Social Media & Informatiebeveiliging Binnen de Retail
iRisk iT Retail, Platform voor InformatieBeveiliging 27 januari 2011
Wie zijn wij? Maxeda = VendexKBB Enkele jaren geleden heeft een groep “private equity” het beursgenoteerde VendexKBB van de beurs gehaald. Door middel van het oprichten van een holding boven de verschillende werkmaatschappijen ontstond Maxeda. Maxeda heeft in 2010 al haar activiteiten rondom Fashion verkocht, hiermee eindigde de werkzaamheden van Maxeda Fashion. Menno Borst als IT Risk Manager en Security officer verbonden aan Maxeda en per 2011 doorgestart in iRisk iT Retail. iRisk iT Retail behartigt de belangen op het gebied van informatiebeveiliging namens de voormalige business units van Maxeda.
-2-
Welke business units?
-3-
Wat verstaan wij onder social media? Definitie door Kaplan en Haenlein (wikipedia) “een groep van samenhangende internetapplicaties die gebruikmaken van de ideologische en technologische uitgangspunten van Web 2.0. Deze uitgangspunten maken het mogelijk om door gebruikers zelf aangemaakte informatie onderling uit te wisselen” Definitie binnen Maxeda “gebruikers die zelfstandig hun eigen informatie aanleveren en beheren door gebruik te maken van de middelen zoals deze worden aangeboden door de verschillende media sites. Dit alles zonder tussenkomst van een redactie.
-4-
Hunkemoller of niet?
-5-
Hunkemoller of niet?
-6-
Bedreigingen? Wettelijk -Overtreding van modellenrecht; -Overtreding wet bescherming persoonsgegevens; Reputatie -Laster campagnes richting organisatie; -Consumenten krijgen te maken met potentiele afpersing; Financieel -Benadeelde consumenten komen (financieel) verhaal halen; -Consumenten worden geconfronteerd met illegale acties;
-7-
Welke type social media sites kennen jullie?
-8-
Welke type social media onderscheiden wij? Welke type media sites onderkennen wij als retailers: - Blogs (zoals Adfoblog, Dutchcowboys en Retailblog) - Microblogs (zoals Twitter en Tumblr, Numpa, Babl) - Video (Youtube, Dik.nl, Feeb) - Image (Flickr, Yo2, Mobypicture) - Network (Facebook, Hyves, Foursquare) - Professional (Linkedin, Plaxo) - News (eKudos, Grubb, nuJij, Geenredactie) - Bookmarks (Tagmos, Delicious)
-9-
Waarom Social Media? Voordelen - Versnelde groei van omzet; - Verbetering merk-bekendheid; - Professionele uitstraling van de retailer; - Bereiken van jongere doelgroep; - Direct contact (bi-directioneel) met consumenten; - Slechtweer omzet behouden;
- 10 -
Op welke social media sites zijn wij aanwezig?
- 11 -
Op welke social media sites zijn wij aanwezig?
- 12 -
Op welke social media sites zijn wij aanwezig?
- 13 -
Op welke social media sites zijn wij aanwezig?
- 14 -
Op welke social media sites zijn wij aanwezig?
- 15 -
Hoe snel kan het gaan?
- 16 -
De droom van een Retailer, boze droom voor security officer Wat waren de resultaten? -1e dag - 6 miljoen views; -2e dag - 8 van de 11 meest populaire filmclips; -3e dag - 20 miljoens views; -Na 7 dagen - 40 miljoen views; -Twitteraccount - 2700% meer followers (totaal 120.000); -Facebook - 800% meer interactie met fans; -Website traffic - 300% toename; -YouTube channel – “best bekeken kanaal ooit”; -Totale campagne - 1,4 miljard impressies; -Verkopen – toename 27% (6 maanden);
Social Retailing is geboren!
- 17 -
De Bijenkorf social retailing campagne DDD
- 18 -
De Bijenkorf social retailing campagne DDD Hoe zag het proces eruit: 1.Uitgifte van 4 miljoen DDD boekjes 2.Dagelijkse Retweet acties met prijzen (3.000 followers) 3.Game “de dwaze rij” eerste in rij dmv dobbelen (13.000 deelnemers) 4.Via facebook pagina wordt dagelijks aangegeven welke deelnemers in de rij kans maken op een geldbedrag (6.000 fans aangemeld) 5.Vanuit de Bijenkorf wordt door medewerkers actief vragen gesteld en feedback geleverd;
- 19 -
Globale oorzaken en risico’s Social retailing Risico
Oorzaak
Integriteit informatie
• Nieuw communicatiekanaal naar consumenten en producenten
Vertrouwelijkheid informatie
• Medewerkers gaan via bedrijfsinfrastructuur Social Media sites benaderen • Social media zal via mobiele devices worden benaderd • Medewerkers kunnen in eigen tijd de bedrijfs Social Media bereiken en bewerken
Continuïteit organisatie
• Consumenten zijn massaal vertegenwoordigd en zeer snel geïnformeerd • Social media van medewerkers vergemakkelijkt de kans op social enginering
- 20 -
Social Retailing- richtlijnen 1. Risico analyse Social media strategie • Voer een risico analyse uit op het gebruik van social media binnen de verschillende bedrijfsprocessen van de organisatie; • Herhaal deze risico analyse zodra er wordt gekozen voor nieuwe type social media of adoptie van nieuwe social media sites; 2. Stel beleid op dat de specifiek ingaat op gedrag binnen social media • Prive gebruik van social media op de werkplek; • Prive gebruik van social media buiten de werkplek; • Medewerkers met toegang tot bedrijfs social media; • Monitoring ter bescherming van de reputatie van de organisaties;
- 21 -
Social Retailing- richtlijnen 3. Menselijke bewustwording • Zorg voor voldoende training van medewerkers v.w.b. het privé-gebruik van social media sites; • Zorg voor voldoende awareness bij medewerkers over de regels (gedrag, privacy en communicatie) rondom social retailing van de organisatie; • Laat consumenten weten welke regels (gedrag, privacy en communicatie) gelden binnen de eigen social retailing site van de organisatie; 4. Bedrijfsprocessen • Laat de bedrijfsprocessen aansluiten bij de richtlijnen van social retailing (geen exposure van gevoelige informatie); • Change management moet ingericht zijn om te waarborgen dat de richtlijnen worden nageleefd alvorens te zijn geïmplementeerd
- 22 -
Social Retailing- richtlijnen 5. Technologie •
Implementeer intrusion prevention en antivirus tegen malicious e-mail;
•
Implementeer intrusion prevention tegen malicious social media applicaties;
•
Implementeer maatregelen op gebied van maximale download restricties
•
Draag zorg voor voldoende veilige browser settings (incl. content monitoring)
•
Implementeer tools voor filtering van gevoelige of privacy informatie
•
Creëer incident response plan – Skimming, Phishing – Identiteitsfraude – Merk diefstal - 23 -
Social Retailing- controle programma Bedreiging
Risico
Mitigerende maatregel
Introductie van virus of malware binnen trusted netwerk
• Data leakage/theft • System downtime • Resources required to clean systems • Zombie systems
• Antivirus and antimalware tools beschikbaar en up to date • Tools geïmplementeerd op mobiele devices • Informeer gebruikers over de risico’s van social media
Consument benadering via gekaapte of frauduleuze social media site
• Aansprakelijkheidstelling door klant; • Overtreding privacy wetgeving; • Reputatie schade; • Phishing aanvallen
• Stel een organisatie aan die toezicht houdt op social media sites gericht op het te beschermen merk • Informeer de consument duidelijk over de regels van de social media site
- 24 -
Samenvatting Social Retailing Social Retailing is een HOT item binnen Marketing afdelingen en zal de komende jaren door middel van Social campagnes aan kracht winnen! Organisaties zullen zich de inherente risico’s moeten realiseren en de volgende richtlijnen opstellen 1.Uitvoeren van risico-analyse op social media strategie; 2.Opstellen van beleid specifiek voor social media; 3.Maak de mensen bewust van de risico’s rondom social media; 4.Draag zorg voor integrale aanpak binnen alle bedrijfsprocessen; 5.Implementeer IT controls als mitigerende maatregelen voor risico’s. DUS………werk aan de winkel voor de security officer! - 25 -
iRisk iT Retail
Vragen? iRisk iT Retail is een in Alkmaar gevestigde onafhankelijke dienstverlener die zich specialiseert in het geven van assurance op IT security gerelateerde vraagstukken. Het geven van een onafhankelijk kwaliteitsoordeel en daaraan gekoppelde pragmatisch advies is een geïntegreerd onderdeel in de aanpak van de werkzaamheden.
Menno Borst CISSP (
[email protected])