相信很多企业的CEO都已经对社交媒体和网络潜在的商业利益耳熟能详，比如提升品牌认知度、巩固和外部客户的联系、加强企业内部的协作、激发创新等，甚至在招聘时可以用来吸引Y一代（millennials或Generation Y）的才俊。企业对社交媒体战略价值的认同可以通过一则新闻来作为佐证：麦当劳公司任命了第一位首席社交媒体官（social media chief）。

　　但是，社交媒体也同时意味着相应的风险。随着企业不断地将社交媒体应用于日常管理和业务提升，CIO们必须尽快充分了解在身份识别、安全以及隐私等方面的潜在风险，以此才能在安全防范方面对业务部门进行指导。

　　根据Burton Group Inc.（位于犹他州Midvale的一家IT咨询公司）的看法，正确的做法是建立一个政策监管的框架来规范社交媒体的运用，该框架应该包含风险管理方面的具体步骤。Burton Group对各种安全风险归纳如下：

　　·恶意软件、网络钓鱼和spoofing攻击

　　·来自外部攻击者的仿冒和勒索

　　·服务拒绝攻击和安全事故

　　·涉及社交媒体平台运维方的隐私和合规方面的纠纷

　　在上述方面没有对员工进行社交媒体培训的企业将会面临诸多风险，包括企业声誉受损、监管松懈以及敏感数据外泄等。

　　Burton Group在3月24日发布了一份名为《Social Media: Identity, Privacy and Security Considerations》的研究报告，该公司的分析师Bob Blakely、Ian Glazer、Mike Gotta、Lori Rowland 和Alice Wang在其中归纳了企业运用社交媒体的潜在风险。本文将对一些典型风险的举例说明，同时还在策略方面给予相应建议（下周我们会继续从技术和合规的角度就规避社交媒体的风险进行讨论）。

　　1.多重个人资料。Facebook、LinkedIn和Twitter都要求用户创建特定格式的个人资料，随着这些平台的用户数不断上升，个人资料的数量也迅猛增加。而在企业内部，员工具有多份个人简介的现象也越来越普遍，比如某个员工在企业类似Facebook一样的站点上已经有一份简介，而在其他企业站点上（针对女性员工的组织、专业知识论坛或者人力资源相关的社区）同时也需要编辑特定的资料。

　　相应风险：Burton Group在其报告中认为，这些多重资料如果没有同步机制则可能会导致信息准确性方面的问题。由于个人喜好或者对重复输入的厌烦，员工在维护这些多重资料时会有所侧重甚至完全放弃某些站点。这种资料之间不一致的状况可能也只有员工自己才知道。而随着诸如Lotus Notes和微软Office之类的企业平台越来越多地和LinkedIn之类的外部平台进行整合，这种资料不一致的情况变得更加复杂。

　　2.信息爆炸：Facebook、LinkedIn、Twitter以及其他社交工具都包含了用户个人状态和活动的信息。这些信息或者由用户自己输入，或者在授权许可的情况下由应用产生。信息能够被转帖到其他站点，并被诸如Google之类的搜索引擎所查获。企业内站点也具有更新个人信息的机制，比如当员工加入某个团队或者对某个项目进行评论时。

　　相应风险：这种自动更新的机制无疑是有利于信息传播和共享的，但是Burton Group也认为如果没有相应的控制规范，可能会导致信息的过度共享（over-sharing of information）并产生安全和隐私方面的问题（比如加入一个专为同性恋员工设置的组织，这种行为的私密性应该受到保护）。

　　3.Twitter的流行：综合各方面的分析，2009年是Twitter成为一个企业工具的元年。用户发布的少于140字的评论能够促进企业的发展，但是对于使用方式必须审慎考虑。

　　诸多风险：Burton Group认为首先要面对的是Twitter账户的监管问题，比如确认账户是由企业所授权的代表在控制？要防止Twitter账户对用户的冒犯（比如在政治和宗教方面）。同时，企业还要对监控账户的人进行监管。出于合规的考虑，有些企业还要求对Twitter消息进行监控。而使用Twitter的员工也可能不小心泄露了敏感的知识产权信息或者给企业品牌带来负面影响。

　　两个社交媒体策略的例子

　　针对上述风险，很多企业正在加强对员工在工作期间使用社交媒体的控制。IT人力公司Robert Half Technology在4月13日发布的报告显示，38%的受访CIO实施了更加严格的社交媒体策略，相反放松了管控的比例只有14%。Robert Half公司的调查结果是在第三方咨询公司的指导下，对全美1400名来自于一定规模以上（超过100名员工）的企业CIO进行电话访谈得来的。从调查结果看，仍有55%的CIO没有做出任何策略方面的改变。

　　Burton Group的分析师Ian Glazer（主要研究数据隐私，该公司有关社交媒体风险报告的作者之一）认为构建有效的社交媒体策略并非易事：“时代的发展是如此之快，想要针对每个社交媒体服务都制定策略是不现实的。”

　　由于监控员工使用社交媒体的类型和目的是非常困难的，并且策略的制定本身也是极为耗时的工作，因此详尽到覆盖具体社交媒体的策略是没有现实意义的。“针对一到两个工具来进行制定和实施策略需要大量的时间。”Glazer说（当然，直接禁掉某个站点或者工具的策略是很省事的）。

　　但是Glazer也发现企业渐渐开始善于制定精细的社交媒体策略：“如果IBM和联邦政府能够做到，你的公司应该也可以。”

　　联邦政府在9月发布了《Guidelines for Secure Use of Social Media》，任何将社交媒体运用于协作和交流（员工之间，与合作伙伴、其他联邦机构以及公众之间）的联邦机构都必须遵循这个规定。在2005年发布了博客的使用指导之后，IBM在其最新的社交计算指导中纳入了诸多新型的社交媒体工具。
Jill Hurst-Wahl是Syracuse University信息研究学院的教授和Hurst Associates Ltd（一家数字化服务咨询公司）的创始人，她认为企业需要有针对社交媒体使用的正式规范：“但是策略可能不是要规定什么不能做，而是应该规定该做什么。企业要在人性化的前提下制定策略。”
 “如果你只是简单地禁止员工做什么，其实你是在对员工传达这样的意思‘你不能用你的工作用计算机来干这个，我们都有智能手机，为什么不躲到洗手间偷偷地做呢。’”Hurst-Wahl说。如果不得已必须禁止某个站点或特定行为的话，就要和员工进行充分的沟通，以便让他们明白违反规则将会导致什么样的后果。

事实上，Glazer、Hurst-Wahl以及其他专家都认为社交媒体的策略应该重点关注在行为和内容的合规上，而不是针对特定的社交站点。绝大部分的企业员工都知道特定信息泄露的严重性。“按这样的思路制定清晰可行的社交媒体策略才是正确的方向。”Glazer说。