumunda açıklıktan da ödün vererek olayı daha çıkılmaz bir boyuta getirdi. Bu saydığımız dört alanda (insan kaynakları, para, operasyon ve itibar yönetimi) BP bir çok yönde strateji geliştirerek bu durumlara düşmemiş olabilirdi.

Yakın geçmişte ‘güvenlik’ nasıl değişti?

Geçmişte şirketler hackerlar ve içten gelecek ataklara karşı savunma sistemleri geliştirdiler. Her türlü şirket için ‘küçük’ fakat yetenekli bir grup ‘tehdit’ oluşturabilirdi. Günümüzde ise internet bağlantısına sahip ‘herhangi bir kişi’ geri dönüşümsüz bir itibar kaybına neden olacak viral aktiviteyi başlatmaya kadir. Şirketin serverlarına yada web sitesine gelen ataklar, şirket markasına ve itibarına karşı ataklara evrildi. Günümüzde hiçbir şirket tek bir kişinin bile atağına karşı bağışıklık sahibi değil. Bu yüzden itibar yönetimi ‘sosyal medyayı’ da kapsayacak şekilde iyi bir biçimde tasarlanmalı.

Sosyal medyanın büyümesi ile birlikte ‘güvenlik’ meseleleri de hem Şirketler hem de aktif online müşteri için büyük bir tehdit oluşturmaya devam ediyor. En büyük sosyal medya güvenlik sorunu ise gizlilik hakları ihlali ve ‘kimlik’ hırsızlığı. Eğer birisi bir çalışanınızın sosyal medyadaki kullanıcı ismi ve şifrelerini ele geçirirse bunları şirketinize karşı kullanabilir. Hele ki bu kişi sosyal medya yöneticiniz ise işiniz çok daha zor. Bir kişinin her türlü hesabının şifresi aynı olması (tahmin ettiğinizden çok daha sık rastlanan bir durum) işi daha da çıkmaza sokabilir.

Risklerin belirlenmesi

Risk yönetiminin en önemli konusu, oluşabilecek ‘zarar verici’ (risk) durumları önceden öngörme ve bunlara karşı hareket planı oluşturmaktır. Sosyal medya konusunda ise şu anki, olası orta vadeli ve uzun vadeli uygulamalar ve online topluluklar ile temasın iyi anlaşılması gerekir. Bunun için de bir ‘sosyal medya değerleme prosesi’ gerekir. Değerlemediğiniz bir varlığın (burada sosyal medya) riskini belirleyemezsiniz.

- Stratejik Analiz: Şu anda hangi sosyal medya stratejilerini ve araçlarını kullandığınızı belirleyin. Tüm çevreyi de dikkate alarak güvenlik boşluklarını tanımlayın.

- Tehdit Analizi: Tehdit oluşturabilecek alanları ve giriş noktalarını tanımlayın. Tehdit oluşturabilecek alan, bir Şirkete hangi metotlarla saldırılabileceğidir. Bu Facebook’ta bir trojan da, markanıza saldıran bir Twitter kullanıcısı da olabilir.

- Operasyonlar, politikalar ve kontroller: Riski azaltmak için yeni kurallar ve kontrol mekanizmaları devreye sokun. Operasyonel taktikleri stratejinizin bir parçası olarak konumlandırın.

- İzleme ve Raporlama: Sürekli gözlem ve raporlama için bir iş akışı dizayn edin. Yeni geliştirdiğiniz güvenlik stratejinizin zaman içinde güncel kalması için olası tehditlere her zaman cevap verecek niteliğini korumuş olması gerekir. Sürekli güncel kalın ve yeni gelişmelere göre stratejinizi gözden geçirin.

Organizasyonel analiz

Sosyal medya hepimizin hayatını değiştirdiği gibi, şirketlerin de tüm iş akışlarını ve departmanlarının çalışmalarını etkilemeye devam ediyor. Sosyal medya stratejisi genellikle her departman tarafından ayrı ayrı ele alınır. Böylelikle her departmanın kendi öncelikleri sebebi ile komplike bir hal alır. Şirketteki rolünüze bağlı olarak aşağıdaki sorulara yanıt vermeniz gerekir:

IT Güvenliği: Güvenli kullanım için elimizde ne tür araçlar var? Aktiviteyi nasıl raporlayabilir, bloklayabilir yada gözlemleyebiliriz? Diğer firmalar sosyal medya ile ilgili uygulamaların hangi noktasındalar? Sosyal medyaya ne kadar kaynak ayırdılar? Ne tür risk stratejilerini hayata geçirdiler?

İnsan Kaynakları: Sosyal medya platformları organizasyonu ne şekilde etkilemekte? Sosyal medya platformunda çalışanlar neleri söyleyebilir, neleri söyleyemez? Ne tür politikalar geliştirilmeli? Ne tür eğitimler verilmeli? Yeni personel alımında karar mekanizması sosyal medyadan nasıl etkileniyor?

Pazarlama: Rakip firmalar pazarlama aracı olarak sosyal medyayı nasıl kullanıyorlar? Sosyal medyanın ful potansiyelini ortaya koymak için en iyi uygulamalar nelerdir? Çalışanlarımızla işbirliği içinde sosyal medyayı en etkin nasıl kullanabiliriz?

 

Sosyal medya önceliklerini belirlemek

Amaçlarınıza ulaşmak için hangi platformları kullanacağınız, ne gibi ölçütleri ele alacağınız; sistemi nasıl gözlemleyip ölçümleyeceğiniz sorularının cevapları zorlu olabilir. Örneğin Fortune 100’deki bir şirketin pazarlama direktörüsünüz diyelim, sosyal medya pazarlaması da en önemli görevlerinizden biri. Başarı kriterleriniz satış departmanı yada satış sonrası hizmetlerin kullandığı değişkenlere bağlı olarak farklılık gösterecektir. Facebook hayran sayfası oluşturarak sosyal medya varlığınızı oluşturmalı mısınız yada Twitter takipçilerinizi arttırmalı mısınız, yada ikisi de mi? Sosyal medyada bir satış kanalı oluşturacak mısınız? (Örneğin @DellOutlet ve @JetBlueDeals). Fakat durun, sorumluluk alanınız burada bitmiyor. Sosyal medya güvenliğinin ‘yeni dünyasında’ seçtiğiniz donanımın ve yazılımın dışarıdan saldırıya açık olup olmadığını IT ile daha tartışmadınız?

Sosyal medya zorlu bir konu olarak Şirketlerin kafasını meşgul etmeye devam ediyor. Büyük şirketlerde büyük uygulamalar sürüyor. Küçük ve orta ölçekli şirketlerin bu büyük dünyaya göz kırpması ile birlikte ‘bize bir faydası olur mu?’ yönündeki düşünceleri ise devam ediyor. Fakat çoğu durumda uygulama ‘bizim oğlan/kız işte açtı bizim Şirket için bir facebook’ sayfası mantığından pek de ileri gitmiyor. Fakat gerçek şu ki, sosyal medyada yaptığınız her şey birçok kişi tarafından takip ediliyor ve olası reputasyon kaybı her ölçekteki şirket için büyük bir risk faktörü olmaya devam ediyor. Bu riskin önüne geçmek ve olası ‘kriz’ durumlarını iyi yönetmek için önceden hazırlanmış detaylı hareket planlarına ‘sosyal medya’yı da katmak, şüphesiz BP’nin düştüğü gibi durumlara düşmemek için günümüzde elzem. Tüm bunlardan hareketle, sosyal medyayı aktif olarak kullanacak Şirketlerin ‘sosyal medyada güvenlik’ konularını da stratejilerinin bir parçası olarak görerek yollarına devam etmeleri gerekmekte.