I social networks come possibili canali dell’impresa. Gli impatti in … · 2015-04-23 · 2011...

I social networks come possibili canali dell’impresa. Gli impatti in materia di privacy ed i relativi controlli

Dario Vaccaro

XXV Convegno Nazionale AIEA, Roma 30 Settembre 2011

2011 Deloitte Enterprise Risk Services- 1 -

Premessa

Impresa 2.0

Persone

Privacy

Sicurezza

Governance

Bibliografia

Agenda


Il Social Media/Networking, nelle sue infinite declinazioni, rappresenta uno dei paradigmi su cui si dovrà misurare “l’azienda digitale” del futuro.

Obiettivo dell’intervento è offrire una sintesi sviluppata sulle seguenti direttrici.

Impresa 2.0: la rivoluzione prossima ventura

Persone: i mutamenti sociali come driver per il cambiamento

Privacy: gli aspetti giuridici e sociali da affrontare per l’impresa

Sicurezza: il contrasto di rischi specifici

Governance: le strategie da attuare per governo e controllo dei new media

Premessa

2011 Deloitte Enterprise Risk Services

Impresa 2.0L’evoluzione degli strumenti tecnologici

Statico Dinamico Frammentato

- 3 -


Enterprise 2.0

Impresa 2.0I new trend secondo Gartner

“l’utilizzo combinato dei quattro trend contribuirà ad aumentare in modo tangibile il fatturato delle aziende nei prossimi 3-5 anni, innovando prodotti/servizi per iniziative di business che coinvolgeranno i consumatori finali o altre aziende”. L’executive management aziendale si attenderà quindi di sfruttare le tecnologie It per far crescere il business mantenendo a livelli accettabili il rischio d’impresa, con l’aspettativa, di un Fatturato guidato dall’It (It-led)”

(Fonte: Peter Sondegaard , Senior Vice President e capo della ricerca worldwide di Gartner, Zerounoweb, 14/07/2011)

- 4 -


Impresa 2.0Verso il Social CRM

Enterprise 2.0

Il Social CRM è pensato per coinvolgere il cliente in una conversazione collaborativa al fine di ottenere un vantaggio reciproco (con l’azienda) in un ambiente di business affidabile e trasparente. Il social CRM è anche la capacitàdell’azienda di rispondere al cliente che è il nuovo titolare della relazione (Paul Greenberg)

Social CRM è l’insieme degli strumenti e dei processi che favoriscono una migliore e più efficace interazione con i clienti. In questo modo si è in grado di sfruttare il lavoro intellettuale e collettivo della comunità dei clienti e, allo stesso tempo, di puntare a un rapporto sempre più stretto e crescente che vede protagonisti l’azienda, i suoi progetti e i suoi clienti (Michael Fauschette)

- 5 -


Impresa 2.0Quali vantaggi dal Social CRM?

Stabilire una relazione più stretta e continua con il clienteEsporre anche i dipendenti verso l’esterno permettendo loro di dare un contributo in base al ruolo e all’esperienza, ma aumentando la fiducia da parte del clienteCapire in dettaglio cosa il pubblico voglia e come i propri prodotti possano essere migliorati per dare una rispostaAbbattere i costi di supporto, migliorando al contempo la qualità dell’esperienzaCostruire un patrimonio di intelligenza collettiva comune ad azienda e pubblicoAumentare il livello di soddisfazione nell’usoCreare dei brand ambassador felici di promuovere non solo il prodotto, ma anche le buone esperienze garantite dall’azienda

(Fonte: www.socialenterprise.it)

- 6 -


Impresa 2.0Come utilizzare il Social CRM?

- 7 -


Impresa 2.0Misurare il proprio livello di maturità

La maggioranza delle aziende si

colloca a Livello 1/2

Procter & Gamble, Dell, Best Buy, Zappos, IBM

- 8 -


Persone Il Driver principale per il cambiamento

Per comprendere le prospettive di un’iniziativa Enterprise 2.0 occorre analizzare innanzitutto quanto l’organizzazione sia matura e quanto la cultura stessa delle persone sia pronta (fonte: l’Enterprise 2.0 alla resa dei conti, POLIMI, aprile 2010).

Studiando Internet e la maggior parte delle sue applicazioni spesso ci si rende conto che un concetto storico dell’evoluzione umana, l’identità personale, sta attraversando un tempo in cui le nuove tecnologie sembrano rimescolare il concetto stesso di identità. In questo, i social network giocano un ruolo assolutamente non marginale, anzi. Ciò lo si vede a qualsiasi livello di applicazioni: profili, filesharing, ma, soprattutto, mondi virtuali (Fonte: www.mediastudies.it)

- 9 -


Persone Il “gap” generazionale

Nativi Digitali

I nativi rappresentano un agglomerato sociale, esposto fin dall’infanzia, ad una cultura visiva ed iconica (televisione, computer, videogiochi) che acutizza la sensibilità e tutti quanti i processi cognitivi che partono dall’immagine (Fonte: Prensky, “Digital Natives, Digital Immigrants”, 2001). Identificati anche come Google generation, Generazione Y, Millennials, Net Generation, Screenagers, i nativi digitali possono essere suddivisi in tre sottogruppi: nativi digitali puri (tra 0 e 12 anni); Millennials (tra 14 e 18 anni), nativi digitali spuri (tra 18 e 25 anni).

Migranti digitali

I migranti sono tutti coloro che sono nati e cresciuti principalmente con l’uso di testo scritto. Hanno un approccio organico alla scrittura e alla lettura e hanno bisogno di strumenti per inquadrare concettualmente un oggetto di studio prima di dedicarsi ad esso. Sono anch’essi variamente definiti: Silver Surfer’s, Gutenbergh digitali a seconda dell’età anagrafica. Non tutti i migranti sono privi di abilità “avanzate” nell’uso dei social media.

- 10 -


Sono abituati a ricevere informazioni molto velocemente;

Sono in grado di svolgere varie attività contemporaneamente;

Preferiscono le illustrazioni prima del testo;

Preferiscono un accesso casuale all’informazione, come se fosse un ipertesto;

Funzionano meglio se “in rete”, collegati;

Adorano gratificazioni istantanee e ricompense frequenti;

Hanno un ottimo rapporto con il “gioco” virtuale, fino al punto di considerarlo parte della cultura stessa;

Inviano sempre meno mail e sempre più instant messages (Cfr. College Stops Giving Students New Email Accounts: Start Of New Trend?)

Commentano sempre meno nei blog e sempre più all’interno dei social network (Cfr. Social Media e Mobile Use )

Il 37% dei giovani usa twitter contro il 22% degli ultra trentenni

- 11 -

Persone I nativi digitali


Avanguardie che dagli anni Novanta hanno esplorato e scoperto nuove opportunità, a forza di tentativi e fallimenti

Tutti coloro che hanno cominciato a occupare e a occuparsi di Internet e di social networks da poco

Categoria centrale nella costruzione della conoscenza, della cultura e delle elaborazioni della rete

Tendenzialmente “conservatori” e non influenzabili da mode e novità del momento

Le persone della fascia di età compresa tra i 25 e i 54 anni sono le più informate sui pericoli di Internet (Gdata Security report 2011)

L’uso delle funzioni sui social network (tipicamente i “link”) è generalmente più prudente con l’aumentare dell’età (Gdata Security report 2011)

- 12 -

Persone I migranti digitali


Pensare al rischio di essere controllati immaginandosi ancora l’uomo con la cuffia che ascolta le conversazioni, o credere che il solo rischio per la libertà di comunicazione e di circolazione sia che qualcuno possa intercettare le nostre telefonate o gli sms, o localizzare gli spostamenti acquisendo i tabulati dei dati di traffico telefonico, è come pensare che la scoperta più recente dell’umanità sia la macchina a vapore. (Francesco Pizzetti, Discorso del Presidente alla Relazione annuale, Luglio 2011)

In una società di trasmissioni c'erano i guardiani, gli editori, che controllavano i flussi di informazioni, poi venne Internet che li spazzò via e permise a tutti noi di collegarci l'un l'altro, ed era fantastico, ma non èquello che sta succedendo adesso. Ciò a cui stiamo assistendo è più che altro il passaggio del testimone dai guardiani umani a quelli algoritmici, il problema è che gli algoritmi non hanno ancora incorporato i principi etici propri degli editori (Eli Pariser, The Filter Bubble, Febbraio 2011)

In due o tre anni sarà impossibile dimenticare, perdersi, annoiarsi, restare soli. Vivremo in un mondo più felice, più trasparente, conosceremo persone nuove e avremo più tempo da dedicare a noi stessi. Sarà, per la prima volta, una rivoluzione per l'intero pianeta e non solo per una piccola elite. Tutto grazie agli smartphone che avete già in tasca, ai tablet che si diffonderanno nei prossimi anni e ai super computer che formano quella nuvola digitale, il "cloud", dove stiamo raccogliendo una grande quantità di informazioni (Eric Schmidt, Chairman Google, Febbraio 2011)

- 13 -

PrivacyStesso argomento, opinioni diverse


Privacyil dato personale nell’era del social networking

I social network rappresentano per l’impresa uno degli aspetti più problematici da gestire sotto il profilo della protezione del dato personale in ragione dell’uso, spesso promiscuo, che ne viene fatto.

Legislazione applicabile

Retention “ad libitum”

Diffusione di informazioni riservate

Tracciabilità e correlazione

Attribuzione della Titolarità

Assenteismo virtuale

Spionaggio industrialeSocial Network

Privacy Policy


PrivacyAttribuzione della Titolarità 1/2

- 15 -

I fornitori di servizi di social network (SNS) propongono piattaforme di comunicazione on-line che consentono di pubblicare e scambiare informazioni fra utenti. Questi fornitori di servizi sono Titolari del trattamento dei dati, poiché determinano sia le finalità che gli strumenti dell'elaborazione di tali informazioni. Gli utenti di questi network, caricandodati personali anche di terzi, potrebbero essere considerati responsabili del trattamento nella misura in cui le loro attività non rientrino nella c.d. "esenzione domestica“ (art. 5, comma 3, D. Lgs 196/03)

WP 169: Parere 1/2010 sui concetti di Titolare e Responsabile deltrattamento

WP 163: Parere 5/2009 sui socialnetwork on-line

Quando il Social Network è usato come piattaforma di collaborazione da una società a fini commerciali, politici o filantropici, non si applica la c.d. esenzione domestica e l’ utente assume tutti gli obblighi di un Titolare del trattamento che comunica dati personali ad un altro Titolare del trattamento (SNS) e a terzi (altri utenti SNS o potenzialmente anche altri Titolari del trattamento con accesso ai dati). In tali circostanze, l’utente ha bisogno del consenso degli interessati o di un’altra opportuna base giuridica ai sensi della Direttiva sulla protezione dei dati. Un numero elevato di contatti può indicare che l’esenzione domestica non si applica e che l’utente va quindi considerato un Titolare del Trattamento.


PrivacyAttribuzione della Titolarità 2/2

- 16 -

Nella relazione annuale 2010 sullo stato di applicazione del Codice Privacy, il Garante ha dato conto delle azioni intraprese relativamente alla segnalazione di abusi relativi su Facebook.

Una persona aveva lamentato di essere stata “taggata” da un’altra, mediante una foto utilizzata per una campagna di sensibilizzazione sul tema dell’AIDS e dell’omosessualità. Il Garante ha osservato che, poiché la pagina web non era stata oggetto di diffusione o di comunicazione sistematica, tale utilizzo doveva considerarsi effettuato per fini esclusivamente personali in base al principio dell’esenzione domestica (art. 5, comma 3, del Codice) e non era pertanto soggetto all’applicazione delle norme del Codice.

Un lavoratore (poi licenziato) aveva segnalato l’utilizzo da parte della sua società di alcune fotografie scattate sul luogo di lavoro e sul cui sfondo erano visibili disegni – a detta dell’azienda –coperti da segreto industriale tratte dal proprio profilo Facebook. Il lavoratore aveva sostenuto il carattere “chiuso” del suo profilo, riservato a una cerchia ristretta di utenti, tra i quali non rientrava il datore di lavoro. Dall’istruttoria, è emersa invece la possibilità per il datore di lavoro di utilizzare lecitamente le foto in questione, in quanto la consultazione era consentita non solo ai contatti scelti dal dipendente (i c.d. “amici”), ma a una comunità più vasta, i c. d. “amici degli amici”, cioè ai contatti scelti dagli amici dell’interessato, quindi a una cerchia di utenti sostanzialmente indeterminabile


Una piattaforma di social network con sede centrale in un paese terzo (USA) ha un proprio “stabilimento” in uno Stato appartenente all’UE. La rete di social network si rivolge attivamente ai residenti di tutti gli Stati membri dell'UE che costituiscono un'importante quota di clienti e introiti. Installa anche cookies sui computer degli utenti dell'UE.In questo caso, la legge applicabile sarà, la legge sulla protezione dei dati dello Stato membro dell'UE in cui è stabilita l'azienda.La questione se la rete di social network ricorre a strumenti situati nel territorio di altri Stati membri è irrilevante.L'autorità di controllo dello Stato membro in cui è stabilita la rete di socialnetwork nell'UE avrà l'obbligo di collaborare con altre autorità di controllo per trattare, ad esempio, richieste o denunce provenienti dai residenti di altri paesi dell'UE.

WP 179: Parere 8/2010 sul diritto applicabile

PrivacyLegislazione applicabile


PrivacyRetention “ad libitum”

- 18 -

La conservazione dei dati in luoghi geografici differenti ha riflessi immediati sia sulla normativa applicabile in caso di contenzioso tra l’utente e il fornitore, sia in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati (Garante Privacy, Cloud computing: indicazioni per l’utilizzo consapevole dei servizi, 2011)

Il lavoro svolto da due ricercatori dell’università di Cambridge ha analizzato le politiche di privacy implementate da ben 45 diversi social network, (Windows Live Spaces, Facebook e MySpace, di cui 16 “specializzati”, (tra questi, LinkedIn, Xing e Video). A proposito di “data retention”scrivono: solo poche piattaforme si sono dimostrate attive nell’indicare pienamente i termini della politica adottata: in particolare, solo 5 su 29 dei network “generalisti”, e 4 su 16 di quelli di nicchia contengono nella pagina di iscrizione un apposito box, con indicazione dei termini di trattamento e conservazione dei dati personali.

Tecnicamente molti siti di social network “dichiarano” tempi di conservazione di 90 giorni.


PrivacyTracciabilità e correlazione dei dati 1/2

- 19 -

Il Social Advertising è la capacità di tener traccia di ogni profilo presente all’interno della rete, correlare i dati che vengono visualizzati ed che organizzare i contenuti promozionali, personalizzandoli a seconda dell’utente che impiega la piattaforma.

Come sostenuto (Eli Parisier, The Filter Bubble, 2011), la tracciatura delle azioni compiute sui social network e sui motori di ricerca sta conoscendo una nuova evoluzione che prende il nome di “bolla dei filtri” (Filter Bubble): Oggi Google usa 57 indicatori – dal luogo in cui siamo al browser che stiamo usando al tipo di ricerche che abbiamo fatto in precedenza – per cercare di capire chi siamo e che genere di siti ci piacerebbe visitare. Anche quando non siamo collegati, continua a personalizzare i risultati e a mostrarci le pagine sulle quali probabilmente cliccheremo. Di solito si pensa che facendo una ricerca su Google tutti ottengano gli stessi risultati: quelli che secondo il famoso algoritmo dell’azienda, PageRank, hanno maggiore rilevanza in relazione ai termini cercati. Ma dal dicembre 2009 non è più così. Oggi vediamo i risultati che secondo PageRank sono più adatti a noi, mentre altre persone vedono cose completamente diverse. In poche parole, Google non è più uguale per tutti (Quello che internet ci nasconde, Internazionale, 6 luglio 2011).


PrivacyTracciabilità e correlazione dei dati 2/2

- 20 -

Sul tema è intervenuto il GdL comunitario “ex art. 29” con un apposito Documento (WP 171, Parere 2/2010 sulla pubblicità comportamentale online) che richiamava, tra gli altri, l’obbligo di considerare gli aspetti vincolanti in tema di cookies contenuto nella c.d. e- Privacy Directive (2009/136/CE). Con l’entrata in vigore della Direttiva (ad oggi nessuno stato europeo ha provveduto al suo recepimento) il meccanismo di consenso oggi esistente (incentrato sull’opt out e definito, nel WP 171 “non soddisfacente”) si sostituirà il meccanismo basato sull’opt in.

Inoltre con una recentissima presa di posizione il Garante federale per la Privacy del Land tedesco dello Schleswig-Holstein, che sembra prendere le mosse dall’allarme lanciato a proposito della “bolla dei filtri”, ha ordinato di rimuovere la funzione “like” di Facebook dai siti istituzionali e non presenti nel Land.

A valle di un’analisi tecnica sul funzionamento dei social plug-in (documento disponibile in tedesco) è stato appurato che Facebook:

Conserva le informazioni rilasciate durante l’uso dai navigatori per due anni

Costruisce profili personalizzati giudicati illegali secondo le leggi sulla privacy federali tedesche (German Telemedia Act e Federal Data Protection Act , e del Land (Data Protection Act of Schleswig-Holstein - LDSG SH).


PrivacyDiffusione di informazioni riservate

In un documento intitolato, “The Best of Strangers: Context-dependent willingness to divulge personal information”, un gruppo di ricercatori della Carnegie Mellon University ha analizzato i meccanismi psicologici alla base delle modalità attraverso le quali ciascuno di noi diffonde i propri dati personali. Lo studio ha provato che non c’è nessuna correlazione tra la maggiore attenzione agli aspetti formali di tutela della Privacy (presenza di informativa, richiesta di consenso esplicito, ecc.) e la fiducia da parte delle persone coinvolte nel test che hanno rivelato dati sensibilissimi anche quando mancavano informazioni sulle modalità di trattamento dei dati personali. Secondo alcuni studiosi (Alan Westin, 2003 e Ackerman Mark, Cranor Lorrie F., Reagle J.- 1999 )la propensione a divulgare informazioni è contestualizzabile in base all’appartenenza ad un determinato “gruppo sociale”:

I marginally concerned sono propensi a fornire i propri dati ai siti web, sotto (quasi) qualunque condizione, sebbene esprimano una mite preoccupazione riguardo alla privacy.I pragmatic majority tengono in considerazione il tema privacy, salvo dimenticarsene nel momento in cui gli viene offerto un servizio attrattivo o un vantaggio monetario, come uno sconto.I privacy fundamentalist sono estremamente preoccupati riguardo ad ogni uso che viene fatto

dei loro dati e generalmente poco propensi a fornire informazioni su di sé, anche qualora fossero in atto misure di reale protezione della privacy


PrivacyAssenteismo virtuale

Il termine di recente coniazione (A. Bottini, il Sole 24ore) individua quei comportamenti tenuti da chi in ufficio dedica il proprio tempo a navigare in rete, chattare od utilizzare social network.

In particolare, l’uso di social network configura l’ipotesi di assenteismo quando sottrae tempo alla prestazione che il lavoratore è tenuto a fornire contrattualmente (Cfr. Cassazione penale sez. VI, 15 aprile 2008, n. 20326. All'indagato - dipendente del Comune di Trani - era stato contestato il reato di peculato perché si serviva del computer dell'ufficio per uso personale usufruendo della rete elettrica e informatica del Comune e navigava in internet su siti non istituzionali scaricando su archivi personali dati e immagini non inerenti la pubblica funzione. La Cassazione ha stabilito che il reato di peculato si configura anche quando risulta compromesso il buon andamento degli uffici della pubblica amministrazione in caso di condotta reiterata e consolidata nel tempo).

Inoltre pubblicare commenti a contenuto denigratorio o divulgare informazioni riservate è stato oggetto di sanzioni (si veda in questo senso il caso di un dipendente della Cassa nazionale di previdenza dei commercialisti licenziato per una serie di commenti considerati ingiuriosi pubblicati nella “bacheca” del proprio profilo Facebook)


PrivacySpionaggio Industriale

Strettamente correlato al tema della divulgazione delle informazioni riservate, l’uso massivo di social media per comunicare/condividere informazioni e progetti od interagire verso l’esterno (dialogo con i clienti), crea le premesse del rischio di essere vittime di quello che può essere definito come Spionaggio Industriale 2.0:

Quantità sempre più elevate di dati sensibili vengono memorizzate, lette, scritte e manipolate nei database dei siti delle aziende, in quanto la loro interazione con i clienti si basa sempre di più su Internet. Come risultato, accedere a questi database è diventato tanto facile quanto oltrepassare la soglia principale del quartier generale di un azienda (Fonte: Sophos Security Threat Report 2011)

A causa della crescente espansione di piattaforme sociali come Facebook o Xing si abbassa notevolmente la soglia del Social Engineering. I social network sono particolarmente adatti anche per la distribuzione mirata di software per lo spionaggio. Le nuove tecniche di competitive intelligence, sono utilizzate per analizzare dati ricavati da registri accessibili al pubblico: Il registro in Internet, ad esempio, non svela solo i nomi dei domini, ma anche il collegamento in rete dei blocchi IP e dei provider utilizzati Se per il test di un nuovo prodotto al blocco di rete viene assegnato un nome eloquente, un’organizzazione di ricerche sa esattamente dove è nascosto l’obiettivo di attacco interessante (Fonte: Dialogue, 01/11)


PrivacyPrivacy Policy

Il citato studio di Bonneau e Preibusch (The Privacy Jungle: On the Market for Data Protection in Social Networks, 2009) ha evidenziato tutta una serie di incongruenze delle “Politiche di privacy”adottate dalla maggioranza delle piattaforme di Social Network:

Mancanza di chiarimenti esaustivi circa l’effettivo uso dei dati personali

Tempi di retention non sempre definiti in maniera chiara

Mancata eliminazione del profilo (e dei dati associati) dopo la cancellazione

Parametri di settaggio del livello di protezione dei dati eccessivamente complessi o non completi (ad es. accesso a dati od immagini senza preventiva autorizzazione da parte dell’utente)

Trasferimento di informazioni a soggetti terzi non chiaramente identificati

Commercializzazione delle informazioni e dei dati inseriti

uso di cookies, web beacon ed altri sistemi per il tagging degli utenti e la tracciatura delle operazioni compiute-


SicurezzaQuali rischi ?

La diffusione di messaggi spam e di allegati infetti continua a costituire una minaccia, malgrado la maggior parte degli intervistati ritenga il problema ormai superato (G Data Security Report 2011)36 milioni di americani dichiarano di aver acquistato medicinali da venditori online.L'invio di allegati malevoli continua ad essere una pratica molto diffusa, ma ancor piùprevalenti sono i messaggi contenenti link a pagine soggette a poisoning: il sistema tramite exploit, o cerca di installare software antivirus fasullo (Sophos Security Threat Report 2011)

Spam

Social Engineering

Malware

Apps

Uno dei più comuni tipi di attacco a cui sono soggetti gli utenti di social Network è il “clickjacking” (furto del clic), noto anche come “reindirizzamento dell'interfaccia utente cui recentemente si è aggiunto il likejacking (Sophos Security Threat Report 2011)

Qualsiasi utente è in grado di creare un'applicazione, e assume quindi un'ampia gamma di poteri di interazione con i dati salvati nelle pagine degli altri utenti e con i sistemi di messaggistica multisito; queste applicazioni, proprio come i sondaggi truffa, possono essere installate ed eseguite sulla pagina di qualsiasi utente (Sophos Security Threat Report 2011)

Casi di phishing e malware si sono rivelati molto diffusi, con l'individuazione di tentativi di phishing da parte del 43% degli utenti e con malware ricevuto dal 40%; è inoltre altamente probabile che esistano vittime inconsapevoli di esserlo (Sophos Security Threat Report 2011).


GovernanceL’uso consapevole dei Social Network

- 26 -

Titolarità Legislazione applicabile Retention Tracciabilità

Diffusione Informazioni

Assenteismo virtuale

Spionaggio Industriale Privacy Policy

Spam Social Engeenering Applicazioni Malware


GovernanceSocial Media Policy 1/2

Un uso consapevole dei Social Network prevede di stabilire, similmente a quanto avviene per l’uso di Internet e Posta Elettronica, una politica chiara ed esaustiva che ricomprenda alcune informazioni di base :

Le modalità di accesso ai social media attraverso la rete aziendale (limiti d’uso personale/aziendale, filtering “ a monte” su determinati siti)

Gestione dei contenuti sul social network (scopo, informazioni pubblicabili/trasferibili, assunzioni di responsabilità individuali sia per siti personali sia per quelli aziendali)

Indicazione di eventuali tecniche di monitoraggio/tracciamento

Le conseguenze in caso di violazione dei principi contenuti nella policy (richiamo, sospensione, licenziamento)

E’ opportuno ricordare che i contenuti dovrebbero, in linea di principio, essere discussi preventivamente ed approvati successivamente dalle Rappresentanze sindacali o, in alternativa dalla Direzione Provinciale del Lavoro.


GovernanceSocial Media Policy 2/2

Per la corretta redazione della Policy possono essere prese a riferimento:

Il Vademecum del Garante per la protezione dei dati personali emanato nel 2009 sull’uso dei Social Network

Il Documento “Social Media Audit/Assurance Program” pubblicato da ISACA nella parte relativa ai controlli da porre in essere sulle Policies(par. 2.2 della tabella presente all’interno del capitolo VI. Audit/Assurance Program)

Esempi di Company Policy reperibili sul sito http://socialmediagovernance.com/policies.php

Social Media Audit/Assurance Program


GovernanceFormazione

Alla base di un corretto uso dei social network piùche su “controlli preventivi” bisogna prevedere attività di formazione focalizzate su quegli aspetti che possono incidere negativamente l’azienda quali:

Uso di strumenti informatici aziendali, di terzi e/o personali

Uso di informazioni aziendali/personali riservate

Conseguenze legali in caso di violazione delle policy aziendali

Tipologie di Rischi associate all’uso dei social media

Politiche di monitoraggio/tracciamento utilizzate


GovernanceProgramma di Audit 1/3

ISACA ha pubblicato il documento “Social MediaAudit/Assurance Program” che fornisce un’utile check list basata sui Controlli previsti dal Cobit 4.1 e dal COSO Internal Framework utilizzabile come base per un programma di Audit/Assurance. Il programma di audit si articola nelle seguenti fasi:Planning and Scoping the Audit. È l’attività propeduetica

all’effettuazione dell’audit vero e proprio. Non contiene riferimenti al CobitStrategy & Governance per verificare il livello di

conformità con le strategie aziendali in termini di gestione del rischio e politiche che descrivono le modalità d’uso aziendalePeople orientata a verifcare il livello di consapevolezza e

le politiche di formazione adottate.Processes, per misurare il grado di discostamento al

business aziendale e alle strategie d’impresa in termini di difesa del brand e accessi non autorizzatiTechnology per verificare se l’infrastruttura tecnologica è

adeguata e se sono in essere efficaci politiche per il monitoraggio



La tabella è articolata in una concatenazione di elementi:

L’ obiettivo rappresenta l’enunciato che deve essere soddisfatto (ad es. L’Obiettivo del Risk Management è che il rischio associato al social media sia identificato, valutato ed allineato con i profili di rischio e con la propensione al rischio dell’impresa)

I controlli, referenziati dal Cobit, rappresentano l’elemento base su cui si poggia l’attività di verifica (ad es. all’obiettivo Risk Management è associato il controllo Initial Risk Assessement che prevede che sia eseguito un Risk assessments prima dell’ inizio diun progetto di social media)

Le azioni declinano i singoli controlli determinando quali evidenze documentali debbono essere considerate (ad es. l’azione “Determine if governance policies require a risk assessment

prior to the initiation of a social media project” richiede di ottenere il policy statemente verificare i criteri di valutazione adottati per i social media)



Di seguito un estratto riferito alla fase Strategy & Governance

Obiettivo Controllo Riferimento Cobit Azioni

Risk Management

Initial Risk Assessment

PO1.2 , PO9.3, PO9.4, ME4.2, ME4.5

• Determine if governance policies require a risk assessment prior to the initiation of a social media project

• Determine if a waiver procedure is in place to override performance of a risk assessment relating to social media resources.

• Determine if risk assessment policies are followed

Ongoing Risk Assessment

PO1.2, PO9.3, PO9.4, , PO9.5, PO9.6, ME4.2, ME4.5

• Determine if policy requires the reperformance or updating of the risk assessment pertaining to social media.

• Determine that risk assessments are performed for changes in the social media technology or scope.

Data Classification Scheme

PO2.3 • Verify if social media information is specifically included in the data classification scheme and that it is in alignment with policies.

Policies

Social Media Policies and Standards

PO4.6, PO4.8, PO6.3, PO6.4

• Determine that clear policies are established and documented. These policies need to describe to employees, vendors and customers acceptable information that can be posted as part of the enterprise social media presence

• Determine that appropriate policies, processes and technologies are established to ensure that legal and/or regulatory issues relating to social media communications are addressed

• Determine that policies have been established to identify specific social media to be blocked.

Contractor Social Media Policies

PO4.6, PO4.8, PO4.14, PO6.3, PO6.4, DS2.4

• Determine that clear policies are established and documented. These policies need to describe to contractors acceptable information that can be posted as part of the enterprise social media presence.

• Determine that the HR function and contractor sponsors are actively involved in the policy implementation.

Bibliografia 1/2

IMPRESA 2.0CRM 2.0 or Social CRM for Financial Industry, Deloitte, 2011State of the ECM Industry: From microfilm to images to documents to content to conversations, Atle Skjekkeland, 2011Cloud, social media, context aware e information computing: l’alba dell’azienda digitale, Zerounoweb, luglio 2011Nasce il Social CRM, ma cos’è il Social CRM?, Michele dell’Edera, Marzo 2011Vari articoli su social media, Social CRM e social enterprise tratti dal sito web www.socialenterprise.it di Emanuele Quintarelli

PERSONEl’Enterprise 2.0 alla resa dei conti, POLIMI, aprile 2010I social network di internet, Gennaio 2011, mediastudies.itCollege Stops Giving Students New Email Accounts: Start Of New Trend?, URL http://www.readwriteweb.com/archives/college_stops_giving_students_new_email_accounts.phpLettura, scrittura e conoscenza: nuovi paradigmi, Massimiliano Padula, aprile 2010

- 33 -

Bibliografia 2/2

- 34 -

PRIVACYRelazione Annuale 2010, Garante per la protezione dei dati PersonaliCloud computing: indicazioni per l’utilizzo consapevole dei servizi, Garante Privacy, 2011Marketing 2.0: Strumenti ed analisi economica, Alessandro Landini, 2009Social networking: a conceptual analysis of a data controller, Rebecca Wong, Communications Law Vol. 14, No. 5, 2009Quello che internet ci nasconde, Internazionale, 6 luglio 2011The Privacy Jungle: On the Market for Data Protection in Social Networks, Bonneau J., Preibusch S., 2009Troppo Facebook, il posto è a rischio, Aldo Bottini, Il Sole24Ore, Marzo 2011The Best of Strangers: Context-dependent willingness to divulge personal information”, A. Acquisti et al., CMU, 2009Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook, URL: https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf (alcune informazioni disponibili in Inglese)Privacy Indexes: A Survey of Westin’s Studies, 2005Privacy in e-Commerce: Examining User Scenarios and Privacy Preferences, Ackerman M. S., Cranor L.F., Reagle J. 1999 Sophos Security Threat Report 2011 (Disponibile in Italiano)G Data Security Report 2011 (Disponibile in Italiano)

I social networks come possibili canali dell’impresa. Gli impatti in … · 2015-04-23 · 2011...

Documents

Transcript of I social networks come possibili canali dell’impresa. Gli impatti in … · 2015-04-23 · 2011...