Clusit Edu Social Business Security

22
Social Network e Business: istruzioni per l'uso Milano 20 Ottobre 2011 – Seminario Clusit Education Andrea Zapparoli Manzoni

description

 

Transcript of Clusit Edu Social Business Security

Page 1: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso

Milano 20 Ottobre 2011 – Seminario Clusit Education

Andrea Zapparoli Manzoni

Page 2: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 2

Andrea Zapparoli Manzoni nasce nel 1968 a Milano.

Inizia l’attività lavorativa nel 1995 e si interessa attivamente di ICT Security dal 1997, con particolare

riferimento alle tematiche GRC (Governance, Risk e Compliance).

Negli anni si occupa di IDM, IAM, DLP, Anti Frode, Security Intelligence, Forensics, Cybercrime,

Vulnerability Assessment e Management in contesti Enterprise, Industriali, PA Centrale e Gov-Mil.

Scrive articoli e saggi su tematiche di sicurezza e segue con grande attenzione tutte le evoluzioni della

Cybersecurity a livello internazionale.

In qualità di trusted advisor collabora con Enti ed Istituzioni, nazionali ed internazionali.

Contribuisce alle attività di Clusit partecipando a convegni, realizzando documenti ( oltre a redigere 2 pattern

del ROSI, ha trattato DLP e SCADA) e diffondendo la cultura dell’IT Security in Italia.

Oltre a collaborare con numerose aziende italiane ed estere, è fondatore e CEO de iDialoghi, società di

consulting specializzata nella progettazione e realizzazione di soluzioni di Information Security avanzate / non

convenzionali, incluso l’ambito Social Media.

Presentazioni

Page 3: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 3

Cominciamo dando un pò di numeri…

La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende.

(Fonte: SC Magazine – Shining the spotlight on Social Media - 2011)

I Social Media nel Mondo

Page 4: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 4

I Social Media in Italia

Le Aziende italiane fanno un uso “acerbo” ma comunque crescente dei Social Media, e li utilizzano prevalentemente verso i Media e gli Utenti finali.

Page 5: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 5

Diffusione dei Social Media

25 MILIARDI.Il numero di contenuti (web links, news, posts, note, foto, ecc) condivisi ogni mese su Facebook.

24 ORE.La durata totale dei video caricati ogni minuto su YouTube.

2 MILIARDI. Il numero di video visti ogni giorno su

YouTube.

50 MILIONI.Il numero medio di “tweets” al giorno su Twitter.

10 MILIARDI. Il numero di immagini ospitate su Flickr.

Page 6: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 6

Diffusione di Facebook

Page 7: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 7

Prospettive di Diffusione del Social Business

“By 2014, social networking services will replace e-mail as the primary vehicle for interpersonal communications for 20 percent of business users.”

“By 2012, over 50 percent of enterprises will use activity streams that include microblogging, but stand-alone enterprise microblogging will have less than 5 percent penetration.”

“Within five years, 70 percent of collaboration and communications applications designed on PCs will be modeled after user experience lessons from smartphone collaboration applications.”

( Gartner “Predicts 2011: Social Software Is an Enterprise Reality” )

Page 8: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 8

OK… ma cosa sono i Social Media?

“I Social Media sono un insieme di piattaforme Web 2.0 tramite le quali gli utenti interagiscono direttamente, producendo e condividendo contenuti propri e/o elaborando contenuti altrui, in tempo reale”.

Questo è certamente vero, però…

Perché sono per lo più gratuiti? Di chi sono? Chi li controlla? Come sono regolati contrattualmente? Cosa ci fanno con i social graph degli utenti? E con i dati immessi dagli utenti? E con le foto? Sono “filtrati”? Sono “neutrali”? Sono “liberi”? Sono “sicuri”?

Page 9: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 9

I Social Media sono anche… armi

Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations.

Alcuni fatti (noti) tra i più eclatanti:

Utilizzati attivamente da Anonymous (e gruppi simili) Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc)

per PsyOps, OSInt ed acquisizione bersagli Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in

Libia dalle Forze Speciali, a supporto di operazioni NATO Utilizzati da Aziende contro concorrenti ed attivisti

1 Command, Control, Computers, Communications, Intelligence, Surveillance and Reconnaissance

Page 10: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 10

I Social Media sono anche… bersagli

Essendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo.

Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure più semplicemente inutilizzabili.

In effetti è già successo, a causa di:

rivolte, insurrezioni e guerre civili attacchi cyber di vario genere e scopo azioni di sabotaggio e di protesta attività di poisoning tramite personae / bots censura di Stato

(Meglio non darli troppo per scontati)….

Page 11: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 11

I Social Media sono anche… il Paradiso del Cybercrime

Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un “fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del 250% sull’anno precedente.

Nel 2010 74 milioni di persone sono stati vittime di cybercrime negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $.

Il costo totale worldwide (perdite dirette + costi & tempo dedicati a rimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E’ più del PIL del Vietnam, dell’Ucraina e della Romania sommati!

Se il trend continua, nel 2011 questi costi saranno pari a metà del PIL italiano….

(Fonti: Symantec, Kaspersky, DHS, KPMG, Brookings Institute, Infosec Island, iDialoghi)

Page 12: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 12

… e il Cybercrime è in crescita esponenziale

Principali attacchi ad Enti ed Aziende (di cui si ha notizia) del solo mese di agosto 2011.

(Fonte Video: Paolo Passeri – http://paulsparrows.wordpress.com – Elaborazione iDialoghi)

Page 13: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 13

I Social Media sono un rischio per gli Utenti

Sfruttando la notizia della morte di Bin Laden, in poche ore decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie…

Per la natura dei Social Media, i criminali informatici hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di pochi giorni…

Un solo esempio per tutti….Ne potremmo fare alcunemigliaia, ogni giorno ce nesono di nuovi…

Page 14: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 14

I Social Media sono un rischio per il Business

I Social Media sono una importante fonte di rischio d’impresa… anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine…

Page 15: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 15

Le Aziende non sono pronte…

D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo? 90% risponde “non so”…

Page 16: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 16

Quali contromisure, come e quando?

Dal momento che subire un incidente è solo questione di tempo, è di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all’interno di un piano complessivo di Social Media Management:

Formazione Definizione di policies e responsabilità Moderazione della conversazione Prevenzione delle minacce (early warning, VA, PT, war games) Analisi dei Rischi e Monitoraggio continuo Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informatici

Questo sia per ottimizzare il ROI del Social Business, sia per evitaredanni economici o d’immagine (anche importanti e complessi da sanare), sia per impedire la perdita di dati sensibili o per rimediare ove gli incidenti si siano già verificati.

Page 17: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 17

Ostacoli alle contromisure

La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli; Un numero crescente di minacce si realizza a livello semantico,

impossibile da monitorare e gestire con strumenti tradizionali; Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri; Per vari motivi, è "vietato vietare" (particolarmente in Italia); La normativa tutela (giustamente) la privacy e le libertà dei

collaboratori, complicando le attività di monitoraggio; Le tecnologie di mitigazione non sono ancora al passo con le

problematiche (ma si evolvono a gran velocità); Le policy ed i comportamenti virtuosi sono sempre in ritardo rispetto

alle tecnologie.

Oltre ai Rischi derivanti dal Cybercrime, vanno considerati ed affrontati una serie di ostacoli, che rischiano di indebolire il processo di Social Business Management.

Page 18: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 18

Formazione ed Awareness

Fare formazione ed aggiornamento a tutti i livelli Definire regole chiare e condivise specifiche per l’utilizzo dei Social

Media Controllare e misurare il loro livello di adozione e la loro efficacia

nel tempo rispetto all’evoluzione delle minacce Responsabilizzare gli utenti e le strutture aziendali coinvolte, a

qualsiasi titolo, dall’uso dei Social Media.

NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell’IT ne un ambito di pertinenza esclusiva del Marketing!

La conoscenza è potere. In contesto tanto nuovo e complesso, è necessario impostare dei processi di formazione continua per il management, gli utenti ed i partner.

Page 19: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 19

Organizzazione e Gestione

Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni scientifiche (ROI, KPI, KSI…. NB basta chiacchiere!)

Creare una struttura multidisciplinare per la gestione della Social Business Strategy, che includa ed integri competenze di Marketing, Legali, di HR, di GRC e di Information Security

Nominare un unico responsabile per la Social Business Strategy, che abbia una visione globale dei problemi e delle opportunità

…e magari scegliere i consulenti giusti ?

“La potenza è nulla senza controllo”. Il Web 2.0 ed il Social Business in particolare non sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo.Le aziende devono modificarsi ed organizzarsi di conseguenza (NB Darwin docet!)

Page 20: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 20

Prevenzione, Monitoraggio e Contrasto

Sul “fronte interno” (NB non c’è più il perimetro!)

Strong Authentication + Network Access Control + Next Generation Firewall Endpoint protection / Application control / Device control (anche mobile!) Data Loss & Leakage prevention / DRM / Encryption end to end

Sul “fronte esterno” (NB il resto del mondo)

Early Warning / Security Intelligence Cloud based antimalware / Reputation based monitoring Reputation Management / Brand Management OSInt / Analisi e correlazione dei contenuti a livello semantico (testi e immagini)

Tutto questo in un’ottica di Risk Management, Governance & Compliance

Page 21: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 21

Social Business Management

Anche se le prospettive sono ancora tutte da comprendere, i valori in gioco sono enormi, e così anche i rischi.

Gestire i nuovi scenari di rischio derivanti dall'adozione del Social Business è una necessità ed un'opportunità.

Selezionare le tecnologie più adatte, formare le persone, individuare le strategie, le policies ed i controlli più efficaci in ogni contesto ed integrare diverse discipline nel processo di Social Business Management è una sfida che dobbiamo affrontare...

Parliamone insieme!

Il Social Business è il nuovo paradigma di attività commerciale emerso dal Web 2.0, indietro non si torna.

Page 22: Clusit Edu Social Business Security

Social Network e Business: istruzioni per l'uso - Andrea Zapparoli Manzoni 22

Grazie!

Andrea Zapparoli Manzoni

[email protected]