RISCHIO BIOLOGICO. Segnale di indicazione del RISCHIO BIOLOGICO RISCHIO BIOLOGICO.
LA SICUREZZA NEI SOCIAL MEDIA - AIEA · Il rischio -1 Se la concorrenza sleale capisce il fenomeno...
45
LA SICUREZZA NEI SOCIAL MEDIA Mauro Alovisio, Fellow Nexa Martina Girolimetto, CSQA Enrico Ferretti, Protiviti Sergio Fumagalli, Zeropiù Francesca Gatti, Aused Roberto Obialero, ADS - gruppo Finmatica Rosario Piazzese, TIG Laura Quaroni, KPMG Alessandro Vallega, Oracle e Clusit Andrea Zapparoli Manzoni, Clusit 1
Transcript of LA SICUREZZA NEI SOCIAL MEDIA - AIEA · Il rischio -1 Se la concorrenza sleale capisce il fenomeno...
LA SICUREZZA NEI SOCIAL MEDIA
Mauro Alovisio, Fellow NexaMartina Girolimetto, CSQA Enrico Ferretti, Protiviti Sergio Fumagalli, Zeropiù Francesca Gatti, Aused Roberto Obialero, ADS - gruppo Finmatica Rosario Piazzese, TIG Laura Quaroni, KPMG Alessandro Vallega, Oracle e Clusit Andrea Zapparoli Manzoni, Clusit
1
2
liberamente scaricabilehttp://c4s.clusit.it
Licenza CC-BY-SA versione 3.0
PRIMA COSA: COMPILARE LA SURVEY
3
Autori del deliverable
� Riccardo Abeti, Studio Legale Abeti � Andrea Albanese, WMM � Mauro Alovisio, Università di Torino � Gabriele Baduini, Spike Reply� Ernesto Belisario, e-Lex� Bruno Bernardi, CSQA Certificazioni � Alberto Borgonovo, KPMG� Andrea Castello, CSQA Certificazioni � Marco Ferrara, KPMG� Enrico Ferretti, Protiviti � Alberto Fioravanti, DigitalMagics � Sergio Fumagalli, ZEROPIU � Matteo Galimberti, BSC Consulting � Antonello Gargano, Protiviti � Francesca Gatti, AUSED � Davide Giordano, Spike Reply� Martina Girolimetto, CSQA� Jun Woo Lee, KPMG
� Dominick Leiweke, TIG� Michele Magri, Michael Slim International � Andrea Mariotti, Ernst & Young � Rodolfo Mecozzi, Ernst & Young � Matteo Morato, Ernst & Young � Roberto Obialero, ADS – Gruppo Finmatica� Riccardo Ongaro, AUSED � Roberto Parisi, Eretici, SE � Gerolamo Pellicano', Studio Legale e
Tributario CBA � Rosario Piazzese, TIG� Natale Prampolini, AIEA � Laura Quaroni, KPMG � Sofia Scozzari, IDialoghi� Paola Seminaroti, Protiviti � Alessandro Vallega, Oracle / Clusit� Andrea Zapparoli Manzoni, IDialoghi / Clusit
4
3 associazioni, 3 studi legali e 16 aziende per un totale di 34 professionisti
ORACLE COMMUNITY FOR SECURITY
5
� Return on Security Investments
� Fascicolo Sanitario Elettronico
� Privacy nel Cloud
� Mobile e Privacy
� Sicurezza nel Social Media
� I Primi 100 giorni del Responsabile della Sicurezza delle Informazioni”
Più di trenta aziende, studi legali e associazioni legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia
6
Oracle Community for Security
http://www.oracle.com/it/technologies/security/part ner-171975-ita.html
C4S.CLUSIT.IT
Più di trenta aziende, studi legali e associazioni legate dalla voglia di far crescere insieme la cultura di sicurezza in Italia
7
Oracle Community for Security
http://www.oracle.com/it/technologies/security/part ner-171975-ita.html
Privacy nel Cloud
Mobile e Privacy
42000 download in
un anno
Sicurezza nel Social Media
Presentato qui il 12/3/2013
C4S.CLUSIT.IT
I Primi 100 giorni del Responsabile della Sicurezza delle Informazioni
Processo di produzione� Tema
� Scelta del tema, definizione del target� Elezione del leadership team
� Componenti� Stesura della distinta base� Assegnazione degli autori� Stesura componenti� Review e rework componenti
� 1° Master (online)� Nomina di un editor� Integrazione in un unico master condiviso online� Comments, rewiew e rework
� 2° Master (asincrono)� Trasposizione in un unico sorgente condiviso asincrono� Review finale
� Pubblicazione
8
INTRODUZIONE
9
Ciliegia
10
� I Social Media sono una ciliegia, rossa e matura. Pronta per essere addentata.
� ... Ma chi mangia le ciliegie sta attento al nocciolo!!
� Il fenomeno del social media
� Indicazioni per un progetto sicuro
� I casi aziendali
11
SI USANO I SOCIAL MEDIA NELLE AZIENDE ITALIANE?
Francesca Gatti, Martina Girolimetto
12
13
14
Questionario sulla gestione e percezione della secu rity in ambito Social MediaNr. Domanda SI %SI
1 Avete una policy per i dipendenti relativa ai Social Media? 4 44,4%
2 Avete dei documenti guida per i dipendenti su come comportarsi sui Social Media?
3 33,3%
3 Avete un sistema di rilevazione degli accessi ai sistemi social? 4 44,4%
4 Avete una policy BYOD (Bring your Own Device)? 2 22,2%
5 è consentito l’utilizzo di device personali in azienda per accedere alla rete/applicazioni/web?
7 77,8%
6 Le persone possono liberamente accedere ai Social Network? 7 77,8%
7 Alcuni Social Network sono bloccati all’accesso dei dipendenti? 2 22,2%
8 Esiste un comitato per la sicurezza (che segue le tematiche IT)? 4 44,4%
9 Avete un sistema di Security Assessment dedicato alla navigazione Online? 6 66,7%
10 Avete un sistema di Security Assessment dedicato ai Social Media? 0 0,0%
11 Ci sono meeting periodici di allineamento tra marketing, ICT e HR sulle iniziative Social Media?
8 33,3%
12 Ci sono integrazioni con i sistemi di Contact Center, Call Center con i Social Media?
0 0,0%
13 I fornitori di soluzioni marketing Social Media e Web, nel caso di forniture SaaS, sono sottoposti ad un Security Audit?
1 11,1%
14 Effettuare periodici test di Vulnerability Assessment? 6 66,7%
15
Aumentare la velocità di accesso al sapere
Bookmarking 8 Information 6
Ridurre i costi di comunicazione Video 8Community
Microblogging 86
Velocizzare l’accesso ad esperti/interni
Video 7 Tech 8 Community 7Design Tech
Ridurre i costi di trasporto Video 9 Travel 7 Travel 5
Aumentare la soddisfazione dei dipendenti
Community 8
Merchandising Video 7
Aumentare il numero di innovazioni di successo
Ridurre il time-to-market Tech 9 Tech
CollaborazioneTipol. - Rilevanza
Uso interno: B2B/B2E
ComunicazioneTipol. - Rilevanza
CondivisioneTipol. - Rilevanza
CollaborazioneTipol. - Rilevanza
ComunicazioneTipol. - Rilevanza
CondivisioneTipol. - Rilevanza
Rid
urre
i co
sti
Aum
enta
re i
ricav
i
Uso esterno: B2CUtilizzo dei social da parte delle imprese
Matrice tipologia-obiettivi di business
16
VOI RISCHIATE A PRESCINDERE Sergio Fumagalli, Alessandro Vallega
17
Il caso
Può capitare anche a te?
18
Il fenomeno
I Social Media sono un fenomeno intrinsecamente “consumer”.I Social Media non sono un
fenomeno dominato o finanziato dalle imprese.
I Social Media esistono e si diffondono secondo percorsi
difficilmente prevedibili e influenzabili dalel imprese.
19
Il fenomeno
Da sempre i consumatori parlano dei prodotti e delle aziende che li producono
da sempre i dipendenti parlano e sparlano dei capi, dell’azienda, per cui
lavorano, del lavoro che fanno: I Social Media rendono la piazza
globale, fanno sì che il chiacchiericcio coinvolga tutti e raggiunga tutti gli angoli
della terra
20
Il fenomeno
Si può licenziare un dipendente ma non un consumatore, si può
far causa ad un concorrente sleale ma non ad un filmato, ad
un post, ad un click
21
Il fenomeno
I fattori moltiplicativi portano potenzialmente a coinvolgere nel chiacchiericcio dei Social Media
l’intera popolazione dei consumatori finali, delle imprese: non si può
ignorarlo
22
Il problema
� Ogni azienda (ogni persona) può essere coinvolta inconsapevolmente dai Social Media:� Perché qualcuno parla dei suoi prodotti� Perché scelte aziendali provocano reazioni sociali (lavoro, ambiente,
salute,…)� Perché l’azienda è una appartenenza comune dei suoi dipendenti o fornitori o
clienti e dunque un elemento passivo di aggregazione
� I Social Media non sono facilmente inquadrabili sotto il profilo legale:� Responsabilità� Foro competente� Giurisprudenza
� La presenza passiva nei Social Media non è evitabile e può provocare danni significativi
23
Il rischio - 1
� Se la concorrenza sleale capisce il fenomeno nasce un nuovo rischio di business
� Un consumatore insoddisfatto, un dipendente arrabbiato possono trasformarsi - a costo zero - in un rischio reputazionale verso tutti i clienti
� Il nuovo rischio non riguarda solo le grandi aziende, i grandi marchi:� Una pensione romagnola contro un’altra (scegliete gli alberghi con
Trip advisor?)� Un ristorante invece di un altro (consultate i pareri dei clienti prima di
scegliere?)
Senza che l’azienda abbia fatto nullaSenza che l’azienda ne sappia nulla
Quando
X
24
Il rischio - 2
� Le community, i gruppi spontanei, le chat, i blog � che parlano dell’azienda o dei bisogni che i prodotti dell’azienda
risolvono (salute, alimentazione, bambini, …) � che organizzano le relazioni tra colleghi (l’aperitivo, la partitella,
l’azione sindacale, …)
sono un target preferenziale per attività di social engineering� Gli attori di questi fenomeni possono diventare veicoli
inconsapevoli di informazioni riservate, indirizzi di e-mail, organigrammi, di appuntamenti o garanti di reputazioni false
Senza che l’azienda abbia fatto nullaSenza che l’azienda ne sappia nulla
25
La risposta
� C’è un costo da sostenere per contrastare i rischi derivanti dalla semplice esistenza dei Social Media� Rendere consapevole l’azienda dei rischi� Rendere consapevoli i propri dipendenti dei rischi impliciti nello
strumento� Monitorare la presenza passiva (citazioni, riferimenti, notizie)� Creare le condizioni per reagire in fretta e bene
� Questo costo è legato alla presenza passiva sui Social Media: viene prima e deve essere aggiunto ai costi dei progetti aziendali di presenza sui Social Media
� Il ROI nei Social Media deve essere valutato al netto del costo della “presenza passiva”
Social media neutrality
26
QUANDO POI CI SEI (NEL SOCIAL) CHE SUCCEDE...
Roberto Obialero, Laura Quaroni, Mauro Alovisio
27
I rischi
� Le caratteristiche dei Social Media che offrono alle aziende le maggiori opportunità e, dunque, esercitano la maggiore attrattiva, sono spesso i medesimi elementi che danno luogo ai maggiori rischi tecnologici .
� Un approccio strutturato alla gestione dei rischi, richiede innanzitutto una catalogazione dei rischi specifici , derivanti dall’utilizzo dei Social Media.
28
I rischi generati dall’utilizzo dei Social Media in azienda sono molteplici ma possono essere classificati secondo i seguenti cluster principali:
• rischio di conformità• operativo • relazionale.
Rischio di Conformità
Rischio Operativo
Rischio relazionale
I rischi
29
Rischio di Conformità
Rischio Operativo
Rischio relazionale
� Trattamento dei dati non conforme alla normativa vigente
� trattamento dei dati non conforme alle politiche aziendali
� Rapporti con dipendenti e candidati
� Commistione tra dati personali e dati aziendali
� Danneggiamento del brand (danni all’immagine verso l’esterno)
� Danni all’immagine verso l’interno
� Insoddisfazione dei clienti
� Diffusione di malware
� Furto d’identità
� Phishing e Social Engineering
� Rapporti con dipendenti e candidati
� Perdita di produttività
� Perdita di controllo sui contenuti
� Rischi operativi dei Social Media tramite dispositivi mobili
Trascurare la sicurezza: esempi di casi critici
30
Aspetti legali� da Consumatori a Consum-attori� creatori di banche dati,informazioni e contenuti (assenza
di obbligo di sorveglianza per gli hosting provider sugli user-generated content ai sensi dell’ art. 17 Decreto e-commerce D.Lgs.70/2003 di attuazione della direttiva 2000/31/CE)
� Consapevolezza (condizioni di utilizzo, diritti di proprietà intellettuale, diritto all’immagine, cookie, profilazione)
� Responsabilità (danno da reputazione; diffamazione)Garante Privacy e social 2013: Connetti la testa Come rimediare all’asimmetria informativa delle piattaforma
on line? è possibile l'autotutela, dalla gestione autonoma dei propri dati personali? es. tag foto senza consenso
31
Social Media Policy � Il nuovo regolamento europeo “cloud-friendly” sul diritto alla
protezione dei dati personali si applicherà ai social media, impatto su portabilità dei dati, notificazione di violazione dei dati; data breach, diritto all’oblio, data protection officer
� Social Media Policy esterne : regole di netiquette per lo spazio di interazione, dialogo e ascolto, trasparenza, comportamenti consentiti come contemperare i diritti di espressione, immagine, onore?
� Social Media Policy interne : come portare a bordo dei social tutte le figure aziendali? con quali regole per i dipendenti?
� Come contemperare il diritto dell’impresa e la sicurezza informatica con lo statuto dei lavoratori? con Social Media Privacy Act? Case study: diffamazione dipendente su social (Trib. di Livorno,sentenza n. 38912 /2012)
32
CONTROMISUREEnrico Ferretti, Andrea Zapparoli Manzoni
33
Gli ambiti di azione
Le contromisure devono agire in maniera sinergica su tre direttrici:
� people (soluzioni di carattere culturale / organizzativo);
� process (soluzioni di carattere processuale / procedurale);
� technology (soluzioni di carattere tecnologico).
34
Gli ambiti di azione
Le contromisure possono essere raggruppate in base al tipo di rischio da mitigare, in particolare:
� Rischio operativo� Rischio relazionale
Naturalmente l’applicazione parziale e/o non coordinata delle contromisure risulta inefficace . Allo stesso modo, l’assenza di figure professionaliadeguatamente preparate e di dialogo tra i manager delle diverse aree coinvolte (HR / IT / Security / Marketing / Legal) le rende poco incisive .
35
Alcuni esempi…
36
Matrice di corrispondenza Rischio/Contromisura - Cl uster “Rischio Operativo”
Rischio Contromisure Categorie contromisure
Diffusione di malware
Implementazione di sistemi antivirus/antimalware ed aggiornamento degli stessi PROCESS TECHNOLOGY
Utilizzo di tecnologie di content filtering TECHNOLOGY
Sistemi di monitoraggio (es. MDM) installati sui device mobili TECHNOLOGY
Utilizzare tecniche di full disk encryption al fine di proteggere l’accesso ai solo utenti autorizzati TECHNOLOGY
Aggiornamento delle policy esistenti e/o definizione di policy specifiche PROCESS
Conduzione di campagne di sensibilizzazione verso i dipendenti PEOPLE
Furto d’identità Restringere gli accessi alle proprie pagine a gruppi di persone selezionati PEOPLE
Non pubblicare indiscriminatamente informazioni personali sui Social Media PEOPLE
Utilizzo di sistemi anti-phishing TECHNOLOGY
Definire una chiara politica per la gestione delle password, che sensibilizzi i dipendenti all’utilizzo di password complesse
PEOPLE PROCESS
Implementazione di tecniche di autenticazione multi-factor TECHNOLOGY
37
Matrice di corrispondenza Rischio/Contromisura - Cl uster “Rischio Operativo”
Rischio Contromisure Categorie contromisure
Social Engineering Conduzione di corsi di formazione specifici: una formazione adeguata dovrebbe comprendere aspetti di sicurezza e di conformità alle policy aziendali PEOPLE PROCESS
Implementazione di tecniche di autenticazione multi-factor TECHNOLOGY
Implementazione di una soluzione DLP (Data Loss Prevention) sul traffic web al fine di bloccare la diffusione di informazioni classificate come critiche
TECHNOLOGY
Perdita di produttività
Definizione di un’apposita social media policy, che disciplini chiaramente gli ambiti di applicazione e le potenziali azioni disciplinari PEOPLE PROCESS
Monitoraggio dell’utilizzo dei social media TECHNOLOGY
Identificare un limite alla capacità di banda per le connessioni dirette verso i social media TECHNOLOGY
Perdita di controllo sui contenuti
Revisione, da parte delle funzioni Legale e Comunicazione, degli user agreement specifici per i Social Media PEOPLE PROCESS
Stabilire policy che definiscano chiaramente quali informazioni possono essere pubblicate PEOPLE PROCESS
Implementazione di una soluzione DLP (Data Loss Prevention) sul traffic web al fine di bloccare la diffusione di informazioni classificate come critiche TECHNOLOGY
Implementazione di un sistema per il log delle comunicazioni avvenute TECHNOLOGY
Alcuni esempi…
38
Matrice di corrispondenza Rischio/Contromisura - Cl uster “Rischio Relazionale”
Rischio Rischio Categoria contromisura
Danneggiamento del brand (danni all’immagine verso l’esterno)
Verifica, anche mediante l’utilizzo di società esterne, degli utilizzi impropri del brand aziendale PEOPLE PROCESS
Divulgazione di informative periodiche per rendere consapevoli i clienti di potenziali frodi
PEOPLE
Definire chiare linee guida riguardo alla tipologia di informazioni che possono essere divulgate
PEOPLE PROCESS
Utilizzare tool specifici per il monitoraggio del brand sui social media (piattaforme di Online Reputation Management). TECHNOLOGY
Definire un piano di gestione della crisi che definisca il processo di escalation nel caso di danni all’immagine aziendale
PROCESS
Alcuni esempi…
39
Matrice di corrispondenza Rischio/Contromisura - Clus ter “Rischio Relazionale”
Rischio Rischio Categoria contromisura
Danni all’immagine verso l’interno
Definizione di un’apposita social media policy, che disciplini chiaramente gli ambiti di applicazione e le potenziali azioni disciplinari PEOPLE PROCESS
Utilizzare tool specifici per il monitoraggio del brand sui social media (piattaforme di Online Reputation Management).
TECHNOLOGY
Definire un piano di gestione della crisi che definisca il processo di escalation nel caso di danni all’immagine aziendale
PROCESS
Insoddisfazione dei clienti Assicurarsi che la struttura individuata e le tecnologie a supporto siano adeguati per gestire la quantità di traffico generata dalla presenza sui Social Media PEOPLE TECHNOLOGY
Garantire una comunicazione trasparente coi clienti PEOPLE
Alcuni esempi…
Riassumendo
40
Per ottimizzare il ROI del Social Business, sia per evitare danni economici o d’immagine
(anche importanti e complessi da sanare), sia per impedire la perdita di dati sensibili o
per rimediare ove gli incidenti si siano già verificati, è necessario:
� Fare formazione ed aggiornamento a tutti i livelli
� Definire regole (policy) chiare e condivise specifiche per l’utilizzo dei Social Media
� Controllare e misurare il loro livello di adozione e la loro efficacia nel tempo rispetto
all’evoluzione delle minacce
� Responsabilizzare gli utenti e le strutture aziendali coinvolte, a qualsiasi titolo, dall’uso
dei Social Media.
� Adottare le tecnologie necessarie
� Moderare la conversazione social per prevenire gli incidenti (in real time!)
� Creare processi e team multidisciplinari in grado di gestire le crisi
NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell’IT ne un ambito
di pertinenza esclusiva del Marketing!
RISULTATI DELLA SURVEY TRA IL PUBBLICO DI SECURITY SUMMIT
Andrea Zapparoli Manzoni, Rosario Piazzese
41
42
43
44
C4S.CLUSIT.IT
45
