Social Network Social Network FootPrintFootPrint

1

GRC & Social Network FootPrint

Torino, 25 Ottobre 2012

Paolo Capozucca,

SEC Consulting srlp.capozucca@alfagroup.it

CONSEGUENZEITUAZIONE

Due parole su di noi: L‘affiliata italiana di

COMSEC Consulting è la società israeliana fondata nel 1987 da Nissim Nissim BarBar--ElEl, con 25 anni di esperienza consolidata in tutti i settori della Information Security.

È la più grande società di consulenza All-inclusive di Information Security in Europa (Fonte: Gartner Group).

Opera in tutto il mondo attraverso un centro di eccellenza globale a Tel Aviv, affiliate in UK, Olanda, Turchia, Polonia…

Impiega oltre 140 professionisti della sicurezza. Auditor certificato per ISO:27001;

Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all’ inizio di un nuovo modo di intendere la sicurezza nell’ ICT indotto dai Social Business?

Auditor certificato per ISO:27001; Certificata QSA PCI/DSS & PA/DSS

Advisor di ENISA all'interno del PSHLeader nella Cyber Security

CONSEGUENZE

I processi decisionali sono sempre più veloci e consapevoli essendo legati all’ analisi di una notevole quantità di informazioni provenienti da fonti anche molto diverse fra loro

La velocità del business è notevolmente aumentata in considerazione dello stato di crisi che stiamo vivendo

Per aumentare gli effetti del marketing le azioni sono sempre più rivolte a nicchie di utenti dove si privilegia il rapporto con il

SITUAZIONE

PUNTO DI PARTENZA: Aziende, Modelli di Business, Velocità, Crisi

•Il periodo di crisi fa abbassare il livello medio di controllo per mantere alta la velocità del business

•Non esiste uno strumento privilegiato per la gestione del marketing, si utilizza dalla carta stampata al tablet. Pertanto è molto difficile garantire la corretta circolazione delle informazioni, essendo producibili da chiunque, anche non professionista (es. www.youreporter.it)

•I Social Business divengono elementi utenti dove si privilegia il rapporto con il gruppo piuttosto che il collegamento con il singolo

La velocità delle strutture commerciali è nettamente superiore alla velocità organizzativa delle strutture tecniche

•I Social Business divengono elementi centrali di un sistema di relazioni commerciali pur essendo sconosciuti i reali risultati e le conseguenze in termini di sicurezza e controllo delle informazioni

riflessioniLa crisi economica sta imponendo due elementi di successo: utilizzo di ogni piattaforma per comunicare e allargare la platea di potenziali consumer, la velocità tra idea di business e attuazione è ormai ridotta a zero.Il risultato è una totale assenza di controllo è soprattutto una totale assenza di valutazione del rischio e delle modalità nel limitarlo e portarlo ad una soglia accettabile

Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all’ inizio di un nuovo modo di intendere la sicurezza nell’ ICT indotto dai Social Business?

IL SOCIAL BUSINESS E‘ UNA REALTA‘ ORMAI CONSOLIDATA

3 su 4 Americaniusano qualche tipo di

social technology (www.kloudsocial.com)

2/3 della global community

ha utilizzato un sito di

1382% al meseIl tasso di crescita

su Twitter (blog.nielsen.com)

2,600,000,000 minuti

riflessioniI social Network sono il mezzo più veloce per raggiungere grandi masse di consumatori con la certezza di colpire target molto precisi.Lo sviluppo è così rapido che neanche i pubblicitari riescono ad individuare correttamente il valore delle revenue sull’investimento

4

ha utilizzato un sito di social networking

(blog.nielsen.com)

2,600,000,000 minutial giorno passati

suFacebook(thefuturebuzz.com)

10% di tutto iltempo di

navigazione suInternet

È speso sui siti di social networking

(leggi:è la 4 attivitàonline, più dell’uso

della email!) (blog.nielsen.com)

IL SOCIAL BUSINESS : qualche altro numero

Il 50% degli impiegatidichiara di non avere unaPolicy di utilizzo dei Social Network(survey condotto dalla Society of Corporate Compliance and Ethics (SCCE) e dalla Health Care Compliance Association (HCCA))

Attacchi sui siti di social networking rappresentano il20% di tutti gli attacchi online

Altre statistiche (da Facebook):• 1 MILIARDO di utenti• In media ogni utente ha 130 amici• Oltre 900 milioni di oggetti con

cui le persone interagiscono(pagine, gruppi, eventi e pagine di community )

• In media ogni utente è collegatocon 80 community, grouppi edeventi

• In media ogni utente crea 90 parti

riflessioniA sinistra i numeri relativi alla sicurezza evidenziano immaturità degli ISMS e rischi.Sulla destra, i numeri sulla diffusione sono impressionanti: ormai sono utilizzati anche per studi sociali (es: il concetto di amico e il numero di essi per utente) 5

20% di tutti gli attacchi online (RSA Security survey)

• In media ogni utente crea 90 partidi contenuto al mese

(www.facebook.com)

DIFFUSIONE DEI SOCIAL MEDIA

PREVISIONE ANNO IN CORSO

2 miliardi

100 milioni

La durata totale dei video caricati ogni minuto su YouTube.24 ore

2 miliardi Il numero di contenuti (web links, news, posts, ecc) condivisi ogni mese su Facebook(250 milioni di foto al giorno)

Il numero di video visti ogni giorno su YouTube.

numero medio di “tweets” al giorno su Twitter.

10 miliardi

FaceBook

Il numero di immagini ospitate su Flickr.

800 milioni di utenti (50% mobili)

400 milioni connessi in media in ogni momento

6

La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende.

Entro la fine del 2012, il 100% delle TOP 500 utilizzeranno i Social Media.

“By 2014, social networking services will replace e-mail as the primary vehicle for

interpersonal communications for 20 percent of business users.”

“By 2012, over 50 percent of enterprises will use activity streams that include

microblogging, but stand-alone enterprise microblogging will have less than 5

percent penetration.”

PROSPETTIVE DIFFUSIONE DEI SOCIAL MEDIA

7

( Gartner “Predicts 2011: Social Software Is an Enterprise Reality” )

7

riflessioniI social Media stanno cambiando il modo di comunicare. Utilizzando una tecnologia altamente strutturata e procedurizzata si destruttura la modalità con cui i soggetti del business (cliente, fornitore ) si scambiano informazioni, introducendo con molta forza un elemento che sino ad oggi ha avuto un peso non preponderante: L’OPINION LEADER.

La sicurezza tecnologica, nello scambio di informazioni, si interseca fortemente con la sicurezza del contenuto informativo che sempre più spesso è certificato da un networtk e non da un singolo (come nel rapporto cliente-fornitore)

COSA SONO I SOCIAL MEDIA

Definizione di Social Media (Fonte:

Wikipedia)

Con questo termine si indicano tecnologie e

pratiche utilizzate sul web, che le persone

adottano per condividere contenuti

testuali, immagini, video e audio,

permettendo un alto grado di interazione

tra i membri, focalizzato alla costruzione di

community on-line di persone che

condividono interessi e/o attività.

Caratteristica distintiva dei Social Media è

l’auto-alimentazione, grazie alla

condivisione di contenuti generati dagli

utenti (“user-generated content”), come ad

Sintesi operativa

“I Social Media sono un

insieme di piattaforme Web

2.0 tramite le quali gli utenti

interagiscono direttamente,

producendo e condividendo

però…

� Perché sono per lo più gratuiti?

� Di chi sono? Chi li controlla?

� Come sono regolati utenti (“user-generated content”), come ad

esempio foto e video digitali, blog, podcast

e wiki, che danno luogo alla

democratizzazione dell'informazione, che

trasforma le persone da fruitori di

contenuti ad editori.

producendo e condividendo

contenuti propri e/o

elaborando contenuti altrui,

in tempo reale”.

� Come sono regolati

contrattualmente?

� Che uso fanno dei social graph

degli utenti?

� E dei dati immessi dagli utenti?

� E delle foto?

� Sono “filtrati”?

� Sono “neutrali”?

� Sono “liberi”?

� Sono “sicuri”?

8

I SOCIAL MEDIA SONO ANCHE…

Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations.

Alcuni fatti (noti) tra i più eclatanti:

� Utilizzati attivamente da Anonymous (e gruppi simili)

� Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed

ARMI

Essendo diventati a tutti gli effetti un’armaed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo.

Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure più semplicemente inutilizzabili.

In effetti è già successo, a causa di:

BERSAGLIO

Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrimeorganizzato trans-nazionale, che ha raggiunto un “fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del 250%sull’anno precedente.

Nel 2010 74 milioni di persone sono stati vittime di cybercrime negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010

PARADISO DEL CYBER CRIME

Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli

� Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO

� Utilizzati da Aziende contro concorrenti ed attivisti

1 Command, Control, Computers, Communications, Intelligence,

Surveillance and Reconnaissance

� rivolte, insurrezioni e guerre civili

� attacchi cyber di vario genere e scopo

� azioni di sabotaggio e di protesta

� attività di poisoning tramite personae / bots

� censura di Stato

(Meglio non darli troppo per scontati)….

di perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $.

Il costo totale worldwide (perdite dirette + costi & tempo dedicati a rimediare agli attacchi) nel 2010 è stato stimato in 388 Md$. E’ più del PIL del Vietnam, dell’Ucraina e della Romania sommati!

Se il trend continua, nel 2011 questi costi

saranno pari a metà del PIL italiano…. (circa

1 trilione di dollari).

9

Sfruttando la notizia della morte di Bin Laden, in poche ore decine di

Un solo esempio per tutti…. Ne potremmo fare alcune migliaia, ogni giorno ne abbiamo di nuovi

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER GLI UTENTI

Sfruttando la notizia della morte di Bin Laden, in poche ore decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie…

Per la natura dei Social Media, i criminali informatici hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di pochi giorni…

10

I Social Media sono una importante fonte di rischio d’impresa… anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine, cause legali…

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER LE AZIENDE

1111

riflessioniI social media sono un grande rischio per utenti e aziende perché la loro diffusione iniziale è stata legata a meccanismi ludico-sociale che non hanno fatto percepire la pericolosità e i rischi connessi alla frequentazione di questi strumenti. Anche nelle aziende la prima valutazione è stata di tipo ludico e ne è riprova la pratica comune di elevare difese sotto forma di filtri sui firewall 1111

Sicurezza infrastrutturale e processi formativi si intersecano a formare un unico pacchetto della sicurezza aziendale. Anzi, sicurezza personale e sicurezza aziendale divengono un tutt’ uno.

D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo?

90% risponde “non so”…

LE AZIENDE NON SONO PRONTE AI NUOVI SCENARI

121212

riflessioniI social media stanno rivoluzionando il modo di pensare la sicurezza delle aziende perché viene annullato il concetto di “perimetro”. Riprendono valore le “ best practice” a cui ogni dipendente viene abituato/istruito dall’ azienda.

1212

Le aziende non hanno più il perimetro di sicurezza. L’ unico argine sono il perimetro delle procedure

MA…

NECESSARIO UN NUOVO MODO DI PENSARE LA SICUREZZA

CONSEGUENZE

Social Media e “consumerizzazione” dei sistemi, ci hanno abituato ad avere dispositivi personali nell’ uso quotidiano lavorativo. In un periodo storico di crisi come questo, le aziende vedono con favore questa pratica (BYOD) perché limita i costi e esternalizza alcuni problemi di manutenzione e gestione. Questo ha un risultato devastante sulla sicurezza, specialmente nell’era dei social media.Il 35% degli italiani hanno uno

SITUAZIONE

Nella destrutturazione conta maggiormente il comportamento dei singoli puttosto che l’ infrastruttura. Pertanto la formazione diventa un perno centrale della sicurezza.

Per esempio la gestione del welcome kit assume un valore completamente diverso. Da sistema di accoglienza e apertura dei sistemi al nuovo arrivato a definizione del livello di accesso alle informazione.Il 35% degli italiani hanno uno

smartphone contro una media del 10% nel resto del mondo. Il 53% degli italiani usa il device mobile per accedere al social Network

13

•formazione ed aggiornamento a tutti i livelli su rischi derivanti dai Social Media

• Definizione di regole chiare e condivise specifiche per l’utilizzo dei Social Media

• Controllo e misura del livello di adozione e la loro efficacia nel tempo rispetto all’evoluzione delle minacce

• Responsabilizzazione degli utenti e delle strutture aziendali coinvolte, a qualsiasi titolo, dall’uso dei Social Media.

In un contesto tanto nuovo e complesso, noi scegliamo di puntare sulla formazione continua per il management, gli utenti ed i partner. Nessun sistema informatico è così esperto da superare un sistema di procedure ben progettato e realizzato dove l’ uomo che applica le regole è anche “pensante”. I livelli di implementazione dello “scudo di difesa” sono i seguenti:

FORMAZIONE O DIFESA PASSIVA

NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell’IT né un ambito di pertinenza esclusiva del Marketing!

14

Dal momento che subire un incidente è solo questione di tempo, è di fondamentale importanza

implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all’interno di un piano

complessivo di Social Media Management. Pertanto i processi di formazione si devono armonizzare con

tutti quelli tipici della difesa:

� Definizione di policies e responsabilità

� Moderazione della conversazione

� Prevenzione delle minacce (early warning)

� Analisi dei Rischi e Monitoraggio continuo (VA, PT)

� Tutela legale (proattiva e reattiva)

� Gestione degli incidenti e degli attacchi informatici

LA FORMAZIONE E IL PERIMETRO VIRTUALE

Questo sia per ottimizzare il ROI del Social Business, sia per evitare

danni economici o d’immagine (anche importanti e complessi

da sanare), sia per impedire la perdita di dati sensibili o per

rimediare ove gli incidenti si siano già verificati.

15

•Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni dimostrabili (ROI, KPI, KSI…. )

•Creare una struttura multidisciplinare per la gestione della Social Business Strategy, che includa ed integri competenze di Marketing, Legali, di HR, di GRC e di Information Security

•Nominare un unico responsabile per la Social Business Strategy, che abbia una visione globale dei problemi e delle opportunità ed il potere di implementare le procedure

Il Web 2.0 ed il Social Business in particolare non sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo. I passi organizzativi da compiere per avere un approccio positivo sono i seguenti:

ORGANIZZAZIONE DELLE PROCEDURE DI FORMAZIONE E CONTROLLO

opportunità ed il potere di implementare le procedure necessarie

•scegliere i partner giusti (non esistono al momento economie di scala, la specializzazione è vincente) affinchè siano in grado di trasformare gli obiettivi di sicurezza in procedure organizzative e non soltanto in contromisure tecnologiche!

16

Sul “fronte interno” (NB non c’è più il perimetro!)

� Strong Authentication + Network Access Control +

Next Generation Firewall

� Endpoint protection / Application control / Device control (anche mobile!)

� Data Loss & Leakage prevention / DRM / Encryption end-to-end

Sul “fronte esterno” (NB il resto del mondo)

PREVENZIONE, MONITORAGGIO IN REAL TIME E REAZIONE AGLI INCIDENTI

Tutte le procedure sono integrate da una serie di interventi che si sintetizzano attraverso il “fronte interno” e il “fronte Esterno”.

Sul “fronte esterno” (NB il resto del mondo)

� Early Warning / Security Intelligence

� Cloud based antimalware / Reputation based monitoring

� Reputation Management / Brand Management

� OSInt / Analisi e correlazione dei contenuti a livello semantico

� SSOC (Socialmedia Security Operations Center)

Tutto questo in un’ottica di Risk Management, Governance & Compliance.

17

PROCEDURE DI DIFESA PASSIVA

Il social network esalta in maniera esponenziale la variabile tempo introducendo la necessità dell’ automazione del processo di difesa per garantire:

Nell’ era dei Social network le informazioni sono condivise in maniera immediata senza alcuna procedura di validazione.

I sistemi di Process Management continuano ad assolvere alla loro

PREMESSAI social network hanno moltiplicato le tecniche di Haking basate su attacchi simultanei costruiti attraverso gruppi di incontro. Le procedure di reazione basate sull’ azione degli uomini non sono più adeguate. Sono troppo lente

SICUREZZA DEI DATI

SICUREZZA DEI SISTEMI

continuano ad assolvere alla loro funzione di validazione e controllo con la differenza che gran parte dell’ attività deve essere svolta attraverso automatismi in grado di analizzare elevate quantità di dati destrutturati

NUOVO SCENARIOIl Process Management offre sistemi software che automatizzano la reazione attraverso tre tecniche:•Analisi di simulazione di automi (DEMO)•definizione di processi standard di reazione•Security Intelligence legata all’ analisi dei dati dei log con tecniche tipiche della business intelligence

18

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

Il Process Management assume il ruolo di “FireWall virtuale” agli attacchi portati dagli stessi sistemi utilizzati per generare e condividere le informazioni.

l’ informazione destrutturata rientra nel formalismo del processo di circolazione dell’ informazione per garantire il contenuto di quanto condiviso con i vari attori.

Dopo aver analizzato l’ impatto dei Social Media sull’ infrastruttura e sui processi di marketing, si evidenzia la necessità di valutare l’ impatto anche sui processi tradizionali legati alla gestione delle informazioni aziendali in ambito amministrativo e strategico. I presupposti logici per intervenire sulle procedure aziendali sono i seguenti.

La revisione dei processi di business in esercizio, indotta dai social Media determina, nuove problematiche di

Nel’ era dell’ informazione destrutturata l’ analisi semantica assume un valore sempre più elevato per verificare l’ enorme

quantità di informazione presenti su tutti i media ma senza un adeguato sistema di processi di verifica è un patrimonio privo di valore. Questi garantiscono:Sicurezza all’ infrastruttura ICT, valore, veridicità, tempestività, utilizzo corretto dell’ informazione. (molto spesso le informazioni ci sono ma non si evidenziano rispetto alla massa)

problematiche di sicurezza?

19

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

La revisione dei processi di business in esercizio, in chiave social media, possono indurre vulnerabilità sino a quel momento sconosciute, di seguito riportiamo le più significative:

Processo di Audit- Acquisti

L’ audit di un fornitore può essere condotta attraverso strumenti non tradizionali legati alla reputention nella rete. In tempo di crisi economica, può essere interpretato meno costoso e altrettanto sicuro fare una indagine su internet piuttosto che spostare il personale per la tradizionale visita ispettiva.Di conseguenza tutta l’ area acquisti è profondamente

influenzata

Processo di BudgetProcesso di Budget

Il social media permette di avere a disposizione una quantità di informazioni quasi infinita a costituire la base del processo di eleborazione. Al contrario, lo scambio di opinioni o idee tra colleghi, attraverso social media, può indurre un vantaggio nel personale del concorrente che può elaborare strategie aziendali di contrasto. I Rumors possono avere un effetto ben più siginficativo dei numeri.

20

Processo di ricerca del personale

È una delle frontiere più significative dei social Media. Da un lato sono abbattutte tutte le bariere spazio-temporali, dall’ altro le informazioni che pervengono non sono affidabili.

Processo contabile

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

Processo contabile

E’ apparentemente il processo più lontano da una interazione con i Social Media. In realtà la vulnerabilità dell’ infrastruttura elevata dai social media determina la necessità di proteggere uno dei beni più preziosi dell’ azienda rappresentato dai suoi dati amministativi.

21

UN DECALOGO DI BUONE PRATICHE

1. Definizione degli obiettivi che l’ azienda vuole legare al contesto operativo

dei Social Media. Non vanno affrontati per moda.

2. Valutazione dei profili di rischio derivanti da un uso improprio che possono esporre l’ azienda a danni legati a perdita di dati, svilimento dell’ immagine e della reputazione.

3. Gestione della sicurezza attraverso l’ adozione di un mix tra azioni di difesa attiva, passiva e formazione del personale.

4. Definizione delle figure responsabili della sicurezza e della gestione di questo ambito operativo.

5. Gestione delle procedure di comunicazione affinchè siano coerenti con gli obiettivi informativi e di sicurezza.

22

obiettivi informativi e di sicurezza.6. Tutela dell’ immagine aziendale attraverso l’ introduzione di opportuni

processi di monitoraggio dei Social Media.7. Valutazione periodica delle strategie di controllo per il perfezionamento

continuo della Social Security attraverso opportuni sistemi di Social Security Intelligence.

8. Formazione del personale sui rischi e sulle politiche di gestione dei social networking a tutti i livelli.

9. Formazione del personale sul corretto utilizzo degli strumenti informatici a disposizione con particolare riguardo alla “consumerizzazione” degli strumenti di utilizzo aziendale. (Smartphone, Tablet)

10. Essere consapevoli che il rischio non è annullabile ma mitigabile, in un

contesto dove il rischio è, in ogni caso, molto alto.

GRC & Social Network GRC & Social Network FootPrintFootPrint

GRAZIE !

Domande?

Torino, 25 Ottobre 2012

23

Domande?

Paolo Capozucca,

SEC Consulting srl

p.capozucca@alfagroup.it

Mobile:348.1519777