Risicobeheersing bij toepassing van social media Varsha Bindraban
i
Voorwoord
Deze scriptie vormt het laatste hoofdstuk van de opleiding IT Audit, Compliance en Advisory aan de Vrije Universiteit te Amsterdam. In deze scriptie heb ik de kans gegrepen het IT Audit vak te combineren met een onderwerp dat al jaren mijn interesse heeft, namelijk: social media. De impact die social media op de samenleving hebben, trekt vooral mijn aandacht. Hoewel hier boeken over te schrijven vallen, heb ik in dit onderzoek een klein onderdeel van de impact van social media onder de loep genomen, specifiek voor het bedrijfsleven. Ik kan met een lach terug kijken op een leuke en leerzame twee en een half jaar studie, waarin ik op zowel zakelijk als persoonlijk vlak groei heb doorgemaakt. Langs deze weg wil ik al mijn collega’s, klanten, vrienden en familieleden die mij hebben gesteund gedurende dit scriptietraject bedanken, maar een aantal personen in het bijzonder: • • • •
Dr. René Matthijsse RE, hoofddocent van de vakgroep vanuit de Vrije Universiteit: voor zijn begeleiding, advies en vertrouwen gedurende dit afstudeertraject; Diego Ashruf RE, begeleider vanuit KPMG en collega: voor zijn input, begeleiding en motiverende woorden op elk gewenst moment; Hans van der Geest en Mark Meuldijk, partners vanuit KPMG Corporate Clients Amstelveen, voor de mogelijkheid om deze opleiding te volgen; mijn verloofde, ouders en zusje: voor de mogelijkheid tot het zorgeloos volgen van mijn opleiding en carrière pad.
Met de afronding van dit onderzoek en daarmee deze opleiding, kijk ik uit naar de volgende stappen, zowel in mijn carrière als op persoonlijk vlak.
Amsterdam, september 2014
V. Bindraban - 2014
2
ii
Management samenvatting
Social media zijn één van de kanalen die met de digitalisering van de samenleving grote impact heeft gehad op hoe men met informatie omgaat. Mensen staan constant met elkaar in contact en kunnen informatie delen of hier een oordeel over geven. Dit brengt voor de zakelijke wereld voordelen met zich mee, zoals een betere concurrentiepositie in de markt, beter klantcontact en betere marketingmogelijkheden. Auteur P. Aula heeft in één van zijn artikelen de volgende zeer toepasselijke uitspraak gedaan: ‘In social media, an organization cannot just look good; it has to be good’ Verschillende organisaties hebben deze les op pijnlijke wijze geleerd. Een belangrijke eigenschap van social media is dat informatie snel en ongestructureerd een groot publiek kan bereiken. Doordat medewerkers per ongeluk bedrijfsgevoelige informatie op social media plaatsen of doordat buitenstaanders de organisatie een negatief imago aanpraten via social media hebben bedrijven regelmatig imago schade opgelopen. Hiermee is geïllustreerd dat social media ook risico’s met zich mee brengen. Een aantal voorbeelden van risico’s zijn het lekken van informatie, verlies van competitief voordeel en verlies van productiviteit van de medewerkers. In deze studie zullen onder andere deze risico’s worden besproken en staat het beheersen van de risico’s met betrekking tot social media centraal. De volgende hoofdvraag zal in deze studie worden beantwoord: Hoe kunnen risico’s voor organisaties ten aanzien van de omgang met social media worden beheerst? Op basis van literatuurstudie wordt een model besproken die wordt gebruikt om te onderzoeken hoe risico’s omtrent social media kunnen worden beheerst. Dit model is vrij onbekend, maar kan een zeer nuttig handvat zijn richting de risicobeheersing met betrekking tot social media. Het model is geverifieerd in een praktijk situatie om te valideren of deze richtlijnen direct toepasbaar zijn in de praktijk of dat deze nog verfijning nodig hebben. Uit de bestudeerde praktijk situatie blijkt dat de organisatie social media lang niet zo een groot aandeel vindt hebben als volgens de theorie te verwachten was. Volgens de theorie zou de bestudeerde organisatie doordrenkt zijn met het gebruik van social media. Echter, volgens de organisatie wordt hier slechts beperkt gebruik van gemaakt en wordt ook beperkt risicobeheersing op social media toegepast. Dit komt doordat de organisatie social media alleen ziet als een verzamelnaam voor toepassingen als Facebook, Twitter, LinkedIn en YouTube (gangbare sociale netwerken en videosharing websites), terwijl dit type media volgens de theorie nog veel meer omvat. Deze bevinding heeft een directe impact op welke risico’s van toepassing zijn en hoe deze beheerst dienen te worden. De bevinding heeft dan ook een grote impact op het vervolg van deze studie. Op basis van een analyse van de bevindingen uit het praktijkonderzoek en de theoretische concepten is een set aan aanbevelingen gedefinieerd die een organisatie mee kan nemen richting de beheersing van social media binnen de organisatie. Hierbij dient aan de volgende onderwerpen te worden gedacht:
• De organisatie dient zich te vergewissen van de reikwijdte van social media en op basis hiervan een definitie van de term te definiëren.
• De organisatie dient bij het uitvoeren van een risico analyse met betrekking tot social media rekening te houden dat de media ook in verschillende reguliere processen kunnen worden gebruikt. • De organisatie dient zich ervan bewust te zijn dat social media altijd en overal aanwezig zijn, doordat over het algemeen de FaceBook en Twitter-achtige applicaties V. Bindraban - 2014
3
non-stop doordraaien. Hier dient dan ook rekening mee te worden gehouden wanneer beheersmaatregelen worden getroffen. Concluderend is het gehanteerde theoretisch model, dat het ‘social media risk and mitigation guidance’ model is genoemd, een bruikbaar handvat om beheersing van risico’s met betrekking tot social media te realiseren of te toetsen. Echter, de richtlijnen dienen specifiek te worden gemaakt voor de eigen organisatie. Hierbij dient rekening te worden gehouden met de volwassenheid van de organisatie met betrekking tot social media (de huidige situatie) en de geambieerde volwassenheid van de organisatie (de gewenste situatie). De aanbevelingen die in deze studie worden gedaan bieden input hiervoor.
V. Bindraban - 2014
4
Inhoudsopgave I VOORWOORD ..................................................................................................... 2 II MANAGEMENT SAMENVATTING ...................................................................... 3 INHOUDSOPGAVE................................................................................................... 5 1 INTRODUCTIE .................................................................................................... 7 1.1 1.2 1.3 1.4
AANLEIDING ....................................................................................................... 7 VRAAGSTELLING ................................................................................................. 7 ONDERZOEKSMETHODEN .................................................................................... 8 SCOPING EN ONDERZOEK .................................................................................... 8
2 SOCIAL MEDIA IN EEN BUSINESS CONTEXT .................................................. 9 2.1 2.2 2.3 2.4 2.5
INTRODUCTIE ..................................................................................................... 9 INLEIDING IN DIGITALE TRANSFORMATIE................................................................ 9 DEFINITIE EN EIGENSCHAPPEN VAN SOCIAL MEDIA .............................................. 11 TOEPASSING VAN SOCIAL MEDIA DOOR ORGANISATIES ........................................ 13 CONCLUSIE ...................................................................................................... 16
3 RISICOBEHEERSING BIJ SOCIAL MEDIA ....................................................... 17 3.1 3.2 3.3 3.4 3.5 3.6
INTRODUCTIE ................................................................................................... 17 DEFINITIE VAN RISICO(BEHEERSING) .................................................................. 17 RISICO’S MET BETREKKING TOT SOCIAL MEDIA .................................................... 19 GOVERNANCE, RISK(MANAGEMENT) EN COMPLIANCE ......................................... 22 RISICOBEHEERSING VAN SOCIAL MEDIA VOLGENS EEN GRC PERSPECTIEF ........... 23 CONCLUSIE ...................................................................................................... 28
4 PRAKTIJK CASUS: SOCIAL MEDIA IN DE RETAIL SECTOR .......................... 30 4.1 4.2 4.3 4.4 4.5 4.6
INTRODUCTIE ................................................................................................... 30 AANPAK ........................................................................................................... 30 BESCHRIJVING VAN DE ORGANISATIE ................................................................. 30 OBSERVATIES .................................................................................................. 30 BEVINDINGEN ................................................................................................... 31 CONCLUSIE ...................................................................................................... 36
5 ANALYSE VAN BEVINDINGEN ........................................................................ 38 5.1 5.2 5.3 5.4 5.5
INTRODUCTIE ................................................................................................... 38 EVALUATIE PRAKTIJK BEVINDINGEN .................................................................... 38 EVALUATIE SOCIAL MEDIA RISK MITIGATION AND GUIDANCE MODEL ...................... 40 AANBEVELINGEN .............................................................................................. 41 CONCLUSIE ...................................................................................................... 43
6 BEANTWOORDING VRAAGSTELLING ............................................................ 44 6.1 6.2 6.3 6.4
INTRODUCTIE ................................................................................................... 44 BEANTWOORDING VRAAGSTELLING .................................................................... 45 CONCLUSIE ...................................................................................................... 46 BEPERKINGEN EN AANBEVELINGEN VOOR VERDER ONDERZOEK ........................... 47
7 BRONNEN......................................................................................................... 49 V. Bindraban - 2014
5
7.1 GERAADPLEEGDE LITERATUUR .......................................................................... 49 7.2 GERAADPLEEGDE WEBSITES ............................................................................. 50
V. Bindraban - 2014
6
1
Introductie
1.1
Aanleiding
In de afgelopen jaren hebben zich steeds meer digitale communicatie kanalen ontwikkeld. Sinds deze zogenoemde digitale revolutie staat het bedrijfsleven voor grote veranderingen. Eén van de nieuwe opkomende communicatie kanalen en onderdeel van de digitale revolutie is social media. Sinds de opkomst van social media in de jaren negentig lijkt de wereld in termen van communicatie steeds kleiner te worden. Communiceren via tekst, beeld of geluid kan steeds sneller en met een groter bereik. Tegenwoordig maken miljoenen mensen zowel zakelijk als privé op één of andere manier gebruik van social media applicaties zoals Facebook, Twitter, Wikipedia of chat services. Het delen van informatie, foto’s, video’s en geluidsopnames is aan de orde van de dag. Waar traditionele media informatie uitzenden (one-to-many en één richting op), zijn social media meer gericht op interactie (many-to-many en in beide richtingen). Het gebruik van social media heeft de afgelopen 10 jaar een grote vlucht genomen, zodat zelfs de traditionele media de interactieve manier van communiceren hebben geadopteerd. Bijvoorbeeld, het ochtendjournaal heeft een eigen Twitter account. Met de komst van social media kan informatie snel de wereld in worden gestuurd. In veel gevallen kan dit als een voordeel worden gezien, bijvoorbeeld in geval van een ramp of belangrijke gebeurtenis. Echter, schuilt in de communicatie via social media ook een belangrijk nadeel. De informatie wordt namelijk vaak ook ongecontroleerd verspreid. Hierdoor kan vertrouwelijke of privacy gevoelige informatie openbaar worden gemaakt. Tevens kan deze informatie muteren naar onjuiste of onvolledige informatie. Onder andere dit laatste brengt voor het bedrijfsleven risico met zich mee. Gezien de omvang van het gebruik van social media is het haast niet mogelijk om als organisatie dit nieuwe type media te negeren. Mits goed gereguleerd, kunnen organisaties ook de vruchten van het gebruik van social media plukken. Voorwaarde is wel dat relevante risico’s op adequate wijze beheerst worden. Dit onderzoek heeft als uitgangspunt dat een organisatie altijd op één of andere manier met social media wordt geconfronteerd. De centrale vraag heeft betrekking op hoe met social media wordt om gegaan door organisaties. De beheersing van de risico’s omtrent dit type media zal centraal worden gesteld.
1.2
Vraagstelling
Velen zijn mij voorgegaan die de risico’s op het gebied van social media onderkennen, maar een stuk minder vaak zijn modellen beschreven om deze risicogebieden te beheersen. In deze studie zal dit type van risicobeheersing dan ook besproken worden in de vorm van de volgende hoofdvraag: Hoe kunnen risico’s voor organisaties ten aanzien van de omgang met social media worden beheerst? Om de hoofdvraag te kunnen beantwoorden zijn een aantal deelvragen geformuleerd: 1. Wat zijn de gangbare toepassingen en processen voor organisaties om met social media om te gaan? De mogelijke toepassingen van social media door organisaties worden in kaart gebracht ten einde uit te vinden op welke vlakken naar risico’s gezocht dient te worden. Deze deelvraag zal middels literatuurstudie worden beantwoord. 2. Welke risico’s zijn verbonden aan het toepassen van social media binnen organisaties en hoe kunnen deze worden beheerst?
V. Bindraban - 2014
7
Op basis van de geïdentificeerde toepassingen, kunnen risico’s met betrekking tot het gebruik van social media worden omschreven. De risico’s met betrekking tot social media zijn op verschillende niveaus te onderkennen. In het kader van risicobeheersing zal een model worden omschreven die de risico’s adresseert en richtlijnen omschrijft om deze te beheersen. 3 Hoe wordt in de praktijk met de risico’s omtrent social media omgegaan? Op basis van het bestuderen van een praktijk situatie zal worden vastgesteld hoe een organisatie met social media omgaat. Hiervoor zal het model dat als onderdeel van deelvraag 2 is omschreven het startpunt zijn. 4. Welke aanbevelingen voor verbetering van risicobeheersing met betrekking tot social media kunnen worden gedaan? De risico’s die in de theorie worden geïdentificeerd hoeven in de praktijk niet als zodanig te worden onderkend. Voor de beantwoording van deze deelvraag zullen de bevonden theoretische concepten worden vergeleken met de waarnemingen uit de praktijksituatie. Vervolgens worden aanbevelingen gedaan en aandachtspunten geformuleerd aangaande het verbeteren van de risicobeheersing omtrent social media.
1.3
Onderzoeksmethoden
In deze studie wordt gebruik gemaakt van verschillende onderzoeksmethoden. Allereerst zal literatuurstudie worden uitgevoerd, vervolgens wordt brondocumentatie vanuit de organisatie bestudeerd en online onderzoek naar de organisatie uitgevoerd. Vervolgens zal empirisch onderzoek middels een case studie en interviews worden uitgevoerd.
1.4
Scoping en onderzoek
Verschillende typen organisaties hebben verschillende risicoprofielen wat betreft de toepassing van social media. De praktijkcasus in deze studie is afgebakend op één organisatie binnen de retail sector.
V. Bindraban - 2014
8
2
Social media in een business context
2.1
Introductie
In de afgelopen jaren heeft het bedrijfsleven grote veranderingen doorgemaakt, die zich alsmaar voortzetten als gevolg van ontwikkelingen in de digitale wereld. Eén van deze nieuwe ontwikkelingen betreft de opkomst van social media. Dit type media heeft de manier van communiceren drastisch veranderd in zowel de publieke wereld als in de zakelijke wereld. Social media zijn bij de meesten bekend in de vorm van sociale netwerksites als FaceBook of LinkedIn. Deze term omvat echter nog veel meer, zoals het delen van videobeelden, afbeeldingen, tekst en geluid in applicaties als YouTube, Pinterest en Skype. Het scala aan social media applicaties zal verder worden toegelicht in sectie 2.2. In dit hoofdstuk zal eerst stil worden gestaan bij de impact die de digitale ontwikkeling op de zakelijke wereld heeft. Daarna zal worden ingezoomd op social media met een definitie van dit type media en zijn algemene karakteristieken. Vervolgens zullen mogelijke toepassingen van social media in de praktijk worden toegelicht. In dit hoofdstuk zal de volgende (deel)vraag worden beantwoord: Wat zijn de gangbare toepassingen en processen voor organisaties om met social media om te gaan?
2.2
Inleiding in digitale transformatie
Gedurende de afgelopen jaren hebben zich enorme ontwikkelingen in de digitale wereld voorgedaan. De wereld wordt steeds mobieler, interactiever en socialer door de introductie van toepassingen zoals social media, apps (programma’s die kunnen draaien op mobiele apparaten) en big data (analyse van grote hoeveelheden data)[SOL14]. Dit soort ontwikkelingen maken het mogelijk sneller te communiceren, meer mensen te bereiken en globaal te opereren [AND12]. Bovenstaande ontwikkelingen hebben ook een grote impact op het bedrijfsleven. Om als bedrijf gebruik te kunnen maken van de nieuwe ontwikkelingen, moet het bedrijf een proces door dat bekend staat als de ‘digitale transformatie’. Dit houdt in dat organisaties door middel van de technologische ontwikkeling hun bedrijfsprocessen efficiënter trachten te maken [WES11]. Hiervoor is het zaak dat de business en de IT omgeving goed op elkaar zijn afgestemd. Oftewel, de IT moet de business optimaal kunnen ondersteunen. Aangezien de business snel veranderende eisen en wensen heeft, dient de IT snel te kunnen schakelen en zich hierop te kunnen aanpassen. Voor veel organisaties is dit een moeilijke opgave. Volgens onderzoek van Capgemini [WES11] onder 50 organisaties blijkt dat in 50% van de gevallen de vertraging van de digitale transformatie is te wijten aan een ineffectief opererende IT omgeving. Indien de digitale transformatie wel goed verloopt, kunnen een aantal voordelen worden behaald. Voorbeelden van voordelen als gevolg van digitale transformatie zijn [SOL14]: • • • • • •
creëren van groter concurrentievoordeel; realiseren van verhoogde klantenbinding; gebruik van betere interne samenwerkingsmogelijkheden; realiseren van verhoogde efficiëntie; toepassing van geavanceerde data analyse technieken door middel van big data en; creëren van verhoogde motivatie bij werknemers.
Omdat de scope van dit onderzoek zich beperkt tot de retail sector, volgt een korte toelichting op hoe bovenstaande aspecten tot uiting kunnen komen in de retail sector. Creëren van groter concurrentievoordeel / realiseren van verhoogde klantenbinding De veranderingen in de digitale wereld zijn ook de consument niet ontgaan. Vroeger konden klanten zich uitsluitend in de winkel laten informeren over producten. Tegenwoordig kan dit V. Bindraban - 2014
9
steeds meer online door middel van vergelijkingssites of review sites waar bedrijven en particulieren hun mening over producten kwijt kunnen. Hierdoor is de consument beter in staat zich te laten informeren alvorens een product aan te schaffen [OCA03]. Deze ontwikkeling heeft het verkrijgen van informatie makkelijker en transparanter gemaakt. De introductie van webwinkels heeft ervoor gezorgd dat men ook producten kan bekijken en bestellen bij winkels die ze niet fysiek kunnen bezoeken, bijvoorbeeld in het buitenland. De consument heeft nu dus veel meer keuze uit producten en diensten en kan meer informatie over de producten en diensten ontvangen en delen. De markt is hierdoor een stuk groter en transparanter is geworden. De transparantie die de twee hierboven omschreven ontwikkelingen met zich meebrengen zorgt ervoor dat organisaties die eerst geen concurrent van elkaar waren, dit nu wel kunnen zijn. Door bewust om te gaan met de omschreven ontwikkelingen kunnen organisaties een groter concurrentievoordeel behalen door zich niet alleen te richten op de markt die fysiek dichtbij ligt. Een ander voorbeeld is dat het verlenen van uitzonderlijke service nu sneller bekend kan worden. Hier kan de organisatie op inspelen. Andersom kunnen ook de klachten over de concurrenten inzichtelijk worden gemaakt. Een bedrijf kan er voor zorgen dat deze klachten worden opgelost, voordat deze over het eigen bedrijf ontstaan. Klantenbinding is een andere factor die het concurrentievoordeel kan verhogen. Door de verschillende manieren van klantondersteuning, zoals een webcare team die klanten via de website te woord staat, wordt ook de klantenbinding verhoogd. De klant vindt het immers fijn om snel en laagdrempelig geholpen te worden. Daarnaast kan de organisatie klanten aan zich binden door gericht reclame te maken. Het voorbeeld omtrent de klantenkaart, die omschreven wordt in de sectie ‘ Geavanceerde data analyse technieken door middel van big data’, is een ander voorbeeld van het creëren van klantenbinding. Door de grote hoeveelheden data te analyseren kunnen gericht aanbiedingen aan een klant worden gedaan. Betere interne samenwerkingsmogelijkheden / verhoogde efficiëntie Door de toepassing van bijvoorbeeld teleconferencing en het online delen van informatie kunnen medewerkers gemakkelijker met elkaar samenwerken op grote afstand [W7]. Hierdoor is het mogelijk om specifieke taken uit te besteden naar landen met goedkopere krachten, zonder hier de regie over te verliezen. Tevens wordt het voor organisaties die globaal opereren makkelijker om met andere landen te communiceren, zonder hier fysiek naar toe te hoeven reizen. Hierdoor kunnen kosten worden bespaard, maar ook bijvoorbeeld duurzamer worden gewerkt. Op de hedendaagse strategische agenda is duurzaamheid een hoogstaand item. Een voorbeeld uit de retail sector van deze kostenbesparing en duurzaamheid is dat voor een specifieke winkelketen nu de inventaris van alle filialen in een gebied inzichtelijk wordt. Zo kan de klant beter bediend worden en kunnen producten efficiënter worden gedistribueerd. Geavanceerde data analyse technieken door middel van big data Big data is tegenwoordig een belangrijke bron van waarde creatie binnen een organisatie. Deze helpt organisaties om meer maatschappelijke waarde en financiële winst te behalen door het analyseren van grote hoeveelheden data [W10]. Het analyseren van grote hoeveelheden data stelt de organisatie in staat om nieuwe inzichten en betere voorspellingen te kunnen doen [W12]. In de retail sector kan, doordat data geanalyseerd wordt, het koopgedrag van de klanten worden geanalyseerd en voorspeld. Hierdoor kan gericht reclame worden gemaakt of aanbiedingen worden gedaan (bijvoorbeeld via social media). Daarnaast kunnen bijvoorbeeld producten efficiënter gedistribueerd worden om opslag- en transportkosten te verlagen. Een voorbeeld van de toepassing van big data is de inzet van een klantenkaart. Hierbij krijgt de klant vaak korting op producten of kan deze sparen voor gratis producten. Daar staat tegenover dat het koopgedrag van deze klant inzichtelijk is doordat elke transactie die deze klant doet aan de kaart wordt gekoppeld. Winkels kunnen zo per geografisch gebied bepalen welke producten het beste verkopen of in welke seizoenen de producten het beste aanslaan. Een andere populaire toepassing van data analyse is de data die op social media worden gedeeld over een bedrijf op te vangen en te analyseren. V. Bindraban - 2014
10
Verhoogde motivatie bij werknemers Medewerkers maken in hun vrije tijd vaak gebruik van mobiele apparaten zoals tablets of smartphones. Deze apparaten worden voor uiteenlopende doeleinden gebruikt zoals bellen, berichten versturen, mailen of het nieuws lezen, maar ook om de weg te vinden of te kijken hoe laat de film in de bioscoop begint. Een andere veelgebruikte toepassing is het raadplegen van social media sites, zoals Facebook, Twitter of LinkedIn. Deze voorbeelden illustreren dat de mobiele apparaten een belangrijke rol spelen in de dagelijkse communicatie en informatievoorziening. Uit onderzoek van Capgemini [WES11] blijkt dat werknemers de vraag stellen waarom zij dit soort apparaten en social media niet op het werk kunnen gebruiken. Als de werknemers in staat worden gesteld om bijvoorbeeld mobiel te werken, zoals zij gewend zijn, zal dit de motivatie mogelijk verhogen. Echter, het doorvoeren van een dergelijke verandering kan ook een omgekeerd effect hebben. Er kan namelijk weerstand ontstaan bij medewerkers over het werken met nieuwe technologie [SETND]. Dit komt onder andere door een aantal psychologische factoren. Het toelichten van deze factoren ligt te ver van de scope van dit onderzoek af. Eén van de componenten die een grote rol spelen binnen de digitale transformatie is het communicatiekanaal social media. Uit onderzoek van Capgemini onder verschillende grote organisaties blijkt dat de toepassing van social media voor het verkrijgen van de klantervaring in 62% van de gevallen door organisaties wordt gebruikt. Voor operationele processen is dat 52% [WES11]. Gezien deze voordelen zullen organisaties vroeg of laat moeten nadenken over of zij meewillen in deze digitale transformatie en zal de strategie moeten worden aangepast op de veranderingen. Elk bedrijf hanteert hierbij zijn eigen tempo [INT01]. De digitale transformatie brengt echter niet alleen maar voordelen met zich mee. Er komen ook een heleboel nieuwe risico’s bij kijken. In dit onderzoek zal worden ingegaan op de risico’s die worden geassocieerd met social media [W7]. Het vervolg van dit onderzoek zal zich dan ook toespitsen op social media. In de volgende paragraaf zullen wij stilstaan bij de definitie en karakteristieken van social media.
2.3
Definitie en eigenschappen van social media
Social media kunnen worden gedefinieerd als een set van online toepassingen die zijn ontworpen met als hoofddoel ‘interactie’. Enkele bekende voorbeelden van social media zijn [WAR08; DWY07; DIM08; VOS05] : • • • • • •
netwerk sites zoals FaceBook en LinkedIn; (micro)blogs zoals Twitter; social sharing diensten zoals Youtube en Flickr; text messaging zoals Whatsapp en Snapchat; voice over IP zoals Skype, en; samenwerkingstools zoals wiki’s en google docs.
Kenmerkend voor social media ten opzichte van traditionele media is dat de content door gebruikers wordt aangemaakt en gedeeld. Zoals de hierboven genoemde voorbeelden illustreren, kan deze content zowel tekst, geluid als beeld bevatten [SAF10]. Daarnaast zijn social media, zoals de hieronder beschreven eigenschappen bevestigen, gebaseerd op interactie tussen mensen [BER11]. Hiermee wordt bedoeld dat de content die op de media wordt geplaatst kan worden besproken en/of beoordeeld door medegebruikers. Behalve deze eigenschappen hebben de toepassingen nog een aantal gemeenschappelijke kenmerken, namelijk het bevorderen van [BER11; AUL10; POR08; COO08]: • • •
communicatie tussen verschillende individuen, zowel one-to-one als one-to-many; kennisdeling, bijvoorbeeld tussen verschillende projectgroepen; samenwerking waarbij de social media het platform vormen dat het samenwerken vereenvoudigt. Door bijvoorbeeld het gebruik van een wiki kunnen meerdere mensen tegelijkertijd aan hetzelfde document werken;
V. Bindraban - 2014
11
•
verbinding tussen verschillende individuen om bijvoorbeeld personen te vinden met specifieke interesses of kennis.
De belangrijkste eigenschap is dat in alle gevallen de informatie door de gebruiker zelf wordt gecreëerd en beheerd [KAP10]. De toepassingen die social media met zich meebrengen, kunnen op verschillende manieren gecategoriseerd worden. De Canadese organisatie SEO heeft voor de volgende assen gekozen: • • • •
conversatie; publicatie; delen, en; participatie.
Afbeelding 1 illustreert de variëteit van social media met voorbeelden van de diensten. Dit onderzoek richt zich op de sectoren met betrekking tot het delen en publiceren van informatie en het bouwen van relaties (zoals aangegeven met de blauwe, rechthoekige omlijning).
Afbeelding 1: Social media overzicht [W1]
Voorbeelden van diensten die bedoeld zijn om relaties op te bouwen zijn social networking sites zoals Facebook en LinkedIn (een netwerksite voor zakelijke connecties). Dit zijn de diensten waar men met elkaar in contact komt en foto’s, video’s en ervaringen kan delen. Het hoofddoel blijft hier wel een zo groot mogelijk netwerk te creëren en met elkaar in contact te staan. Ter illustratie van het bereik van sociale netwerken en de kracht van het netwerk volgt een voorbeeld omtrent de Facebook pagina van zangeres Shakira. Het aantal volgers van haar Facebook pagina is gedurende het schrijven van dit onderzoek van 80 miljoen volgers naar ruim 104 miljoen volgers gegaan. Hoewel dit een extreem voorbeeld is, kan men zich een voorstelling maken van de impact van een bericht die door een persoon wordt geplaatst.
V. Bindraban - 2014
12
Voorbeelden van diensten die als hoofddoel hebben om informatie te publiceren en delen zijn bijvoorbeeld YouTube (video deelsite) en Flickr (foto deelsite). Bij deze diensten kan men ook netwerken, maar dat is niet het hoofddoel. De volgende situatie illustreert de samenhang tussen de sociale netwerken en de content sharing diensten. Tegelijkertijd wordt het enorme bereik van een kanaal als YouTube geïllustreerd. Organisatie Castrol Oil heeft een reclame op YouTube geplaatst. Dezelfde video staat twee keer op de site. Echter, de versie die is gedeeld op de Facebook pagina van de bekende voetballer die in het filmpje voorkomt, is meer dan 16 miljoen keer bekeken. Het exact zelfde filmpje dat niet op Facebook is gedeeld door deze voetballer is ‘slechts’ 15 duizend keer bekeken. In beide gevallen wordt een enorm publiek bereikt, maar deze grote voetballer, met ruim 40 miljoen Facebook volgers, bereikt een publiek dat vergelijkbaar is met de complete Nederlandse bevolking. De eerder genoemde gemeenschappelijke eigenschappen van social media zijn dus ook van toepassing op deze voorbeelden: op een netwerksite wordt ook media of data gedeeld en op deelsites kan ook worden genetwerkt. Het accent van de dienst ligt alleen anders.
2.4
Toepassing van social media door organisaties
Binnen organisaties worden social media al jarenlang, al dan niet bewust toegepast. Veelvoorkomende toepassingen die social media faciliteren binnen organisaties zijn [BIN11; QUA12; KAP11]: • • • • • • • • • •
delen en archiveren van informatie; netwerken; communicatie; marketing; continuous monitoring; data analyse; creëren van thought leadership; creëren van concurrentievoordeel; recruitment, en; training en opleiding.
Deze toepassingen illustreren dat social media in twee perspectieven kunnen worden gebruikt, namelijk het interne perspectief (binnen de organisatie) [FRA08] en het externe perspectief (vanuit de organisatie naar buiten en andersom) [SCH09]. Vanuit het interne perspectief is de doelgroep alleen de medewerkers binnen een organisatie. Veelvoorkomende redenen om interne social media te gebruiken, zijn het bevorderen van kennisdeling en samenwerking om de productiviteit van de medewerkers te verhogen [HER13]. Informatie kan vanuit het interne perspectief worden gedeeld en uitgewisseld via bijvoorbeeld Sharepoint omgevingen, office communicator systemen of interne sociale netwerken. Vanuit het externe perspectief wordt gekeken naar media waarbij de gebruikers zich zowel binnen als buiten de organisatie bevinden, zoals klanten, partners en leveranciers [HER13]. Hier vallen de sociale netwerken zoals Facebook en LinkedIn onder, maar ook YouTube en Twitter zijn hier een voorbeeld van. De hierboven genoemde toepassingen zullen hieronder worden toegelicht. Delen en archiveren van informatie (intern gebruik) Middelen als Sharepoint, blogs en wikis worden al jaren ingezet voor het efficiënt delen en archiveren van informatie. Deze middelen stellen de gebruiker in staat om op een virtuele centrale plaats informatie te creëren en op te slaan. Het voordeel van het gebruik van deze middelen is dat men zonder veel technische kennis over het medium samen kan werken op een gecentraliseerde plaats. Afbeeldingen 2 en 3 illustreren het gebruik van social media (wiki) bij het delen en archiveren van informatie ten opzichte van een minder moderne oplossing, zoals e-mail: V. Bindraban - 2014
13
Afbeelding 2 en 3: Verschil tussen wiki en e-mail [BIN11]
Waar bij het gebruik van e-mail meerdere versies van een document bestaan, die langs elkaar heen kunnen gaan, is dat in geval van het gebruik van een sharepoint, wiki of blog slechts één bestand op een vaste locatie. Een veelvoorkomende irritatie omtrent versiebeheer wordt hiermee opgelost. De pagina’s kunnen toegankelijk worden gemaakt voor specifieke groepen mensen. Er kan onderscheid worden gemaakt in het toekennen van lees- en schrijfrechten. Tevens kan de omgeving zowel zelf (intern) worden ingericht als worden gehuurd bij externe partijen [BIN11]. Netwerken (intern/extern gebruik) Met de groei van het gebruik van smartphones binnen organisaties groeit ook het gebruik van corporate netwerksites (deze kunnen worden vergeleken met een interne variant van Facebook). De media worden vaak ingezet om medewerkers in grote organisaties vindbaar te maken, maar ook om relevante content te delen over bijvoorbeeld meerdere landen. Daarnaast worden netwerken gebruikt om met klanten te communiceren [BIN11]. Een voorbeeld uit de retailsector is het onderhouden van klantcontact door middel van polls of prijsvragen. Bevorderen van communicatie (intern/extern gebruik) Zoals eerder genoemd is één van de karakteristieken van social media dat communicatie wordt bevordert. Specifieke toepassingen die voornamelijk bedoeld zijn om communicatie te bevorderen zijn chat services of conferentietools. Deze tools stellen mensen in staat op een snelle manier met elkaar te communiceren, maar ook om vergaderingen op afstand te voeren middels camera’s en microfoons [BIN11]. Communicatie wordt ook extern toegepast door bedrijven, door het inrichten van webcare teams. Deze teams houden zich bezig met het onderhouden van klantcontact, opsporen van klachten en informatie verschaffen aan de klant middels bijvoorbeeld chat applicaties of netwerksites [INT01]. Marketing (extern gebruik) Een veelvoorkomende toepassing van social media is marketing [NET11]. Dit werkt twee kanten op, namelijk vanuit de organisatie naar de buitenwereld en andersom. Door gericht advertenties of aanbiedingen aan klanten te doen, staat het bedrijf in contact met de buitenwereld. Slimme technologie plaatst ook nog eens relevante content op basis van het internet gedrag van de gebruiker [W11]. Vanuit de organisatie zelf kunnen trendanalyses worden uitgevoerd op de sociale netwerk pagina’s van hun klanten. Met deze informatie kunnen zij erachter komen wat zich in het leven van de klant afspeelt, om zo producten beter af te kunnen stemmen op de wensen van de klant en gericht aanbiedingen te doen [ZEN10]. Continious monitoring (extern gebruik) Hoewel nog steeds organisaties bestaan die zich niet met social media bezig willen houden, komt steeds meer het besef dat dit type media niet buiten de deur kan worden gehouden. Dat de organisatie zelf niet op social media actief is, betekent namelijk niet dat anderen niet over
V. Bindraban - 2014
14
de organisatie communiceren op social media. Als organisatie zal hier je op één of andere manier op moeten reageren. Door het gebruik van zogenoemde ‘web analyzers’ wordt het internet afgezocht naar informatie die over de organisatie wordt gedeeld. Deze web analyzers zoeken het internet af op zoek naar termen die vooraf zijn gedefinieerd in een woordenlijst. Doordat op sociale netwerkpagina’s en fora veel kennis omtrent producten of diensten wordt gedeeld, is het waardevol voor een organisatie deze media te volgen. De organisatie kan zo inspelen op patronen van bijvoorbeeld klachten over producten, maar er kan ook snel worden gereageerd op de klant. Het is meer dan eens voorgekomen dat door de snelle reactie van het social media team binnen een organisatie een mediaschandaal is beperkt of zelfs kon worden voorkomen. Data analyse (extern gebruik) De grote hoeveelheden data die worden gegenereerd op social media bevatten waardevolle informatie omtrent wat er leeft onder het grote publiek. De data kunnen worden geanalyseerd om te onderzoeken hoe een merk in de markt staat of wat de perceptie en mening van de gebruikers is [CAL12;HOL14]. Door de informatie die wordt verkregen uit data analyse kan de organisatie beter inspelen op de eisen en wensen van de klant. Deze toepassing staat ook beschreven in de sectie ‘Het gebruik van geavanceerde data analyse technieken met behulp van big data’ eerder in dit hoofdstuk. Creëren van concurrentievoordeel (extern gebruik) In een vorige sectie is toegelicht dat organisaties monitoring kunnen toepassen op communicatie over de eigen organisatie. Een vergelijkbare monitoring kan ook worden toegepast op concurrenten. Op deze manier kan de organisatie in de gaten houden wat zich afspeelt bij hun concurrenten, bijvoorbeeld welke klachten de gebruikers van concurrerende producten of diensten ervaren. Deze informatie kan weer gebruikt worden om de eigen producten of diensten te verbeteren. Een andere manier om concurrentievoordeel te creëren middels het gebruik van social media is beschreven in de sectie ‘Marketing’. Door dichter bij de klant te staan en hun wensen eerder te bedienen dan de concurrent kan concurrentievoordeel worden behaald. In de sectie over data analyse is een derde manier om concurrentievoordeel te behalen toegelicht. Creëren van thought leadership (intern/extern gebruik) Doordat social media een groot publiek bereiken, zijn deze uitermate geschikt om jezelf als persoon of als organisatie te profileren. De corporate netwerk sites stellen de individuele gebruiker in staat om zijn expertise te uiten, terwijl de publieke social media bedrijven in staat stellen een breed publiek te bereiken met bijvoorbeeld artikelen of web conferenties over hun expertise gebied [BEL13]. Werving en selectie van medewerkers (extern gebruik) Het werven en selecteren van medewerkers via social media kent verschillende vormen. Vacatures worden gericht op sociale netwerken geplaatst om zo een bepaalde doelgroep te bereiken en/of wervingscampagnes worden via social media gevoerd. Verschillende bedrijven hebben een ‘recruitment’ sociale netwerk pagina waarop de laatste ontwikkelingen van het bedrijf staan, maar ook bijvoorbeeld tips om te solliciteren of een CV op te stellen. Een derde toepassing is het zogenaamd ‘screenen’ van een kandidaat die in een sollicitatie traject zit. De werkgever kijkt dan hoe het ‘digitale leven’ van de kandidaat er uitziet door foto’s en commentaar op sociale netwerk sites, blogs en content-sharing websites te bekijken. Het debat of dit ethisch te verantwoorden valt, is al enige tijd gaande. Training en opleiding (intern gebruik) Door middel van het aanbieden van ‘serious games’, online simulaties waarin specifieke situaties worden gesimuleerd, kunnen medewerkers worden getraind om op een bepaalde manier te handelen. Dit varieert van het volgen van een online training omtrent bedrijfsbeleid tot trainingen hoe te handelen in geval van calamiteiten voor bijvoorbeeld een reddingsdienst.
V. Bindraban - 2014
15
2.5
Conclusie
In de inleiding van dit hoofdstuk is kort stilgestaan bij het begrip digitale transformatie en de rol die social media hierbij spelen. Vervolgens is uiteengezet wat social media inhouden en wat de hoofdkarakteristieken zijn. Daarbij is geïllustreerd dat social media een breed scala aan applicaties omvatten met verschillende doeleinden zoals conversatie, publicatie, delen en participatie. Tevens is een aantal veelvoorkomende toepassingen van social media in organisaties omschreven. Social media worden binnen organisaties voornamelijk gebruikt als hulpmiddel om elkaar gemakkelijk te vinden en samenwerking, kennisdeling en commercie te bevorderen. Social media kunnen zowel binnen de organisatie worden toegepast als vanuit de organisatie naar de buitenwereld. Specifieke toepassingen van social media in het bedrijfsleven zijn: • • • • • • • • • •
delen en archiveren van informatie, middels bijvoorbeeld de toepassing van een wiki; netwerken, middels bijvoorbeeld de toepassing van Facebook of LinkedIn; communicatie, middels bijvoorbeeld Office Communicator systemen; marketing, middels bijvoorbeeld adverteren of social media sites; continuous monitoring, middels bijvoorbeeld web analyzing software; data analyse, door grote hoeveelheden informatie vanuit social media te analyseren; creëren van thought leadership, door bijvoorbeeld het publiceren van artikelen op sociale netwerken; creëren van concurrentievoordeel, door de klant beter te leren kennen aan de hand van zijn social media activiteiten; recruitment, door op sociale netwerken vacatures te plaatsen, en; training en opleiding binnen de organisatie.
Met de uitwerking van deze punten is de volgende deelvraag beantwoord: Wat zijn de gangbare toepassingen en processen voor organisaties om met social media om te gaan? In het volgende hoofdstuk zal verder worden ingegaan op de risico’s die zijn verbonden aan het toepassen van social media door organisaties en de wijze waarop deze risico’s kunnen worden beheerst.
V. Bindraban - 2014
16
3
Risicobeheersing bij social media
3.1
Introductie
Het van oorsprong ongecontroleerde karakter van social media brengt verschillende risico’s met zich mee, onder andere op het gebied van betrouwbaarheid en vertrouwelijkheid van informatie. Doordat social media gebruikers gegenereerde content bevatten, dat vol kan staan met mening en emotie, is deze informatie vaak gekleurd van aard. Tevens is een groot deel van de gebruikers zich niet bewust van het enorme publiek dat zij bereiken met hun geplaatste content. Voor content die wordt geplaatst op publieke social media geldt daarbij dat de informatie in de meeste gevallen permanent online blijft staan. Een uitspraak ongedaan maken is dus heel erg lastig. Alvorens in te gaan op de risico’s die social media met zich meebrengen voor organisaties, zal eerst een definitie van risico(beheersing) worden besproken. Vervolgens zal een model worden toegelicht hoe risico’s met betrekking tot social media te beheersen. Dit model dient als kapstok voor de praktijkcasus verderop in deze thesis. Het model benadert social media vanuit een Governance, Risk en Compliance perspectief, waar ook een sectie aan gewijd is in dit hoofdstuk. Het model is afgeleid uit een namens presentatie ISACA van Khan & Wyatt genaamd ‘social media risk and mitigation guidance’. Om deze reden zullen wij aan het model refereren als het ‘social media risk and mitigation guidance model’. In dit hoofdstuk zal de volgende (deel)vraag worden beantwoord: Welke risico’s zijn verbonden aan het toepassen van social media door organisaties en hoe kunnen deze worden beheerst?
3.2
Definitie van risico(beheersing)
‘Een risico is de mogelijkheid dat een bepaalde gebeurtenis plaatsvindt waarbij de organisatie kans heeft een positief (winst) dan wel een negatief (verlies) effect te bereiken’ [ILP12]. Het Nederlands Woordenboek voegt hier nog aan toe dat een risico een effect is dat schade of verlies met zich meebrengt [W2]. In het model dat later in dit hoofdstuk toegelicht wordt, zullen wij die risico’s beheersen die een negatief effect hebben. Wij zullen in het vervolg van deze studie dus als over een risico wordt gesproken, een risico met enige vorm van schade of verlies bedoelen. Risico’s kunnen op verschillende manieren worden geclassificeerd. Deze classificatie hangt af van de kans dat een risico optreedt en de grootte van het verlies dat het optreden van het risico met zich meebrengt [FIJ08]. De onderstaande matrix beschrijft één van de manieren om risico’s te classificeren. Deze matrix zet de mate van verlies en de kans op optreden tegen elkaar af. Bijvoorbeeld, een risico waarvan de kans op optreden groot is en het verlies hoog wordt als ‘onacceptabel’ geclassificeerd. Een risico met een kleine kans op optreden en een laag verlies is geclassificeerd als ‘irrelevant’.
V. Bindraban - 2014
17
Afbeelding 4: Risicomatrix [gebaseerd op FIJ08]
Elke organisatie heeft te maken met risico’s van verschillend formaat. Zoals geïllustreerd, kan dit zijn met een grote of kleine kans van optreden of van hoog of laag verlies. Daarnaast kent men ook verschillende typen risico’s, bijvoorbeeld strategische risico’s (risico’s die zich afspelen op strategisch niveau of het gevolg zijn van strategische beslissingen) of financiële risico’s (risico’s die de organisatie potentieel een financieel verlies opleveren). Deze dienen allemaal beheerst te worden. Hoe deze risico’s beheerst worden, hangt af van de ‘risk appetite’ van de organisatie. De risk appetite wordt gedefinieerd als de hoeveelheid risico die de organisatie bereid is te nemen in het nastreven van zijn doelen [PAG08]. Op basis van de risk appetite wordt een risico analyse gedaan om vast te stellen welke aanpak wordt gehanteerd om de risico’s te beheersen. Risicobeheersing Risicobeheersing (ook wel riskmanagement genoemd) wordt gedefinieerd als de manier waarop en mate waarin de risico’s en hun gevolgen worden beheerst [W3]. Er kan op verschillende manieren met risico’s worden omgegaan, namelijk [FIJ08]: • • • •
vermijden; mitigeren; verplaatsen, of; accepteren.
Vermijden Door het vermijden van de activiteiten die aan het risico verbonden zijn, zal het risico zich niet voordoen. In de context van social media is deze manier van omgaan met risico’s niet altijd geschikt. Social media bevinden zich namelijk over het hele internet en draaien constant door. Hierdoor vallen risico’s op het gebied van social media vaak niet te vermijden. Mitigeren Door middel van de implementatie van beheersmaatregelen kunnen de risico’s worden gereduceerd.
V. Bindraban - 2014
18
Verplaatsen Door activiteiten door derde partijen te laten uitvoeren, worden de risico’s die geassocieerd worden met de activiteiten ook verplaatst naar de derde partij. Accepteren In sommige gevallen zijn de kosten voor het mitigeren, vermijden of verplaatsen van een risico hoger dan de kosten van het optreden van het risico. In zulke gevallen kan men ervoor kiezen om het risico te accepteren. Dit houdt in dat men een overweging heeft gemaakt of de kans op optreden van het risico en de bijbehorende schade minder middelen (bijvoorbeeld tijd of geld) kost dan het mitigeren, verplaatsen of vermijden van het risico. Door middel van het uitvoeren van een risico analyse kan men bepalen welke aanpak wordt gekozen om de risico’s te beheersen. In de volgende paragraaf zullen de risico’s met betrekking tot social media worden toegelicht.
3.3
Risico’s met betrekking tot social media
Risico’s kunnen op verschillende manieren worden geclassificeerd. Eerder hebben wij de voorbeelden strategische en financiële risico’s benoemd. Echter, bij het beheersen van risico’s omtrent social media in deze studie gebruiken wij een andere verdeling, namelijk [STE13]: • • • •
governance risico’s; compliancy risico’s; ethische risico’s en; technologische risico’s.
Governance risico’s: Governance kan worden gedefinieerd als de cultuur, het beleid, de procedures en wet- en regelgeving die de structuur definiëren op welke manier een organisatie gemanaged wordt[RAS08]. Governance risico’s hebben betrekking op de manier van besturing en managen van de organisatie. Compliancy risico’s: Compliance kan gedefinieerd worden als het voldoen aan externe wet- en regelgeving, maar ook interne regelgeving [RAS08]. Compliancy risico’s hebben betrekking op het naleven van wet- en regelgeving, interne beleidsrichtlijnen of branche-specifieke beleidsrichtlijnen. Technologische risico’s: Deze risico’s hebben betrekking op de beschikbaarheid en betrouwbaarheid van middelen als netwerken of mobiele apparaten [JAL12]. Ethische risico’s: Ethiek houdt zich bezig met het stellen van criteria omtrent het bepalen of een bepaalde handeling als goed of als fout dient te worden bestempeld en om de motieven omtrent het handelen te kunnen evalueren [W4]. Ethische risico’s hebben betrekking op morele dilemma’s en bevinden zich daarom over het algemeen in een grijs gebied. Onderstaande tabellen benoemen en omschrijven de risico’s met betrekking tot social media. Een aantal risico’s zullen meerdere keren worden benoemd. Dit heeft te maken met het feit dat de risico’s voor meerdere typen toepasbaar zijn.
V. Bindraban - 2014
19
Governance risico’s Naam risico Risico omschrijving Reputatie- / imago-schade [STE13; Een incident van elke afmeting kan breed uit JUE13] worden gemeten in social media, waardoor imago- en reputatie-schade kan worden opgelopen. Tevens kan een ieder zich voordoen als de organisatie en namens de organisatie content plaatsen die de organisatie of merknaam schaadt. Informatie die eigenlijk tot de organisatie toebehoort, lekt door de virtuele muren van de organisatie heen door publicatie op social media. Indien de social media uiting van de concurrenten niet wordt gevolgd of concurrentiegevoelige informatie uitlekt, kan een verlies van competitive advantage optreden. Indien privé social media en zakelijke social media door elkaar worden gebruikt, bestaat het risico dat klant- / bedrijfsgegevens publiekelijk worden.
Informatie lek [JUE13]
Verlies van competitive advantage
Privacy schending [STE13]
Andersom kan de organisatie van de medewerker verwachten in zijn privéleven specifieke content wel of niet te plaatsen. Tabel 1: Governance risico’s
Naam risico Schending wet- en regelgeving [JAL2012]
Compliancy risico’s Risico omschrijving Verschillende branches hebben van rechtswege verschillende wetten met betrekking tot informatiebeveiliging, waar zij aan zich dienen te houden. Door het weglekken van informatie van binnen een organisatie kunnen deze wetten geschonden worden. Bedrijven die in verschillende landen opereren, lopen een groter risico op schending van wet- en regelgeving, vanwege de verschillende jurisdicties.
Schending bedrijfsbeleid [JUE13] Schending [JUE13]
contractuele
Privacy schending [STE13]
V. Bindraban - 2014
verplichtingen
Anderzijds beschrijft de wet de rechten en plichten van werknemers. In een poging het social media gebruik te kunnen monitoren, kunnen bedrijven hier niet aan voldoen. Schendingen van afspraken gemaakt in het (hogere) bedrijfsbeleid. Schendingen van afspraken gemaakt in contracten of Service Level Agreements. Indien privé social media en zakelijke social media door elkaar worden gebruikt, bestaat het risico dat klant- / bedrijfsgegevens publiekelijk worden. 20
Andersom kan de organisatie van de medewerker verwachten in zijn privéleven specifieke content wel of niet te plaatsen. Tabel 2: Compliancy risico’s
Naam risico Hiring/Firing
Ethische risico’s Risico omschrijving Dit risico wordt voornamelijk door de werknemer gelopen en heeft betrekking op de scheiding tussen zakelijk en privé. Organisaties kunnen via social media de gangen van een sollicitant in zijn vrije tijd nagaan en deze al dan niet meenemen in het beoordelingsproces. Tevens kunnen activiteiten in de vrije tijd van de medewerker worden gezien als schending van het imago van het bedrijf of in tegenspraak zijn met het bedrijfsbeleid. Een veelbesproken vraag is of deze ‘social spying’ op het privéleven van de medewerker mag worden meegenomen in de zakelijke omgeving.
Productiviteitsverlies [JAL12]
Privacy schending [STE13]
Social Engineering [JAL12]
Doordat medewerkers gedurende de werkdag hun social media raadplegen, bestaat het risico op productiviteitsverlies. Een bedrijfsbeleid kan reguleren of social media via de werkcomputer kunnen worden benaderd, echter kan niet worden gereguleerd of de medewerker dit via zijn eigen mobiele apparaat doet. Indien privé social media en zakelijke social media door elkaar worden gebruikt, bestaat het risico dat klant- / bedrijfsgegevens publiekelijk worden. Andersom kan de organisatie van de medewerker verwachten in zijn privéleven specifieke content wel of niet te plaatsen. Social Engineering is een methode die wordt toegepast door kwaadwillenden en wordt gebruikt om informatie te verkrijgen of imago schade aan te brengen door de identiteit van een ander aan te nemen.
Tabel 3: Ethische risico’s
Technologische risico’s Naam risico Risico omschrijving Kwaadaardige software verspreiding over Social media zitten vol met links, foto’s en social media [JAL12] video’s naar pagina’s, waar mogelijk kwaadaardige software, zoals virussen of worms worden overgedragen. Capaciteit van het netwerk Doordat ook videosites zoals YouTube onder [JAL12] social media vallen, bestaat het risico dat het gebruik van deze sites door medewerkers de capaciteit van het netwerk nadelig beïnvloeden.
V. Bindraban - 2014
21
Social Engineering [JAL12]
Social Engineering is een techniek die wordt toegepast door kwaad willenden en wordt gebruikt om informatie te verkrijgen of imago schade aan te brengen door de identiteit van een ander aan te nemen. Social media bieden een perfect platform om informatie over iemand te verzamelen of namens een ander te spreken.
Tabel 4: Technologische risico’s
Op basis van interviews met IT auditors van een groter retailbedrijf, is naar voren gekomen dat in het algemeen de volgende risicogebieden zwaar wegen: • • •
reputatieschade; mislopen van kansen die social media bieden, en; falen in het beschermen van bedrijfsdata.
De technologische risico’s worden niet direct gerelateerd aan het gebruik van social media, maar zijn wel onderdeel van de risico analyse van de bedrijven op procesniveau. Ethische risico’s liggen over het algemeen bij de medewerker en de maatregelen worden door de werknemer vaak niet gerelateerd aan social media. Net als in de meeste ethische vraagstukken, blijft dit een grijs gebied. In de volgende paragrafen zal voordat het social media risk and mitigation guidance-model wordt geïntroduceerd om de hierboven beschreven risico’s te beheersen, een beschrijving worden gegeven van het concept governance, risk en compliance.
3.4
Governance, Risk(management) en Compliance
Tijdens het literatuuronderzoek hebben wij vastgesteld dat veel literatuur beschikbaar is over risico’s met betrekking tot social media. Er is echter een stuk minder literatuur beschikbaar omtrent de daadwerkelijke beheersing van de risico’s binnen social media. L. Jaleel-Khan en M. Wyatt hebben namens ‘Information Systems Audit and Control Association’ (ISACA) een model gepresenteerd omtrent een toepasbare methodologie met betrekking tot het beheersen van risico’s binnen social media. Wij zullen in deze studie gebruik maken van dit social media risk and mitigation guidance model. Het model [JAL12] omschrijft de risicobeheersing van social media vanuit een GRC perspectief. Voordat wij nader ingaan op de risicobeheersing binnen social media, zullen wij eerst het begrip GRC (Governance, Risk en Compliance) toelichten. Doordat dit model slechts geïnspireerd is op GRC en GRC niet het hoofddoel van dit onderzoek is, zal dit onderwerp slechts met relevante diepgang worden toegelicht. Governance, Risk(management) en Compliance kan worden gedefinieerd als: ‘Een geïntegreerde, holistische en organisatie brede aanpak om te waarborgen dat de organisatie ethisch correct en conform het gewenste risico niveau, interne en externe richtlijnen handelt. Dit wordt bereikt door het stroomlijnen van de strategie, processen, technologie en de mens’ [RAC102]. GRC staat voor op een effectieve en efficiënte manier doelen bereiken in het licht van risico’s en onzekerheden [W5]. GRC houdt zich voornamelijk bezig met het zorg dragen dat organisaties zich kunnen conformeren aan verschillende wet- en regelgeving. Zowel op het niveau van landelijk geldende wetten, als op het niveau van verplichtingen omtrent bijvoorbeeld beursnoteringen (zoals de Sarbanes-Oxley act) [FRA08]. Ook het navolgen van interne regelgeving kan worden gezien als een onderdeel van GRC. Door de toenemende behoefte om effectief de bedrijfs- en operationele risico’s als gevolg van een complexe wereldwijde markt te beheersen, is GRC een belangrijk onderwerp geworden [VIC11].
V. Bindraban - 2014
22
Men kan verschillende smaken onderscheiden met betrekking tot GRC, zoals financial GRC, legal GRC en IT GRC. Financial GRC heeft betrekking op activiteiten die ertoe bijdragen financiële processen correct en conform de geldende regelgeving te laten verlopen. Legal GRC heeft betrekking op de activiteiten die vaak door een juridische afdeling worden uitgevoerd teneinde aan (bijvoorbeeld) bovengenoemde regelgeving te voldoen [W6]. IT GRC heeft betrekking op de activiteiten die ervoor zorg dragen dat IT de behoeften en vereisten van de business goed ondersteunt. In het vervolg van deze studie zal IT GRC worden bedoeld, wanneer men spreekt over GRC. Afbeelding 5 illustreert hoe GRC gericht op IT in de brede zin kan worden gezien.
]] Afbeelding 5: Governance, Risk(management) en Compliance [RA09]
Binnen GRC zijn vier onderdelen te onderscheiden, namelijk: • • • •
mensen; processen; strategie, en; technologie.
Deze vier onderdelen verbinden Risk(management), Governance en Compliance met elkaar. Oftewel, deze onderdelen zijn de middelen richting een goed werkend GRC model. Onder riskmanagement wordt verstaan de risk appetite die een organisatie bezit en de hieraan gekoppelde risico analyse, zoals eerder in dit hoofdstuk omschreven. In de praktijk kunnen hier verschillende risicomanagement modellen aan worden opgehangen. In deze studie zijn de risico’s gedefinieerd op basis van mensen, processen en technologie. Dit zal bij de bespreking van het social media risk and mitigation guidance model zichtbaar worden. Compliance kan worden omschreven in termen van een proces, waarbij requirements analyse, verschillen analyse, deficiency management en rapportage elkaar opvolgen[RA09]. Hierbij wordt dus eerst in kaart gebracht waaraan men zich dient te conformeren (compliance). Vervolgens wordt gekeken in hoeverre de praktijk hiervan afwijkt. Deze afwijkingen worden gemanaged en hier wordt vervolgens over gerapporteerd. Met (IT) governance worden de twee bovenstaande aspecten van het GRC model behaald. Anderzijds ondersteunen riskmanagement en compliance de governance.
3.5
Risicobeheersing van social media volgens een GRC perspectief
Op basis van het principe van GRC is door L. Jaleel-Khan, M. Wyatt een opzet gemaakt van hoe social media beheerst kan worden en wat de vereisten zouden moeten zijn richting beheerst social media gebruik. Deze vereisten worden in deze paragraaf besproken. V. Bindraban - 2014
23
Social Media Risk and Mitigation Guidance model De beheersing van social media bestaat uit het uitvoeren van de activiteiten zoals in onderstaande afbeelding geïllustreerd. Het is van belang dat de samenhang van de aspecten wordt meegenomen in de beheersing van social media. In deze sectie zullen de verschillende aspecten uit het model worden toegelicht.
Afbeelding 6: Social media beheersing [gebaseerd op: JAL12]
1. Strategisch plan De organisatie dient een strategisch plan te hebben over wat deze met social media wil bereiken of waar social media voor moeten worden ingezet. In hoofdstuk 1 is uiteengezet welke toepassingen social media (onder andere) kennen. De organisatie dient te overwegen welke toepassingen in worden gezet en dient de toepassingen af te stemmen op de strategische doelstellingen van de organisatie [JAL12]. Om social media mee te nemen in het bedrijfsbrede strategisch plan of om een specifiek strategisch plan voor social media te ontwikkelen, dient de organisatie een aantal stappen te doorlopen. Allereerst moet duidelijk zijn wat de missie en visie van de organisatie zijn. Op basis hiervan worden de doelstellingen van de organisatie geformuleerd. In veel gevallen zullen de missie, visie en bijbehorende doelstellingen reeds geformuleerd zijn. Men dient zich vervolgens af te vragen welke middelen ingezet moeten worden om de doelstellingen te behalen [W8]. Social media kunnen onderdeel van de middelen zijn om de doelstellingen te behalen. Het hangt af van de mate van de inzet van de sociale media en de doelen die hiermee behaald trachten te worden op welke manier deze in worden gezet. Hierbij worden social media dus als een middel ingezet om een doel te bereiken en zijn deze geen doel op zich. Indien men de risico’s met betrekking tot social media wilt kunnen beheersen, is het essentieel te weten op welke manier de organisatie naar social media kijkt en in hoeverre deze worden ingezet om de bedrijfsdoelstellingen te behalen. Een organisatie die social media omarmt en fanatiek inzet zal deze op een andere manier beheersen dan een organisatie die het bestaan erkent, maar verder geen actief gebruik maakt van social media.
V. Bindraban - 2014
24
2. Beleid Er dient een social media beleid te worden opgesteld en er dient te worden gemonitord dat aan dit beleid wordt geconformeerd (2b). Net als in elke audit staat een risico analyse(2a) aan de basis van het opstellen van een social media beleid. De geïdentificeerde risico’s dienen te worden ondervangen met controle activiteiten die aansluiten op de strategie. Om het navolgen van het beleid te waarborgen, dienen verantwoordelijken te worden aangesteld [JAL12]. Er zijn good practices van social media beleidsrichtlijnen voor verschillende typen organisaties beschikbaar op het internet. Bijvoorbeeld de social media richtlijnen van Coca Cola, FedEx of van verschillende overheden [W9]. Het is dus voor verschillende typen organisaties mogelijk één van deze documenten als startpunt te gebruiken. De beleidsrichtlijnen moeten echter wel worden aangepast aan de eigen organisatie. Hiervoor is het belangrijk dat de relevante risico’s in kaart zijn gebracht. Dit kan middels een risico analyse. 2a. Risico identificatie / analyse Middels een risico analyse kan men de risico’s die van toepassing zijn op de organisatie in kaart brengen en eventueel inschatten hoe groot het risico is. De risico analyse bestaat uit een aantal verschillende stappen, namelijk[FIJ08]: •
formuleren van de scope: het formuleren van de situatie, zodat duidelijk wordt waar de risico analyse betrekking op heeft. Hierbij kan gedacht worden aan welke processen dienen te worden beschermd of welke objecten binnen de processen beschermd dienen te worden. Daarnaast dient te worden gedacht aan welke systemen worden gebruikt in het te beschermen proces. Hiervoor is een begrip van het proces uiterst belangrijk. Eventueel kan deze op basis van technieken als interviews, workshops of observatie in kaart worden gebracht.
•
informatie verzameling: men dient te inventariseren welke situaties kunnen ontstaan die een bedreiging vormen voor de bedrijfsdoelstelling. Hierbij kan worden gedacht aan het uitvallen van systemen of factoren die de bedrijfsvoering verstoren zoals fouten in menselijk handelen. Onderlinge afhankelijkheid van systemen of processen dienen in dit kader ook inzichtelijk te zijn. De bedreigingen zullen later in dit proces de naam ‘risico’ dragen.
•
bepalen van impact: vervolgens dient de vraag te worden gesteld hoe erg het is als dit soort incidenten plaatsvinden. Welke schade wordt opgelopen of wat zijn de additionele kosten als de incidenten plaatsvinden? Op basis hiervan zal worden bepaald welke bedreigingen of risico’s maatregelen vereisen en hoe streng deze maatregelen moeten zijn.
•
inventarisatie huidige maatregelen: inzichtelijk maken welke maatregelen reeds aanwezig zijn om de bedreigingen onder controle te hebben.
•
nieuwe maatregelen definiëren: op basis van bovenstaande stappen is inzichtelijk wat dient te worden beschermd, wat de bedreigingen zijn en wat de impact van de bedreigingen kan zijn. Het is nu tijd om maatregelen te definiëren die passen bij de bedreiging en de bijbehorende impact.
In de risico analyse voor social media dienen tenminste de volgende risico’s mee te worden genomen in de informatieverzamelingfase:
•
• risico’s met betrekking tot het gebruik van social media als communicatiemiddel met klanten; • risico’s met betrekking tot het gebruik van social media door medewerkers op het bedrijfsnetwerk; • risico’s met betrekking tot het gebruik van social media door medewerkers op bedrijfsapparatuur en; risico’s met betrekking tot het gebruik van social media door medewerkers buiten het bedrijfsnetwerk.
V. Bindraban - 2014
25
De maatregelen die op basis van deze risico analyse zullen worden genomen, dienen te worden afgestemd op de gekozen strategie. 2b. Monitoring De maatregelen die in het beleid zijn opgenomen om de in de risico analyse geïdentificeerde risico’s te beheersen, dienen te worden gemonitord op naleving. Hiervoor dient eigenaarschap van de maatregelen en/of controle activiteiten te worden toegekend. Daarnaast dient de ruimte en bevoegdheid te worden gegeven om in te grijpen in geval dat maatregelen niet worden uitgevoerd of regels niet worden nageleefd. Monitoring kan onderdeel zijn van de gedefinieerde maatregelen, maar het is ook mogelijk dat moet worden gemonitord of de gedefinieerde maatregelen wel worden nageleefd. In de context van social media kan het bijvoorbeeld zijn dat het internetverkeer wordt gemonitord om vast te stellen of de beleidsrichtlijnen worden opgevolgd. De eerder beschreven web analyzers zijn ook een vorm van monitoring. 3. Training In iedere situatie waar men nieuwe controls implementeert, dienen de betrokkenen worden opgeleid om goed om te kunnen gaan met de verandering. In het geval van social media dienen de medewerkers getraind te worden om om te gaan met de media in bedrijfscontext. Voorbeelden van onderwerpen zijn bewustwording over informatie beveiliging, imago schade of het ontvangen van virussen. Beheersingsrichtlijnen met betrekking tot social media Volgens Khan en Wyatt dienen beheersrichtlijnen op drie verschillende niveaus te worden gedefinieerd, namelijk [JAL12]:
• • •
mensen; processen; technologie.
Deze aspecten zijn in afbeelding 5 reeds benoemd als zijnde de verbindingsfactoren tussen Governance, Risk (management) en Compliance. Mensen Zoals benoemd in de sectie omtrent GRC, zijn mensen een kritiek onderdeel in de poging naar beheersing. Vaak wordt gezegd dat mensen binnen een organisatie de grootste asset zijn. Zeker als men kijkt naar beveiliging, wat bij social media een belangrijk onderdeel is [BUN01]. De maatregelen die te maken hebben met de factor ‘mens’ hebben betrekking op hoe wordt omgegaan met medewerkers en gebruikers. Voorbeelden hiervan zijn bewustzijn creëren omtrent een specifiek onderwerp, trainingen organiseren of resources en verantwoordelijken toewijzen. In de richtlijnen omschreven door Wyatt en Khan vallen de volgende beheersrichtlijnen onder de categorie ‘mensen’. a.
Worden gebruikers getraind op het gebied van social media?
Hierbij dient rekening te worden gehouden met of de training is afgestemd op de doelgroep. Bijvoorbeeld, de afdeling marketing heeft een andere training nodig dan een HR afdeling. Tevens dienen de trainingsdoelen te zijn afgestemd op de bedrijfsrisico’s en doelen. Een derde aspect is de methode waarop gebruikers worden getraind: gebeurt dit via een gemonitorde (eLearning) cursus of slechts via het lezen van een brochure? Ten slotte moet worden vastgesteld of de training periodiek wordt geüpdatet. b. Worden maatregelen getroffen met betrekking tot awareness van de risico’s en het beleid? V. Bindraban - 2014
26
Hierbij wordt de vraag gesteld waar de verantwoordelijkheid ligt met betrekking tot het creëren awareness. Binnen de organisatie dient iemand verantwoordelijk te zijn voor: • • •
het verzorgen van awareness activiteiten of trainingsmateriaal; het up to date houden van dit materiaal en het social media beleid; het monitoren of de awareness activiteiten door de medewerker worden uitgevoerd.
Tevens is deze persoon een aanspreekpunt in geval van vragen omtrent de risico’s, de maatregelen en het beleid. Er moet tevens gedefinieerd zijn wat de rol van deze persoon is bij een incident. Wellicht kan dit de persoon zijn die het eerste meldpunt is bij incidenten. Processen De maatregelen die te maken hebben met de factor ’processen’ hebben betrekking op hoe het proces richting het behalen van beheersdoelstellingen wordt vastgelegd. Hierbij kan worden gedacht aan omschreven procedures. c. Heeft er een analyse plaatsgevonden naar hoe de risico’s zich verhouden tot de organisatie met betrekking tot social media? De geïdentificeerde risico’s hebben niet altijd alleen met social media te maken, maar kunnen ook zonder social media bestaan. De organisatie dient dan ook rekening te houden met of een bestaand risico nog een extra beheersmaatregel behoeft door het gebruik van social media of dat een risico dat social media met zich meebrengt al door een bestaande maatregel wordt gedekt. Als onderdeel van dit proces moet de organisatie in kaart brengen hoe social media worden gebruikt binnen de organisatie. Is deze op een of andere manier toegepast in bedrijfsprocessen of is de beheersing beperkt tot het gebruik door medewerkers en externe factoren? d.
Heeft het bedrijf een beleid gedefinieerd met betrekking tot social media?
Hierbij dienen in elk geval de componenten ‘bedrijfsgebruik’ en ‘medewerkers eigen gebruik’ geadresseerd te worden. Volgens Khan en Wyatt dient daarbij naar de volgende aspecten te worden gekeken: Bedrijfsgebruik Hoe wordt omgaan met intellectueel eigendom van de organisatie besproken? Wordt er benoemd wat wordt gemonitord aan geplaatste content?
Medewerkers eigen gebruik Is gespecificeerd wat de medewerker wel en niet mag doen op social media? Is benoemd dat de richtlijnen gedefinieerd in overige beleidsdocumenten (zoals Code of Conduct of HR beleid) ook voor social media gelden? Is gedefinieerd wat de gevolgen zijn van het niet volgen van het beleid?
Heeft een review plaatsgevonden op de gebruikersvoorwaarden van social media aanbieders? Specificeert het beleid wat voor (publieke) informatie gedeeld mag worden? Zoals eerder benoemd, zijn reeds een heleboel voorbeelden beschikbaar online. Deze kunnen als referentie gebruikt worden. e. Zijn de bedrijfsprocessen die gebruik maken van social media geëvalueerd tegen het beleid van de organisatie? . De organisatie dient de richtlijnen wel te stroomlijnen met de eigen bedrijfsprocessen ten einde een zinvolle invulling aan de richtlijnen te geven. De verschillende standaardrichtlijnen die in omloop zijn, adresseren vaak alleen de hoofdrisico’s. f. Heeft de organisatie een proces gedefinieerd om het risico op oneigenlijk gebruik van het merk of de bedrijfsnaam tegen te gaan?
V. Bindraban - 2014
27
Hierbij kan worden gedacht aan monitoring van specifieke termen op social media door middel van web analyzers. Technologie De maatregelen die te maken hebben met de factor ‘technologie’ hebben betrekking op hoe wordt omgegaan met middelen zoals computers, internetverbindingen of mobiele telefoons. De hieronder omschreven richtlijnen zijn afgeleid van de richtlijn van Wyatt en Khan, echter concreet gemaakt op basis van interview met medewerkers van KPMG Risk Consulting. g. Heeft de organisatie de juiste mensen en middelen om virussen en andere kwaadaardige software die social media met zich meebrengt buiten de deur te houden? Door voldoende virusscanners te implementeren of bijvoorbeeld specifieke social media websites af te schermen, kan men zorg dragen dat kwaadaardige software niet via social media verspreid wordt. h. Heeft de organisatie de juiste mensen en middelen om de capaciteit van het netwerk voldoende hoog te houden? Streaming websites met muziek of video’s kunnen in geval dat deze door grote groepen tegelijkertijd worden gebruikt het netwerk behoorlijk belasten. Aangezien steeds meer muziek streaming en sharing websites opduiken, wordt dit een steeds belangrijker aspect. i. Heeft de organisatie maatregelen geïmplementeerd om ongeautoriseerd gebruik te maken van de bedrijfsnaam tegen te gaan? Door middel van het implementeren van voldoende monitoring tools kan de organisatie op de hoogte blijven van het gebruik van de bedrijfsnaam of het logo op social media. Hiermee kan ook oneigenlijk gebruik worden opgespoord. Tevens dient men een procedure te hebben hoe te handelen in geval dat de bedrijfsnaam inderdaad wordt misbruikt.
3.6
Conclusie
In dit hoofdstuk is beschreven wat een risico is en wat er bij omgaan met risico’s komt kijken. Tevens zijn een aantal risico’s benoemd met betrekking tot de toepassing van social media. Deze risico’s zijn te verdelen in de volgende categorieën: • • • •
governance risico’s; compliancy risico’s; ethische risico’s, en; technologische risico’s.
Men kan op verschillende manieren met risico’s omgaan, namelijk: • • • •
accepteren; mitigeren; verplaatsen, of; vermijden.
Binnen de context van social media zal het niet altijd mogelijk zijn risico’s te vermijden, aangezien social media zich overal op het internet bevinden. In dit hoofdstuk is tevens een model uitgewerkt dat social media vanuit een Governance, Risk en Compliance perspectief benadert. Dit model is in deze studie ‘social media risk and mitigation guidance-model’ genoemd. De uitkomst van dit model is een set beheersrichtlijnen aan de hand waarvan social media kunnen worden beheerst. Hierbij wordt ervan uitgegaan dat de risico’s worden gemitigeerd. Het hangt van de risico analyse van de organisatie af voor welke risico’s zij besluiten mitigerende maatregelen te implementeren. Met de uitwerking van deze punten is bovenstaande onderzoeks(deel)vraag beantwoord. V. Bindraban - 2014
28
Hiermee is het theoretisch onderzoek in deze studie afgerond. Hoofdstuk 2 en 3 zullen als input worden gebruikt om bij een organisatie in de praktijk te toetsen in hoeverre deze richtlijn overeenkomt met de praktijk. In het volgende hoofdstuk zullen dan ook de bevindingen van de praktijk casus worden toegelicht. Deze zullen worden geanalyseerd in hoofdstuk 5.
V. Bindraban - 2014
29
4
Praktijk casus: Social media in de retail sector
4.1
Introductie
In hoofdstuk 3 is het social media risk and mitigation guidance model beschreven dat als kapstok dient voor de beheersing van risico’s met betrekking tot social media binnen organisaties. Dit model zal worden getoetst in een praktijk situatie. Deze toets heeft als doel de risicobeheersing van social media bij organisaties in de praktijk te vergelijken met de theoretische concepten. De organisatie waar de toets zal plaatsvinden, opereert in de retail sector. In dit hoofdstuk zullen de volgende aspecten worden uitgelicht: • • • •
Aanpak van de praktijk casus; Omschrijving van de organisatie (waarbij vanwege vertrouwelijkheid de omschrijving is geabstraheerd); Observaties: Hier zal de feitelijke informatie uit de case studie worden benoemd, zonder deze te interpreteren; Bevindingen: Hier zullen de bevindingen op basis van het in hoofdstuk 3 omschreven social media risk and mitigation guidance model worden toegelicht.
Met de uitwerking hiervan wordt de volgende deelvraag beantwoord: Hoe wordt in de praktijk met de risico’s omtrent social media omgegaan? In hoofdstuk 5 zullen de bevindingen worden geëvalueerd en zullen aanbevelingen worden gedaan richting de beheersing van social media binnen organisaties.
4.2
Aanpak
In de praktijk casus zullen twee onderdelen van het social media risk and guidance model worden getoetst, namelijk de componenten van het model zoals getoond in figuur 6 en de beheersingsrichtlijnen die aan het model gekoppeld zijn. Middels interview met de afdeling internal audit zal worden vastgesteld wat de organisatie onder social media verstaat en hoe deze tegen social media aankijkt. Er is bewust gekozen om de interviews met de internal audit afdeling te houden, omdat deze afdeling een onafhankelijke blik zou kunnen werpen op de risico’s die social media met zich meebrengen voor een organisatie. Daarnaast zal inspectie van brondocumentatie vanuit de organisatie en eigen (online) onderzoek naar de organisatie worden uitgevoerd, zodat de omgang van de organisatie met social media in kaart wordt gebracht. Vervolgens zullen deze observaties worden geëvalueerd op basis van het in hoofdstuk 3 gepresenteerde model. Op basis van de resultaten uit het onderzoek zal de overeenkomst tussen social media risicobeheersing in de praktijk en social media risicobeheersing volgens de theorie in hoofdstuk 5 ter discussie worden gesteld.
4.3
Beschrijving van de organisatie
Organisatie A is een organisatie die social media in brede zin betrekt in de bedrijfsprocessen en gebruik maakt van bijvoorbeeld mobiele applicaties en webwinkels. Deze organisatie is van middelgrote tot grote omvang en opereert in de retail sector.
4.4
Observaties
Alvorens wij het social media risk and mitigation guidance model zullen toepassingen op organisatie A, zullen wij in deze paragraaf eerst stilstaan bij de thema’s rondom social media binnen de context van organisatie A. In de volgende paragraaf zullen deze worden toegepast op het bovengenoemde model.
V. Bindraban - 2014
30
Scoping en achtergrond De internal audit afdeling van de organisatie verstaat onder social media de social networking sites, zoals FaceBook, LinkedIn en Twitter. De media zijn vooral gericht op interactie tussen de buitenwereld en de organisatie. Interne social media zoals Google Drive, Office Communicator, etc. worden door de internal audit afdeling niet als social media beschouwd. Tevens wordt het gebruik van apps of webwinkels niet onder social media verstaan. De retail organisatie bezit meerdere filialen verspreid over het land, waarbij enkele filialen ook een eigen Facebook pagina hebben om met klanten en (potentiële) medewerkers te communiceren. Deze pagina’s worden lokaal beheerd, maar dienen zich wel aan de centrale richtlijnen te conformeren. Toepassing van social media door de organisatie Social media (zoals gedefinieerd door de internal audit afdeling) wordt gebruikt voor: • • •
het beantwoorden van klantvragen en klachten, recruitment doeleinden, marketing doeleinden(op project basis).
De organisatie maakt voor zover bekend bij de audit afdeling geen gebruik van een organisatie brede social media strategie. Op project basis wordt door verschillende afdelingen gebruik gemaakt van social media ten behoeve van klanttevredenheid, marketing en overige communicatie. Activiteiten gerelateerd aan risico analyse Binnen de internal audit afdeling is geen afzonderlijke risico analyse omtrent social media voorhanden. Jaarlijks wordt een risico analyse gedaan om te bepalen welke onderwerpen en processen geaudit dienen te worden. Op basis van de processen en onderwerpen wordt bepaald of het onderwerp social media mee dient te worden genomen in de scope van de audit. Richtlijnen op het gebied van social media zijn wel opgesteld op basis van verschillende risico’s ten aanzien van het gebruik van social media. In de code of conduct van de organisatie zijn richtlijnen opgenomen omtrent het omgaan met social media. Elke medewerker dient zich aan deze richtlijnen te houden. Tevens is een social media richtlijn aanwezig, welke de ‘do’s and don’ts’ van social media omschrijven. De code of conduct dient bij indiensttreding te worden getekend, maar er zijn geen andere organisatie brede maatregelen van toepassing. De internal audit afdeling neemt social media mee indien deze binnen de scope van het audit object valt. Hierbij wordt op basis van professional judgement van de internal audit afdeling bepaald welke aspecten mee zullen worden genomen ten behoeve van het bereiken van een beheersdoelstelling op hoger niveau, bijvoorbeeld waarborgen van vertrouwelijkheid van informatie. Dit is geen doelstelling die zich beperkt tot social media, maar social media zijn wel een belangrijk onderwerp. De risico’s die in deze studie zijn geïdentificeerd als zijnde risico’s met betrekking tot social media worden door de organisatie wel erkend als een risico, maar de organisatie relateert deze risico’s niet (alleen) aan het gebruik van social media. Perceptie beheersing van social media door organisatie De organisatie wil geen uitspraak doen over de mate van beheersing van social media, vanwege het ontbreken aan onderzoek hieromtrent. Wel wordt aangegeven dat de risico’s die social media met zich meebrengen niet per definitie als materieel worden gezien.
4.5
Bevindingen
In deze sectie zullen de observaties die in de vorige paragraaf zijn omschreven worden geïnterpreteerd op basis van het social media risk and mitigation guidance model. Hier zullen bevindingen van worden geformuleerd. Deze bevindingen zullen in het volgende hoofdstuk worden gebruikt als input voor de analyse van de praktijk versus de theorie. De volgende onderwerpen zullen in deze paragraaf worden besproken: scoping, social media strategie, beleid, training en beheersdoelstellingen. V. Bindraban - 2014
31
Scoping Volgens de theorie omschreven in hoofdstuk 2 zijn middelen als chatservices, social networking sites, videosharing websites en verschillende online games onderdeel van social media. Volgens de internal audit afdeling van organisatie A zijn alleen social networking sites en gangbare videosharing sites onderdeel van social media. Toepassingen zoals interne chatservices of sharepoint omgevingen worden niet in onder social media verstaan. De definitie die organisatie A aan social media geeft, is dus aanzienlijk beperkter dan omschreven in de theorie. Hiermee is de eerste bevinding in de vergelijking tussen de theorie en de praktijk gedaan: Bevinding I: Er bestaat een verschil tussen de definitie die in theorie aan social media wordt gegeven en de definitie die organisatie A aan social media geeft. De onderzochte organisatie verstaat onder social media slechts social networking toepassingen en gangbare videosharing, zoals YouTube. Dit is aanzienlijk beperkter dan de definitie volgens de theorie zoals gedefinieerd in hoofdstuk 2. Deze bevinding is niet direct onderdeel van het in hoofdstuk 3.5 omschreven model, maar wel relevant voor het vervolg van de studie. Social Media Strategie Een strategisch plan is het eerste onderdeel dat wordt besproken in het social media risk and mitigation guidance model.
Afbeelding 7: Social media strategie
Uit interview met de IT Audit afdeling met de organisatie is gebleken dat de organisatie geen specifieke social media strategie bezit en dat social media ook geen onderdeel zijn van de algemene bedrijfsstrategie. Social media worden toegepast daar waar deze nuttig kunnen zijn in project verband. De beslissing social media wel of niet te gebruiken ligt hier bij de afdeling die het project leidt. Op het moment dat social media wel worden toegepast, valt deze stap van het model weer op zijn plaats in de vorm van een onderdeel van het projectplan.
V. Bindraban - 2014
32
De organisatie heeft een duidelijke missie en visie geformuleerd die op de website is geformuleerd. Vanwege anonimiteit zal deze hier niet worden omschreven. Zoals uit interviews met de internal audit manager blijkt, maken social media hier geen onderdeel van uit. De theorie omschrijft social media als één van de middelen die wel degelijk de missie en visie van de organisatie ondersteunen en helpen om de bedrijfsdoelstellingen te behalen. Het verschil in definitie van social media zoals eerder omschreven kan binnen de context van missie en visie in de volgende bevinding worden verwoord; Bevinding II : Conform de definitie van social media in de theorie zijn social media onderdeel van de bedrijfsstrategie van dit bedrijf. Echter, doordat de internal audit organisatie social media zelf een andere definitie geeft, zijn deze geen onderdeel van de bedrijfsstrategie. Beleid Volgens het model dient naast een strategie een beleid te zijn geformuleerd. Aan dit beleid dient een risico analyse ten grondslag te liggen en er dient te worden gemonitord op de opvolging van het beleid.
Afbeelding 8: Beleid
De organisatie heeft een social media beleid opgesteld, welke al enkele jaren van toepassing is. Het is bij de internal audit afdeling niet bekend of dit op basis van een risico analyse tot stand is gekomen. Als onderdeel van ons praktijkonderzoek hebben wij dit beleid geïnspecteerd en vastgesteld dat deze geen richtlijnen bevat die specifiek zijn voor de organisatie, maar dat deze richtlijnen algemeen zijn geformuleerd. Eén van de richtlijnen schrijft bijvoorbeeld voor dat men geen bedrijfsgevoelige informatie mag communiceren. In het beleid worden geen specifieke vormen van media gedefinieerd waar de richtlijnen voor gelden. Naast het bezit van een social media beleid zijn geen controle activiteiten ingericht specifiek voor social media. De risico’s met betrekking tot social media worden afgedekt door middel van maatregelen die in de reguliere processen zijn ingericht, zoals het verplicht stellen van het opvolgen van de code of conduct, waar de social media richtlijnen onderdeel van zijn. Op basis van het social media risk mitigation and guidance model dient het beleid te worden gecontroleerd op naleving (zoals geïllustreerd in afbeelding 8). Monitoring van risico’s vindt V. Bindraban - 2014
33
plaats op basis van verschillende andere processen waarbij bijvoorbeeld technologische risico’s worden afgedekt door middel van de algemene IT controles. Hierbij worden risico’s dus niet specifiek afgedekt voor social media, maar voor de processen waar dit risico speelt (als social media hier toevallig onder vallen, is dat mooi meegenomen). Bevinding III: De organisatie bezit een social media beleid. Deze is niet zichtbaar op basis van een risico analyse opgesteld. Echter, dekt het beleid wel de algemene risico’s zoals privacy schending of informatie lekkage. Maatregelen voor de beheersing van deze risico’s zijn gedefinieerd in het algemene bedrijfsbeleid en doorgetrokken in het social media beleid. Training Naast strategie- en beleidsvorming is het verzorgen van training omtrent social media een belangrijk onderdeel in de aanpak richting de beheersing van social media.
Afbeelding 9: Training
Voor specifieke groepen medewerkers is binnen de organisatie een verplichte training ingericht, waar het gebruik van social media een onderdeel is. Overige awareness activiteiten worden niet uitgevoerd. Bevinding IV: Niet voor alle medewerkers wordt aan awareness activiteiten gedaan. Beheersingsrichtlijnen Naast de elementen uit de opzet van het social media risk and mitigation guidance model zijn ook een aantal beheersingsrichtlijnen gedefinieerd. De onderstaande tabel bevat de richtlijnen en de antwoorden zoals gegeven door de organisatie. Type Mensen
V. Bindraban - 2014
Beheersingsrichtlijn a. Worden gebruikers getraind op het gebied van social media?
Beheersing organisatie A Niet alle gebruikers. Er is een verplichte computer based training met betrekking tot informatiebeveiligings richtlijnen, waar social media een onderdeel van vormen. Er zijn geen trainingen specifiek over social media. 34
Mensen
b. Worden maatregelen getroffen met betrekking tot awareness van de risico’s en het beleid?
Mensen
c. Hoe zijn de verantwoordelijkheden belegd?
Nee. Er zijn geen organisatie brede maatregelen getroffen anders dan het publiceren van de social media richtlijnen. Op activiteiten in project verband heeft de Internal Audit afdeling geen zicht. Verantwoordelijkheden met betrekking tot social media zijn niet expliciet toegekend. In geval van calamiteiten, zoals een mogelijke informatielek of oneigenlijk gedrag binnen de organisatie (ongeacht of deze met social media te maken hebben), kan men gebruik maken van de ‘whistleblowing’ procedure. Tevens kan via de afdeling customer support een melding worden gemaakt. Deze wordt indien nodig doorgespeeld naar de Information Security Officer.
Processen
d. Heeft een risico identificatie plaatsgevonden hoe de risico’s zich verhouden tot de organisatie met betrekking tot social media? Wat was de scope hiervan?
Op de social media richtlijnen staat aangegeven dat voor vragen en suggesties omtrent social media contact kan worden opgenomen met de afdeling Communicatie. Bij de internal audit afdeling is geen risico analyse met betrekking tot social media bekend. De organisatie ziet in social media vooral kansen, waarbij een van de risico’s is dat de kansen die social media met zich meebrengen niet worden benut. Overige risico’s zullen alleen worden meegenomen indien deze voortkomen uit een risico analyse op procesniveau en van materieel belang zijn voor de betreffende audit (bijvoorbeeld in het kader van een privacy Audit).
Processen
e. Heeft het bedrijf een beleid gedefinieerd met betrekking tot social media?
Ja, zie *
Processen
f. Zijn de bedrijfsprocessen die gebruik maken van social media geëvalueerd tegen het beleid van de organisatie?
Alle beleid die voor de organisatie geldt op procesniveau geldt ook op social media.
Technologie
g. Heeft de afdeling IT een strategie en de capaciteit om te gaan met de technische risico’s die social media met zich meebrengen?
De technische risico’s worden ondervangen door reguliere IT controles, waarin bijvoorbeeld de performance van de systemen en het gebruik van bandbreedte wordt gemonitord.
V. Bindraban - 2014
35
Technologie
h. Heeft de organisatie voldoende technische en procesmatige maatregelen gedefinieerd om het social media beleid te ondersteunen?
Anders dan de richtlijnen, is geen beleid bij de internal audit afdeling bekend. Derhalve niet van toepassing.
Technologie
i. Heeft de organisatie een proces gedefinieerd om het risico op oneigenlijk gebruik van het merk of de bedrijfsnaam tegen te gaan?
Op de afdeling web care wordt middels een web analyzer gemonitord wat online wordt gecommuniceerd rondom het bedrijf.
*
De volgende aspecten worden benoemd in de richtlijn:
Bedrijfsgebruik Aanwezig in beleid? Wordt omgaan met intellectueel eigendom van Ja de organisatie besproken? Wordt benoemd wat wordt gemonitord aan Nee geplaatste content? Heeft een review plaatsgevonden op de Nee/Niet besproken gebruikersvoorwaarden van social media aanbieders? Specificeert het beleid wat voor (publieke) Ja informatie gedeeld mag worden? Medewerkers eigen gebruik Is gespecificeerd wat de medewerker wel en Ja niet mag doen op social media? Is benoemd dat de richtlijnen gedefinieerd in Ja overige beleidsdocumenten (zoals Code of Conduct of HR beleid) ook voor social media gelden? Is gedefinieerd wat de gevolgen zijn van het niet Ja volgen van het beleid? Op het eerste gezicht lijkt het alsof niet voor alle beheersingsrichtlijnen activiteiten zijn ondernomen. Dit suggereert dat de organisatie niet beheerst met social media omgaat. In hoofdstuk 5 zal hier verder op in worden gegaan. Bevinding V: Niet voor alle beheersdoelstellingen worden activiteiten ondernomen om deze doelstellingen te bereiken.
4.6
Conclusie
In dit hoofdstuk op basis van interviews, bestudering van brondocumentatie en online onderzoek naar de organisatie wordt het gebruik van social media door een organisatie in de praktijk in kaart gebracht. Hiermee wordt antwoord gegeven op de vraag: Hoe wordt in de praktijk met de risico’s omtrent social media omgegaan? De volgende hoofdbevindingen zijn kort samengevat:
• • • •
De definitie die de organisatie hanteert voor social media is een andere dan volgens de theorie. De organisatie heeft geen strategie die specifiek focust op social media. Het social media beleid van de organisatie is niet zichtbaar op basis van een risico analyse opgesteld. Echter, bevat deze wel de hoofdelementen die ook bij soortgelijke organisaties relevant zijn. Niet voor alle medewerkers wordt aan awareness gedaan.
V. Bindraban - 2014
36
•
De beheersingsrichtlijnen zoals gedefinieerd in hoofdstuk 3 worden niet allemaal in verband gebracht met social media door de organisatie.
Als de resultaten van dit praktijk onderzoek langs de theoretische concepten, met name het gehanteerde model worden gelegd, zien wij dat op hoofdlijnen de punten die in het model zijn omschreven wel worden geraakt. Echter, als wordt gekeken op het niveau van de beheersmaatregelen, lijkt de organisatie niet beheerst vanwege de weinige ‘effectieve’ beheersmaatregelen. Met de uitwerking van de praktijksituatie aan de hand van het theoretisch kader, is de hierboven omschreven deelvraag beantwoord. Hiermee is de laatste deelvraag beantwoord. In het volgende hoofdstuk zullen de bevindingen worden geanalyseerd. Vervolgens zullen aanbevelingen worden gedaan om een invulling te geven aan risicobeheersing met betrekking tot social media met als handvat het social media risk and mitigation guidance model.
V. Bindraban - 2014
37
5
Analyse van bevindingen
5.1
Introductie
In dit hoofdstuk worden de bevindingen uit hoofdstuk 4 nader besproken en geanalyseerd. Voor elke bevinding wordt nagegaan wat de relatie is tussen de bevinding en de theoretische concepten. Het volgende model is hierbij gehanteerd:
Aansluitend worden verbeteringsmogelijkheden in de vorm van aanbevelingen gegeven om de organisatie naar een hoger beheersingsniveau te brengen met betrekking tot social media. De volgende deelvraag zal worden beantwoord: Welke aanbevelingen voor verbetering van risicobeheersing van social media kunnen worden gedaan?
5.2
Evaluatie praktijk bevindingen
De eerste bevinding komt voort uit de vergelijking van de definitie van social media in de praktijk situatie met de theoretische concepten. Bevinding I: Scope Er bestaat een verschil tussen de definitie die in theorie aan social media wordt gegeven en de definitie die organisatie A aan social media geeft. De onderzochte organisatie verstaat onder social media slechts social networking toepassingen en gangbare videosharing, zoals YouTube. Dit is aanzienlijk beperkter dan de definitie volgens de theorie zoals gedefinieerd in hoofdstuk 2. Allereerst is deze bevinding niet uitzonderlijk te noemen. Social media zijn namelijk in de volksmond vaak bekend als de social networking toepassingen en gangbare videosharing sites. Om dit te illustreren is aan 15 universitair geschoolde mensen gevraagd of zij wisten of Wikipedia onder de categorie social media valt. Daarvan hebben twee mensen ‘ja’ gezegd. Deze twee mensen waren ‘toevallig’ IT-ers.
V. Bindraban - 2014
38
De onderzochte organisatie maakt wel gebruik van middelen die eigenlijk onder social media vallen, zoals Google Drive, SharePoint. Doordat de definitie van social media verschilt, zal het model omtrent beheersing van social media ook niet één-op-één toepasbaar zijn. Het belangrijkste gevolg van deze bevinding is dat de eventuele toepassingen en de hoeveelheid risico’s beperkter zullen zijn dan die in de theorie eerder zijn gedefinieerd als men strikt kijkt naar social media. De risico analyse die de organisatie zal uitvoeren (als deze al wordt uitgevoerd), zal een beperktere scope hebben dan volgens de theorie. Een belangrijke vraag is of de organisatie de risico’s die de overige social media (de sharepoint omgeving en Google Drive) met zich meebrengen wel op een andere manier beheerst. Volgens de internal audit afdeling worden deze middelen meegenomen in relevante audits, zoals een beveiligingsaudit, indien hier risico’s in worden gesignaleerd. Doordat de beheersing van de risico’s in reguliere processen wordt ondergebracht is de impact van deze bevinding voor het bedrijf dus laag, echter de bevinding heeft wel een hoge impact op het verloop van dit onderzoek. De resultaten van alle observaties op het model zullen worden beïnvloed door de beperkte scope van social media binnen organisatie A. Bevinding II: Strategie Conform de definitie van social media in de theorie zijn social media onderdeel van de bedrijfsstrategie van dit bedrijf. Echter, doordat de internal audit organisatie social media zelf een andere definitie geeft, zijn deze geen onderdeel van de bedrijfsstrategie. Deze bevinding bevestigt wat in bevinding 1 is genoemd, namelijk dat de definitie van social media cruciaal is voor het gebruiken van het social media risk and mitigation guidance model. Als de definitie van de organisatie wordt gehanteerd, wordt de indruk gewekt dat social media niet actief worden ingezet door de organisatie. Echter, het tegendeel is waar. De organisatie gebruikt verschillende tools die volgens de theorie onder social media worden geschaard. Vanuit het standpunt van de organisatie dat social media niet actief in worden gezet, is het evident dat geen speciale strategie voor social media bestaat. Dit ogenschijnlijk eerste onderdeel in het Social Media Risk & Mitigation Guidance model lijkt dus niet het eerste te zijn. Hier gaat nog een stukje scoping aan vooraf. De organisatie dient eerst te hebben bedacht wat zij social media vinden en wat zij hiermee willen bereiken. Bevinding III: Beleid De organisatie bezit een social media beleid. Deze is niet zichtbaar op basis van een risico analyse opgesteld. Echter, dekt het beleid wel de algemene risico’s zoals privacy schending of informatie lekkage. Maatregelen voor de beheersing van deze risico’s zijn gedefinieerd in het algemene bedrijfsbeleid en doorgetrokken in het social media beleid. Deze bevinding heeft geen nadelige gevolgen voor het beheersen van de risico’s. Het social media beleid is namelijk wel vergelijkbaar met beleidsdocumenten die zijn opgesteld bij vergelijkbare bedrijven [W9]. Het beleid heeft betrekking op hoe medewerkers met social media om moeten gaan. Aangezien niet gespecificeerd is welke kanalen onder social media vallen, is het definitie verschil nu geen beperkende factor. Hoewel niet exact is voldaan aan het theoretische model op basis van een risico analyse zijn wel de juiste aspecten belicht in het beleidsdocument. De impact van deze bevinding is voor zowel de organisatie als het vervolg van deze studie laag. Bevinding IV: Training/awareness Niet voor alle medewerkers wordt aan awareness activiteiten gedaan. Behalve het hierboven genoemde social media beleid, worden medewerkers niet getraind op het gebruik van social media. Dit beleid omschrijft alleen theoretisch wat toegestaan is en wat niet. Zoals in de introductie al is toegelicht, is de gebruiker zich lang niet altijd bewust dat wat V. Bindraban - 2014
39
op de media wordt geplaatst niet toegestaan is. Een training waar gebruikers met praktijk situaties worden geconfronteerd kan in dit geval uitkomst bieden. De impact van deze bevinding kan voor de organisatie hoog zijn. Het ontbreken van deze awareness training maakt dat risico’s met betrekking tot informatiebeveiliging bijvoorbeeld niet zijn gedekt. Bevinding V: Beheersdoelstellingen Niet voor alle beheersdoelstellingen worden activiteiten ondernomen om deze doelstellingen te bereiken. Op basis van de resultaten lijkt het alsof de organisatie niet beheerst omgaat met hun social media. Echter, deze uitspraak kan niet stellig worden gedaan, omdat de organisatie aangeeft de risico’s met betrekking tot social media wel te onderkennen, maar niet te relateren aan social media. De risico’s worden in de meeste gevallen dan ook beheerst als onderdeel van een ander proces. Bijvoorbeeld, technologische risico’s met betrekking tot malware en bandbreedte worden gedekt onder het monitoren van IT. Voor elk van de bovenstaande bevindingen is afgewogen hoe erg dit voor de organisatie is. Hieruit valt op te maken dat de organisatie niet op alle punten voldoet aan het door de theorie voorgeschreven model. Echter, hiermee is nog niet gezegd dat de organisatie social media niet beheerst. Dit heeft te maken met twee factoren, namelijk: -
De organisatie definieert social media slechts als een beperkte set media, De organisatie ziet social media als een middel in plaats van een doel op zich.
Omdat social media niet als een doel op zich worden gezien, worden risico’s die voortkomen uit processen waar social media voor wordt gebruikt, gerelateerd aan het bestaan van dat proces en niet aan het bestaan van social media binnen dat proces. Doordat social media als een middel worden gezien in plaats van een doel, zal deze ook niet snel een eigen audit object worden.
5.3
Evaluatie Social media risk mitigation and guidance model
Het theoretisch model schrijft voor welke componenten aanwezig dienen te zijn om social media te kunnen beheersen. Dit model spreekt onder andere over het uitvoeren van een risico analyse, het inregelen van gepaste beheersmaatregelen, het toewijzen van verantwoordelijken en het monitoren op navolging van beheersmaatregelen. Dit proces wijkt in grote lijnen niet af van het beheersen van een regulier proces. Als strikt wordt gekeken naar hoe het model is omschreven, zijn een aantal kanttekeningen te plaatsen. Allereerst bestaan de risico’s die benoemd zijn niet alleen bij de toepassing van social media, maar bestaan deze vaak ook in reguliere processen. De risico’s worden wel groter door het gebruik van social media en de impact bij optreden ook. Bijvoorbeeld, het risico op informatielek zou nog steeds bestaan zonder social media. Een lek kan namelijk ook plaatsvinden doordat medewerkers documenten laten rondslingeren of in geval van een boze medewerker die naar de pers stapt. Door de introductie van social media kan de medewerker al dan niet bewust heel snel een zeer groot publiek bereiken met het plaatsen van een verkeerd bericht of media bestand. Ten tweede lijkt in het model te worden uitgegaan van social media als een apart audit object. De componenten en de beheersdoelstellingen gaan alleen over social media. In de praktijk is gebleken dat de organisatie social media niet als een los audit object ziet, maar als onderdeel van de audit op een ander proces, waar social media mogelijk onderdeel van zijn. Social media worden dan ook meegenomen indien van toepassing in andere audits. Met betrekking tot de gedefinieerde beheersingsdoelstellingen, deze zijn algemeen geformuleerd. Op deze manier zijn ze niet rechtstreeks te implementeren bij een organisatie V. Bindraban - 2014
40
voor het beheersen van social media, maar zouden ze voor elk te beheersen proces van toepassing kunnen zijn. Concluderend, bevat het model handvatten richting de beheersing van social media, omdat deze de meest relevante risico’s benoemd en tracht te beheersen. Het is wel zaak dat de organisatie beslist welke onderdelen uit het model worden overgenomen en welke onderdelen minder relevant zijn voor de organisatie. Deze conclusie is niet uitzonderlijk te noemen in de wereld van het toepassen van modellen. Organisaties implementeren modellen zelden rechtstreeks van de plank. Bijvoorbeeld, organisaties die ITIL toepassen, nemen alleen de voor de organisatie relevante aspecten en diepgang mee. In het geval van het social media risk mitigation and guidance model zijn relevante factoren voor het bepalen in welke mate het model over te nemen is: • •
De volwassenheid van de organisatie met betrekking tot risico beheersing op het gebied van social media. Dit bepaalt namelijk wat de scope van social media binnen de organisatie is (en of de organisatie dit zelf ook zo ziet), De mate waarin de organisatie gebruik wenst te maken van social media.
Wij bevelen dus aan dit model niet één-op-één over te nemen bij het implementeren van risicobeheersing op social media. De relevante aspecten uit het model dienen specifiek te worden gemaakt voor de eigen organisatie. In de volgende sectie zullen wij aanbevelingen doen die kunnen helpen bij het specifiek maken voor een organisatie.
5.4
Aanbevelingen
Op basis van de uitgevoerde literatuurstudie, interviews en praktijk casus zijn een aantal aanbevelingen te doen aan organisaties die risico’s met betrekking tot social media (beter) willen beheersen. Gebruik het model als uitgangspunt voor beheersing van social media Deze eerste aanbeveling is in de vorige sectie als benoemd. Het social media risk and mitigation guidance model is een goed handvat om risicobeheersing met betrekking tot social media op te zetten. Het model is echter niet rechtstreeks van toepassing op elke organisatie. Het hangt af van het type organisatie en de volwassenheid van het gebruik van social media door de organisatie in welke mate het model bruikbaar is. Daarnaast is het gewenste volwassenheidsniveau met betrekking tot social media belangrijk. Als de organisatie bijvoorbeeld geen gebruik maakt en deze ambitie ook niet heeft, hoeven alleen de risico’s die betrekking hebben op wat op social media wordt besproken over de organisatie te worden gemonitord en eventueel opgevolgd. Het beleid zal dan bijvoorbeeld een beperktere scope hebben. De organisatie dient de componenten die genoemd zijn in het model tot zich te nemen en afhankelijk van de situatie binnen de organisatie de onderdelen over te nemen of over te slaan. Bepaal de betekenis van social media voor de organisatie Zoals geïllustreerd in de case studie zijn meerdere definities van social media mogelijk. De organisatie dient zich te informeren over wat social media inhouden en op basis hiervan een definitie voor de organisatie vast te stellen. Zo is het duidelijk welke elementen in een risico analyse mee moeten worden genomen om geen dubbele maatregelen te treffen of nog erger, geen maatregelen te treffen. Beleg eigenaarschap van social media binnen organisatie Zoals in de praktijk casus geïllustreerd voert de audit afdeling van organisatie A geen controle uit op social media. Het theoretisch model heeft als richtlijn dat moet worden bepaald wie toeziet op naleving van het beleid. Een aanvullende stap hierin is dat eigenaarschap van de risico’s met betrekking tot social media zijn belegd. De verantwoordelijken dienen over voldoende kennis van de media te beschikken. Social media zijn een relatief nieuwe ontwikkeling en zijn nu vaak ondergebracht bij de webcare teams. Het is het overwegen waard of de verantwoordelijkheid van social media wellicht in de business hoort te liggen. De business namelijk beter inschatten of het zinvol is om social media toe te passen of niet. De risico’s dienen vervolgens door relevante risico en/of audit afdelingen te worden opgepakt. V. Bindraban - 2014
41
Tevens dienen de personen genoeg kennis te hebben over social media om te kunnen bepalen wat allemaal onder social media valt en wat voor rol deze media spelen binnen de organisatie. Kijk verder dan alleen social media Social media risico’s bestaan niet alleen als de social media actief worden toegepast, maar kunnen ook verscholen zitten in reguliere processen. De organisatie dient inzichtelijk te maken in welke bestaande processen social media van toepassing kunnen zijn en er dient geëvalueerd te worden of er reeds passende maatregelen zijn getroffen. Deze aanbeveling geldt vooral voor organisaties die aangeven social media niet toe te passen. Andersom geldt dat voor reguliere processen moet worden gecontroleerd of de bestaande maatregelen nog toereikend zijn om de dreiging vanuit social media te beheersen. Vind het wiel niet opnieuw uit Elke organisatie dient tegenwoordig op één of andere manier social media risico’s beheersen. Een voorbeeld van een maatregel die vaak wordt genomen, is het opstellen van een social media beleid die voorschrijft hoe medewerkers met social media om dienen te gaan. Hier zijn al veel voorbeelden van op internet te vinden voor een verscheidenheid aan sectoren. De organisatie hoeft dus niet zelfstandig bij een risico analyse te beginnen. (in tegenstelling tot voorgeschreven in het theoretische model in deze studie) Uiteraard dient wel te worden gecontroleerd of een bestaand beleid ook van toepassing is op de eigen organisatie. Hiervoor zou wel een risico analyse kunnen worden gebruikt. Houd er rekening mee: Social media zijn altijd aanwezig De organisatie kan in geen geval denken dat zij niet te maken heeft met social media. Medewerkers kunnen zowel zakelijk als privé gebruik maken van social media en daarnaast kan iedereen van buiten de organisatie van alles publiceren over het bedrijf. Zelfs als de organisatie geen gebruik wil maken van de toepassingen die social media bieden, dienen de risico’s van buitenaf nog worden beheerst. Zorg voor maatregelen die passen bij de dynamiek van social media Omdat social media altijd aanwezig zijn en in vele verschillende vormen komen, is het de moeite waard te overwegen of de reeds getroffen maatregelen voldoende zijn om de risico’s op gewenst niveau te dekken. Een veelvoorkomend voorbeeld is dat social networking sites worden geblokkeerd vanaf de bedrijfsapparatuur of het bedrijfsnetwerk. Echter, heeft het grootste deel van de medewerkers nu een smartphone en kunnen dus op eigen gelegenheid hun social media benaderen. Het risico op productiviteitsverlies of informatielekkage dek je dus niet af met deze maatregel. Eventueel wordt gedeeltelijk zorg gedragen voor het buiten de deur houden van schadelijke software, maar die komen lang niet in alle gevallen alleen van social media af. Deze maatregel heeft dus in geen enkel opzicht een risico mitigerend effect. Evalueer periodiek of de maatregelen nog toereikend zijn Doordat de ontwikkelingen op technologisch gebied erg snel gaan, is het raadzaam regelmatig te controleren of de getroffen maatregelen om de risico’s te beheersen nog toereikend zijn. Het voorbeeld dat hierboven is beschreven omtrent het gebruik van social media op de smartphone is ook bij deze aanbeveling van toepassing. Blijf up-to-date over ontwikkelingen Deze aanbeveling heeft te maken met een risico die is geïdentificeerd door organisatie A, namelijk het risico op het mislopen van kansen die social media bieden. Blijf als organisatie upto-date over de ontwikkelingen op het gebied van social media. De wereld van social media verandert snel en regelmatig komen nieuwe mogelijkheden beschikbaar. De organisatie dient in de gaten te houden of hier nog ontwikkelingen bij zitten die voor de organisatie nuttig kunnen zijn. Uiteraard dienen bij de toepassing hiervan weer toereikende maatregelen te worden getroffen.
V. Bindraban - 2014
42
5.5
Conclusie
In dit hoofdstuk zijn de bevindingen uit de praktijk casus geanalyseerd en gerelateerd aan de theorie. Daarnaast is een evaluatie gedaan van het social media risk and mitigation guidance model dat in deze studie is gebruikt. Op basis van deze twee analyses zijn aanbevelingen gedaan waar organisaties rekening mee moeten houden om risico’s met betrekking tot social media te beheersen. Hiermee wordt antwoord gegeven op de vraag: Welke aanbevelingen voor verbetering van risicobeheersing van social media kunnen worden gedaan? Uit de studie is gebleken dat het social media risk mitigation and guidance model een goed handvat is richting de beheersing van social media, maar de organisatie moet zelf bepalen welke elementen relevant zijn voor de organisatie. Daarbij zijn de volgende aanbevelingen samengevat:
• • • • • •
Kijk verder dan alleen de toepassing van social media, Social media zijn altijd aanwezig, dus deze dienen te allen tijde beheerst te zijn, Gebruik good practices van vergelijkbare organisaties om een eerste beleid op te zetten, Controleer periodiek of de getroffen maatregelen nog toereikend zijn, Definieer als organisatie wat men onder social media verstaat. Blijf op de hoogte van de ontwikkelingen met betrekking tot social media om maximaal te profiteren van voordelen.
Met de beantwoording op de bovengenoemde deelvraag is de laatste deelvraag voor deze studie beantwoord. In het volgende en laatste hoofdstuk zal de hoofdvraag worden beantwoord.
V. Bindraban - 2014
43
6
Beantwoording vraagstelling
6.1
Introductie
In de afgelopen hoofdstukken zijn verschillende deelvragen gedefinieerd en beantwoord die input leveren voor het beantwoorden van de hoofdvraag in dit onderzoek: Hoe kunnen risico’s voor organisaties ten aanzien van de omgang met social media worden beheerst? Op basis van literatuurstudie, interviews en het uitvoeren van een case studie zijn de deelvragen beantwoord in de hoofdstukken 2 tot en met 5. In elk hoofdstuk staat in de sectie conclusie het antwoord op de deelvraag nog eens beknopt omschreven. In dit hoofdstuk zal dit kort herhaald worden om vervolgens de hoofdvraag van dit onderzoek te beantwoorden. Net als in ieder onderzoek zijn ook in dit onderzoek beperkingen en suggesties voor vervolg studie te identificeren. Deze zijn opgenomen in de laatste paragraaf van dit hoofdstuk. Tevens heeft het uitvoeren van deze studie vragen opgeroepen, die als suggestie voor vervolg onderzoek zijn opgenomen. Als gevolg van de ontwikkelingen in de digitale wereld heeft het bedrijfsleven te maken met nieuwe uitdagingen en nieuwe mogelijkheden. Eén van de nieuwe ontwikkelingen zijn social media. Social media kunnen worden gedefinieerd als: “Een set van online toepassingen die zijn ontworpen met als hoofddoel interactie.” De toepassingen kunnen worden ingezet voor een scala aan toepassingen, zoals het delen en archiveren van informatie, netwerken, marketing en training. Onder anderen deze toepassingen zijn omschreven in hoofdstuk 2. Het toepassen van social media brengt op verschillende vlakken risico’s met zich mee. Deze risico’s kunnen op verschillende manieren geclassificeerd worden. In deze studie is gekozen voor de verdeling: compliancy, ethisch en governance. De geïdentificeerde risico’s variëren van informatie beveiligingsrisico’s tot het risico op verminderde productiviteit van medewerkers. Een uitgebreide uitwerking hiervan is terug te vinden in de paragrafen 3.2 en 3.3. In deze studie is gekozen voor een theoretisch model dat de risico beheersing met betrekking tot social media omschrijft. Het geselecteerde model gaat uit van het GRC perspectief. In hoofdstuk 3.4 is een omschrijving van GRC met relevante diepgang gegeven. Het bovengenoemde model bestaat uit twee onderdelen, namelijk de opzet en de beheersingsrichtlijnen. De opzet beschrijft hoe het beheersingsmodel in elkaar steekt en hoe deze richtlijnen. De hoofdonderdelen in de opzet zijn strategievorming, beleidsvorming en training. Deze worden vervolgens verder uitgewerkt tot operationele activiteiten. De beheersrichtlijnen beschrijven vraagstukken waar men aan gedacht moet hebben om de eerder benoemde risico’s te beheersen. Een uitgebreide omschrijving hiervan is terug te vinden in hoofdstuk 3.5. De risico’s en het beheersingsmodel die omschreven zijn in hoofdstuk 3 zijn getoetst bij een organisatie in de retail sector. In hoofdstuk 4 is de onderzoeksaanpak toegelicht, de organisatie omschreven en zijn bevindingen gedaan van de beheersing van risico’s bij de organisatie op basis van de theorie. De bevindingen hebben betrekking op de manier van definiëren van social media, de plaats in de organisatie waar de risico’s worden beheerd en de omgang met social media. In hoofdstuk 4 en 5 wordt hier dieper op ingegaan. De bevindingen die zijn gedaan hebben allemaal een eigen impact op de organisatie en een impact op de studie. Op basis van de opgedane kennis omtrent social media, de risico’s en de omgang in de praktijk zijn aanbevelingen geformuleerd om social media beter te beheersen. Een uitgebreide omschrijving hiervan is gedaan in hoofdstuk 5.
V. Bindraban - 2014
44
6.2
Beantwoording vraagstelling
In deze sectie zullen alle deelvragen kort worden beantwoord om vervolgens in de conclusie het antwoord op de hoofdvraag te kunnen geven.
1.
Wat zijn de gangbare toepassingen en processen voor organisaties om met social media om te gaan?
Specifieke toepassingen van social media in het bedrijfsleven zijn: • • • • • • •
delen en archiveren van informatie, middels bijvoorbeeld de toepassing van een wiki; netwerken, middels bijvoorbeeld de toepassing van Facebook of LinkedIn; communicatie, middels bijvoorbeeld Office Communicator systemen; marketing, middels bijvoorbeeld adverteren of social media sites; continuous monitoring, middels bijvoorbeeld web analyzing software; data analyse, door grote hoeveelheden informatie vanuit social media te analyseren; creëren van thought leadership, door bijvoorbeeld het publiceren van artikelen op sociale netwerken; creëren van concurrentievoordeel, door de klant beter te leren kennen aan de hand van zijn social media activiteit; recruitment, door op sociale netwerken vacatures te plaatsen, en; training en opleiding binnen de organisatie.
• • •
2. Welke risico’s zijn verbonden aan het toepassen van social media binnen organisaties en hoe kunnen deze worden beheerst? Risico’s met betrekking tot social media kunnen in meerdere categorieën verdeeld worden. In deze studie is gekozen voor de verdeling: • Compliancy risico’s, • Governance risico’s, • Technologische risico’s en • Ethische risico’s. In tabellen 1 tot en met 4 in hoofdstuk 3 worden de risico’s per categorie benoemd en omschreven. Men kan op verschillende manieren met risico’s omgaan, namelijk: • • • •
accepteren; mitigeren; verplaatsen, of; vermijden.
Binnen de context van social media zal het niet altijd mogelijk zijn risico’s te vermijden, aangezien social media zich overal bevinden. In deze studie is een redelijk onbekend model gehanteerd om social media te beheersen. Dit model maakt gebruik van het Governance, Risk en Compliance principe en heeft als uitgangspunt dat bij de beheersing van social media aan de volgende punten gedacht dient te worden: • • • • •
Strategie, Beleid, Het creëren van verantwoordelijkheden, Training en Een set aan beheersdoelstellingen die betrekking hebben op mensen, processen en technologie.
V. Bindraban - 2014
45
Dit model kan worden gebruikt als handvat om risico’s omtrent social media te beheersen. 3
Hoe wordt in de praktijk met de risico’s omtrent social media omgegaan?
In de praktijksituatie is geverifieerd hoe om wordt gegaan met social media aan de hand van de theoretische concepten. De volgende observaties zijn samengevat:
• • • • •
De definitie die de organisatie voor social media hanteert is een andere dan volgens de theorie. De organisatie heeft geen strategie die specifiek focust op social media. Het social media beleid van de organisatie is niet zichtbaar op basis van een risico analyse opgesteld. Echter, bevat deze wel de hoofdelementen die ook bij soortgelijke organisaties relevant zijn. Niet voor alle medewerkers wordt aan awareness gedaan. De beheersingsrichtlijnen zoals gedefinieerd in hoofdstuk 3 worden niet allemaal in verband gebracht met social media door de organisatie.
4. Welke aanbevelingen voor verbetering van risicobeheersing met betrekking tot social media kunnen worden gedaan? In de studie is een analyse gedaan van de theoretische concepten versus de praktijksituatie. Op basis van de bevindingen van deze analyse zijn de volgende aanbevelingen geformuleerd: Uit de studie is gebleken dat het social media risk mitigation and guidance model een goed handvat is richting de beheersing van social media, maar de organisatie moet zelf bepalen welke elementen relevant zijn voor de organisatie. Daarbij zijn de volgende aanbevelingen samengevat:
• •
•
•
• •
6.3
Kijk verder dan alleen de toepassing van social media. De media bestaan namelijk ook buiten de specifieke toepassing om. Bijvoorbeeld doordat klanten over de organisatie communiceren; Social media zijn altijd aanwezig, dus deze dient te allen tijde beheerst te zijn. Zoals hierboven benoemd kan men te allen tijden over de organisatie communiceren. De organisatie dient hierop alert te zijn en adequate maatregelen te treffen om eventuele schade te beperken; Gebruik good practices van vergelijkbare organisaties om een eerste beleid op te zetten. In het model wordt uitgegaan van een risico analyse op basis waarvan het beleid dient te worden vastgesteld. De risico analyse dient nog steeds plaats te vinden, echter niet om het beleid om te stellen. Dit kan door voorbeelden van andere organisaties specifiek te maken voor de eigen organisatie. Dit maakt het opstellen van het beleid gemakkelijker; Controleer periodiek of de getroffen maatregelen nog toereikend zijn. Social media zijn een snel veranderd medium. Hiermee dient rekening te worden gehouden in het definiëren van beheersmaatregelen. Eén keer per maand een controle uitvoeren is bijvoorbeeld niet voldoende. Definieer als organisatie wat men onder social media verstaat. Als de definitie duidelijk is, weet men welke onderdelen beheerst dienen te worden. Blijf op de hoogte van de ontwikkelingen met betrekking tot social media om maximaal te profiteren van voordelen.
Conclusie
De antwoorden in de vorige paragraaf dragen allemaal bij aan het antwoord op de volgende hoofdvraag: Hoe kunnen risico’s voor organisaties ten aanzien van de omgang met social media worden beheerst? V. Bindraban - 2014
46
Dit antwoord kan als volgt worden geformuleerd: Het social media risk and mitigation guidance model biedt goede handvatten voor het beheersen van risico’s met betrekking tot social media. Net als bij de toepassing van vele andere modellen binnen organisaties, zoals ITIL of Prince2, dient dit model ook te worden aangepast aan de eigen organisatie. Hierbij dienen wel aan een aantal aandachtspunten worden gedacht: • • • • • •
Kijk verder dan alleen de toepassing van social media, Definieer als organisatie wat men onder social media verstaat. Social media zijn altijd aanwezig, dus deze dient te allen tijde beheerst te zijn, Gebruik good practices van vergelijkbare organisaties om een eerste beleid op te zetten, Controleer periodiek of de getroffen maatregelen nog toereikend zijn, Blijf op de hoogte van de ontwikkelingen met betrekking tot social media om maximaal te profiteren van voordelen.
Met betrekking tot het beheersen van de risico’s zelf is het beheersen van risico’s van social media niet veel anders dan in reguliere beheerprocessen. De uitzondering is dat social media een dynamische omgeving creëren, die snel kan veranderen. Regelmatige evaluatie of de maatregelen nog toereikend zijn, is dus verstandig. Dit komt ook terug in de aanbevelingen beschreven hierboven. Het is van belang te onthouden dat social media verschillende risico’s met zich mee brengen, maar dat deze risico’s zich niet beperken tot social media. Dit betekent dat risico’s niet alleen door middel van beheersing van social media zullen worden gedekt. De risico’s kunnen ook in andere processen worden ondervangen, als ze uiteindelijk maar worden meegenomen in een risico analyse. Het redelijk onbekende social media risk and mitigation guidance model is net als vele andere bedrijfskundige en IT-modellen niet een ‘one-size-fits-all’ oplossing. Het model is echter wel een zeer bruikbaar handvat, dat in het vakgebied rondom social media een belangrijke rol kan spelen. Als de organisatie met behulp van de aanbevelingen de relevante onderdelen uit het model haalt en toepast, is een goede stap in de richting van de beheersing van social media gezet.
6.4
Beperkingen en aanbevelingen voor verder onderzoek
De scope van dit onderzoek heeft zich beperkt tot een organisatie in de retail sector. Hierdoor vallen de resultaten niet te generaliseren over andere sectoren. De definitie van social media volgens de theorie en de definitie die de organisatie hieraan geeft, wijkt van elkaar af. Hierdoor zijn de onderzoeksresultaten in de praktijk casus beperkt tot een specifieke groep social media. Hoewel dit als beperking van de studie wordt aangemerkt, is de scoping ook een cruciale voorwaarde voor het uitvoeren van een dergelijk onderzoek. De metingen in dit onderzoek zijn op een specifiek moment in tijd verricht. Vanwege het dynamische karakter van social media, dienen de gepresenteerde resultaten te worden geïnterpreteerd in de periode waarin deze zijn opgesteld. In dit onderzoek is expliciet gesproken met internal audit afdeling van de organisatie. Door deze ogen dient dan ook te worden gekeken naar de resultaten van het onderzoek. In de ogen van bijvoorbeeld een marketing afdeling zullen andere risico’s worden gedefinieerd en daardoor ook andere beheersmaatregelen. Dit onderzoek heeft zich gericht op een algemeen model van risicobeheersing van social media. De verschillende categorieën risico’s die zijn geïdentificeerd kunnen verder worden uitgediept, waarbij in wordt gegaan op de inhoudelijke issues met betrekking tot compliancy met wet- en regelgeving of ethiek. Dit zal organisaties in staat stellen om de implementatie van maatregelen aan te passen aan de geldende wettelijke en ethische regels binnen het domein.
V. Bindraban - 2014
47
Dit onderzoek heeft zich beperkt tot een retail organisatie. Ten einde een algemene uitspraak te kunnen doen over de mogelijkheden tot beheersing van social media zou het onderzoek kunnen worden toegepast op verschillende sectoren of organisaties van verschillende omvang. Door uitbreiding van het aantal organisaties kan een benchmark worden opgesteld die organisaties in staat stelt om de resultaten van het onderzoek in perspectief te plaatsen ten opzichte van elkaar. Uit de praktijktoets is gebleken dat het model zoals deze nu is gepresenteerd in theorie goed is omschreven, echter in de praktijk niet zo specifiek wordt toegepast. Hierdoor wordt een beeld geschetst dat de organisatie niet in control is met betrekking tot hun social media gebruik, wat wellicht een vertekend beeld geeft. Een voorstel tot verder onderzoek is om het gehanteerde model social media risk and mitigation guidance model nog meer toepasbaar te maken voor de praktijk. Hierdoor krijgen de resultaten meer betekenis voor een organisatie bij de risico beheersing bij social media. Het model zou dan ook als meet instrument gebruikt kunnen worden. De aanbevelingen die in deze studie zijn gedaan, kunnen daar een handvat voor bieden.
V. Bindraban - 2014
48
7
Bronnen
7.1
Geraadpleegde literatuur
[ASH14] Ashruf, D. (2014). Key factors for managing and mitigating risks caused by access controls - Using GRC Access Control tooling effectively, AITAP thesis [AND12] Andal-Ancion, Angela, Phillip A. Cartwright, and George S. Yip. The digital transformation of traditional business., Image (2012). [AUL10] Aula, P. (2010). Social media, reputation risk and ambient publicity management. Strategy & Leadership VOL. 38 NO. 6 2010, pp. 43-49, Q Emerald Group Publishing Limited, ISSN 1087-8572 [BEL13] Belmas, G.(2013) Social Media and Strategic Communications, Edited by Hana S. Noor Al-Deen and John Allen Hendricks, pp 218-233 [BER12] Bertot, J., Jaeger, P., Hansen, D. (2012). The impact of polices on government social media usage: Issues, challenges, and recommendations. Government Information Quarterly 29 30–40 [BIN11] Bindraban, V. (2011). Using social software during ERP implementations, Masterthesis Vrije Universiteit [BUN12] Bunker, G. (2012),Technology is not enough: Taking a holistic view for information assurance, Information Security Technical Report 17. [FRA08] Francken, M.A, (2008), Compact, Redactioneel [ILP12] Collegemateriaal IT Audit opleiding D. De Geus – van Ilpenhof, 2012 [COO08] Cooper, C. G. Christians, A. S. Babbili, & J. M. Kittross (Eds.), (2008) An ethics trajectory: Visions of media past, present and yet to come (pp. 233–238). Urbana, IL: University of Illinois, Institute of Communications Research. [DIM08] DiMicco, J., Millen, D., Geyer, W., Dugan, C., Brownholtz, B., & Muller, M. (2008). Motivation for Social Networking at Work. Computer supported cooperative work (pp. 711720). San diego, San Fransisco: CSCW. [DWY07] Dwyer, C., Roxanne Hiltz, S., & Passerini, K. (2007). Trust and privacy concern with social networking sites: A comparison of Facebook and Myspace. Thirteenth Americas Conference on Infromation Systems. Keystone, Colorado. [HER13] Herbst, A., vom Brocke, J. (2013). Social Content Management Systems: Challenges and Potential for Organizations. Innovation and Future of Enterprise Information Systems Lecture Notes in Information Systems and Organisation Volume 4, pp 19-28 [HOL14] Holsapple, Clyde, Shih-Hui Hsiao, and Ram Pakath. "Business Social Media Analytics: Definition, Benefits, and Challenges." (2014). [JAL12] Jaleel-Khan, L., Wyatt, M. (2012) Social Media Risk and Mitigation Guide, ISACA [KAP10] Kaplan, A., & Haenlein, M. (2010). Users of the world, unite! The challenges and opportunities of social media. Business Horizons, 53, 59-68. [Kaplan, 2010] [KAP11] Kaplan, A., & Haenlein, M. (2011). Two hearts in three-quarter time: How to waltz the social media/viral marketing dance. Business Horizons, 54, 253-263. [NET11] Neti, S. (2011). Social media and its role in marketing. ISSN (Online), 1(2), 1-16.
V. Bindraban - 2014
49
[OCA03] O’cass, Aron, and Tino Fenech. "Web retailing adoption: exploring the nature of internet users web retailing behaviour." Journal of Retailing and Consumer services 10.2 (2003): 81-94. [PAG08] Pagnozzi, M. et al. (2008). Social Media and Strategic Communications, Edited by Hana S. Noor Al-Deen and John Allen Hendricks, KPMG Advisory Australia (whitepaper) [POR08] Porter, J. (2008). Designing for the Social Web. Thousand Oaks, CA: New Riders Press. [QUA10] Qualman, E. (2010). Socialnomics: How Social Media Transforms the Way We Live and Do Business. Hoboken: Wiley & Sons [RAC101] Racz, N., Weippl, E. & Seufert, A.: A frame of reference for research of integrated governance, risk, and compliance (GRC). In: Proceedings of the 11th Joint IFIP TC6 and TC11 Conference on Communications and Multimedia Security (2010) [RAC102] Racz, Nicolas, Edgar Weippl, and Andreas Seufert. "A process model for integrated IT governance, risk, and compliance management." Proceedings of the Ninth Baltic Conference on Databases and Information Systems (DB&IS 2010). 2010. [RAT09] Rath, M. & Sponholz, R.: IT-Compliance: Erfolgreiches Management regulatorischer Anforderungen. Schmidt, Berlin (2009) [SAF09] Safko, L., Brake, D. (2009). The Social Media Bible. Tactics, Tools & Strategies for Business Success, Hoboken, New Jersey: John Wiley & Sons, inc. [SETND] Seth, J. (n.d.). Psychology of innovation Resistance. Research in Marketing , 273282. [SOL14] Solis, B. Szymanski, J. (2014), Digital Transformation: Why and How Companies are Investing in New Business Models to Lead Digital Customer Experiences [STE13] Stephens, H. (2013). Opinion, Social Media Risk Management, The digital grapevine Social media and the role of Internal Audit, Top Five Social Media Risks for Business: New ISACA White Paper [VIC11] Vicente, Pedro, and Miguel Mira da Silva. "A Business Viewpoint for Integrated IT Governance, Risk and Compliance." Services (SERVICES), 2011 IEEE World Congress on. IEEE, 2011. [VOS05] Voss, J. (2005). Measuring Wikipedia. 10th International Conference of the International Society for Scientometrics and Informetrics, (pp. 1-12). Stockholm. [WAR08] Warr, W. A. (2008). Social software: fun and games, or business tools? Journal of Information Science , 34 (4), 591-604 [WES11] Wesley, G. et al (2011). DIGITAL TRANSFORMATION: A ROADMAP FOR BILLION-DOLLAR ORGANIZATIONS, FINDINGS FROM PHASE 1 OF THE DIGITAL TRANSFORMATION, MIT Center for digital business and Capgemini Consulting, 2011 [ZEN10] Zeng, D., Chen, H., Lusch, R. (2010). Social Media Analytics and Intelligence. IEEE Computer Society, pp 13-16
7.2
Geraadpleegde websites
[W1] Integral SEO, Webstrategie (http://www.integralseo.com/webstrategy.html) [W2] Van Dale Woordenboek (http: www.vandale.nl) [W3] Risico Management (www.risicomanagement.nl) [W4] Wikipedia: Ethiek (http://nl.wikipedia.org/wiki/Ethiek) V. Bindraban - 2014
50
[W5] Website PriceWaterhouseCoopers: GRC (http://www.pwc.nl/nl/banken/governance-riskcompliance/index.jhtml) [W6] Wikipedia: GRC (http://en.wikipedia.org/wiki/Governance,_risk_management,_and_compliance) [W7] Digital transformation Services , (http://www.kpmg.com/CH/en/Library/ArticlesPublications/Documents/Advisory/pub-20131104-digital-transformation-services-en.pdf) [W8] Wikipedia: Strategische planning (http://nl.wikipedia.org/wiki/Strategische_planning) [W9] Social media policies (http://socialmediagovernance.com/policies/)
[W10] http://www.kpmg.com/nl/nl/services/advisory/it-advisory/pages/data-en-analytics.aspx [W11] Cookies en advertenties (http://www.google.com/policies/technologies/ads/) [W12] Microsoft – Big Data (www.microsoft.com/Big-data) Social media balancing controls with creativity, KPMG (http://blog.equaterra.com/2011/06/social-media-balancing-controlswith-creativity/) GRC Today, May 2014, KPMG (http://www.kpmg.com/NL/nl/IssuesAndInsights/ArticlesPublications/Documents/PDF/RiskConsulting/GRC-Today-May-2014.pdf) Presentatie Social Media Maturity (http://www.slideshare.net/vdimauro/social-media-maturitymodel)
V. Bindraban - 2014
51
