1

Social Network FootPrint

Governance, Risk & Compliance per il Professional Social Business

Milano, 19 Luglio 2012

Paolo Capozucca, SEC Consulting srl

p.capozucca@alfagroup.it

CONSEGUENZE

I processi decisionali sono sempre più veloci e consapevoli essendo legati all’ analisi di una notevole quantità di informazioni provenienti da fonti anche molto diverse fra loro

La velocità del business è notevolmente aumentata in considerazione dello stato di crisi che stiamo vivendo

Per aumentare gli effetti del marketing le azioni sono sempre più rivolte a nicchie di utenti dove si privilegia il rapporto con il gruppo piuttosto che il collegamento con il singolo

La velocità delle strutture commerciali è nettamente superiore alla velocità organizzativa delle strutture tecniche

SITUAZIONE

PUNTO DI PARTENZA

•Il periodo di crisi fa abbassare il livello medio di controllo per mantere alta la velocità del business

•Non esiste uno strumento privilegiato per la gestione del marketing, si utilizza dalla carta stampata al tablet. Pertanto è molto difficile garantire la corretta circolazione delle informazioni, essendo producibili da chiunque, anche non professionista (es. www.youreporter.it)

•I Social Business divengono elementi centrali di un sistema di relazioni commerciali pur essendo sconosciuti i reali risultati e le conseguenze in termini di sicurezza e controllo delle informazioni

riflessioni La crisi economica sta imponendo due elementi di successo: utilizzo di ogni piattaforma per comunicare e allargare la platea di potenziali consumer, la velocità tra idea di business e attuazione è ormai ridotta a zero. Il risultato è una totale assenza di controllo è soprattutto una totale assenza di valutazione del rischio e delle modalità nel limitarlo e portarlo ad una soglia accettabile

Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all’ inizio di un nuovo modo di intendere la sicurezza nell’ ICT indotto dai Social Business?

IL SOCIAL BUSINESS E‘ UNA REALTA‘ CONSOLIDATA

riflessioni I social Network sono il mezzo più veloce per raggiungere grandi masse di consumatori con la certezza di colpire target molto precisi. Lo sviluppo è così rapido che neanche i pubblicitari riescono ad invidiuare correttamente il valore delle revenue sull’ investimento 3

DIFFUSIONE DEI SOCIAL MEDIA

PREVISIONE ANNO IN CORSO

2 miliardi

100 milioni

10 miliardi

FaceBook

La durata totale dei video caricati ogni minuto su YouTube.

24 ore

2 miliardi Il numero di contenuti (web links, news, posts, ecc) condivisi ogni mese su Facebook (250 milioni di foto al giorno)

Il numero di video visti ogni giorno su YouTube.

numero medio di “tweets” al giorno su Twitter.

Il numero di immagini ospitate su Flickr.

800 milioni di utenti (50% mobili)

400 milioni connessi in media in ogni momento

4

5

La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende.

Entro la fine del 2012, il 100% delle TOP 500 utilizzeranno i Social Media.

“By 2014, social networking services will replace e-mail as the primary vehicle for interpersonal communications for 20 percent of business users.”

“By 2012, over 50 percent of enterprises will use activity streams that include microblogging, but stand-alone enterprise microblogging will have less than 5 percent penetration.”

( Gartner “Predicts 2011: Social Software Is an Enterprise Reality” )

PROSPETTIVE DIFFUSIONE DEI SOCIAL MEDIA

5

riflessioni I social Media stanno cambiando il modo di comunicare. Utilizzando una tecnologia altamente strutturata e procedurizzata si destruttura la modalità con cui i soggetti del business (cliente, fornitore ) si scambiano informazioni, introducendo con molta forza un elemento che sino ad oggi ha avuto un peso non preponderante: L’OPINION LEADER.

La sicurezza tecnologica, nello scambio di informazioni, si interseca fortemente con la sicurezza del contenuto informativo che sempre più spesso è certificato da un networtk e non da un singolo (come nel rapporto cliente-fornitore)

COSA SONO I SOCIAL MEDIA

Definizione di Social Media (Fonte: Wikipedia) Con questo termine si indicano tecnologie e pratiche utilizzate sul web, che le persone adottano per condividere contenuti testuali, immagini, video e audio, permettendo un alto grado di interazione tra i membri, focalizzato alla costruzione di community on-line di persone che condividono interessi e/o attività. Caratteristica distintiva dei Social Media è l’auto-alimentazione, grazie alla condivisione di contenuti generati dagli utenti (“user-generated content”), come ad esempio foto e video digitali, blog, podcast e wiki, che danno luogo alla democratizzazione dell'informazione, che trasforma le persone da fruitori di contenuti ad editori.

Sintesi operativa

“I Social Media sono un insieme di

piattaforme Web 2.0 tramite le quali gli

utenti interagiscono direttamente,

producendo e condividendo contenuti

propri e/o elaborando contenuti altrui, in

tempo reale”.

però…

Perché sono per lo più gratuiti?

Di chi sono? Chi li controlla?

Come sono regolati contrattualmente?

Cosa ci fanno con i social graph degli

utenti?

E con i dati immessi dagli utenti?

E con le foto?

Sono “filtrati”?

Sono “neutrali”?

Sono “liberi”?

Sono “sicuri”?

6

I SOCIAL MEDIA SONO ANCHE…

Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations.

Alcuni fatti (noti) tra i più eclatanti:

Utilizzati attivamente da Anonymous (e gruppi simili)

Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli

Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO

Utilizzati da Aziende contro concorrenti ed attivisti

1 Command, Control, Computers, Communications, Intelligence,

Surveillance and Reconnaissance

ARMI

Essendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo.

Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure più semplicemente inutilizzabili.

In effetti è già successo, a causa di:

rivolte, insurrezioni e guerre civili

attacchi cyber di vario genere e scopo

azioni di sabotaggio e di protesta

attività di poisoning tramite personae / bots

censura di Stato

(Meglio non darli troppo per scontati)….

BERSAGLIO

Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un “fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del 250% sull’anno precedente. Nel 2010 74 milioni di persone sono stati vittime di cybercrime negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $. Il costo totale worldwide (perdite dirette + costi & tempo dedicati a rimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E’ più del PIL del Vietnam, dell’Ucraina e della Romania sommati!

Se il trend continua, nel 2011 questi costi

saranno pari a metà del PIL italiano…. (circa

1 trilione di dollari).

PARADISO DEL CYBER CRIME

7

Sfruttando la notizia della morte di Bin Laden, in poche ore decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie… Per la natura dei Social Media, i criminali informatici hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di pochi giorni…

Un solo esempio per tutti…. Ne potremmo fare alcune migliaia, ogni giorno ne abbiamo di nuovi

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER GLI UTENTI

8

9

I Social Media sono una importante fonte di rischio d’impresa… anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine, cause legali…

I SOCIAL MEDIA SONO ANCHE… UN RISCHIO PER LE AZIENDE

9

riflessioni I social media sono un grande rischio per utenti e aziende perché la loro diffusione iniziale è stata legata a meccanismi ludico-sociale che non hanno fatto percepire la pericolosità e i rischi connessi alla frequentazione di questi strumenti. Anche nelle aziende la prima valutazione è stata di tipo ludico e ne è riprova la pratica comune di elevare difese sotto forma di filtri sui firewall 9 9

Sicurezza infrastrutturale e processi formativi si intersecano a formare un unico pacchetto della sicurezza aziendale. Anzi, sicurezza personale e sicurezza aziendale divengono un tutt’ uno.

10

D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo? 90% risponde “non so”…

LE AZIENDE NON SONO PRONTE AI NUOVI SCENARI

10 10

riflessioni I social media stanno rivoluzionando il modo di pensare la sicurezza delle aziende perché viene annullato il concetto di “perimetro”. Riprendono valore le “ best practice” a cui ogni dipendente viene abituato/istruito dall’ azienda.

10 10

Le aziende non hanno più il perimetro di sicurezza. L’ unico argine sono il perimetro delle procedure

MA…

NECESSARIO UN NUOVO MODO DI PENSARE LA SICUREZZA

CONSEGUENZE

Social Media e “consumerizzazione” dei sistemi, ci hanno abituato ad avere dispositivi personali nell’ uso quotidiano lavorativo. In un periodo storico di crisi come questo, le aziende vedono con favore questa pratica (BYOD) perché limita i costi e esternalizza alcuni problemi di manutenzione e gestione. Questo ha un risultato devastante sulla sicurezza, specialmente nell’era dei social media. Il 35% degli italiani hanno uno smartphone contro una media del 10% nel resto del mondo. Il 53% degli italiani usa il device mobile per accedere al social Network

SITUAZIONE

Nella destrutturazione conta maggiormente il comportamento dei singoli puttosto che l’ infrastruttura. Pertanto la formazione diventa un perno centrale della sicurezza.

Per esempio la gestione del welcome kit assume un valore completamente diverso. Da sistema di accoglienza e apertura dei sistemi al nuovo arrivato a definizione del livello di accesso alle informazione.

11

•formazione ed aggiornamento a tutti i livelli su rischi derivanti dai social Media

• Definizione di regole chiare e condivise specifiche per l’utilizzo dei Social Media

• Controllo e misura del livello di adozione e la loro efficacia nel tempo rispetto all’evoluzione delle minacce

• Responsabilizzazione degli utenti e delle strutture aziendali coinvolte, a qualsiasi titolo, dall’uso dei Social Media.

NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell’IT né un ambito di pertinenza esclusiva del Marketing!

In un contesto tanto nuovo e complesso, noi scegliamo di puntare sulla formazione continua per il management, gli utenti ed i partner. Nessun sistema informatico è così esperto da superare un sistema di procedure ben progettato e realizzato dove l’ uomo che applica le regole è anche “pensante”. I livelli di implementazione dello “scudo di difesa” sono i seguenti:

FORMAZIONE O DIFESA PASSIVA

12

Dal momento che subire un incidente è solo questione di tempo, è di fondamentale importanza

implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all’interno di un piano

complessivo di Social Media Management. Pertanto i processi di formazione si devono armonizzare con

tutti quelli tipici della difesa:

Definizione di policies e responsabilità

Moderazione della conversazione

Prevenzione delle minacce (early warning)

Analisi dei Rischi e Monitoraggio continuo (VA, PT)

Tutela legale (proattiva e reattiva)

Gestione degli incidenti e degli attacchi informatici

Questo sia per ottimizzare il ROI del Social Business, sia per evitare

danni economici o d’immagine (anche importanti e complessi

da sanare), sia per impedire la perdita di dati sensibili o per

rimediare ove gli incidenti si siano già verificati.

LA FORMAZIONE E IL PERIMETRO VIRTUALE

13

•Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni scientifiche (ROI, KPI, KSI…. NB basta chiacchiere!)

•Creare una struttura multidisciplinare per la gestione della Social Business Strategy, che includa ed integri competenze di Marketing, Legali, di HR, di GRC e di Information Security

•Nominare un unico responsabile per la Social Business Strategy, che abbia una visione globale dei problemi e delle opportunità ed il potere di implementare le procedure necessarie

•scegliere i consulenti giusti affinchè siano in grado di trasformare gli obiettivi di sicurezza in procedure organizzative.

Il Web 2.0 ed il Social Business in particolare non sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo. I passi organizzativi da compiere per avere un approccio positivo sono i seguenti:

ORGANIZZAZIONE DELLE PROCEDURE DI FORMAZIONE E CONTROLLO

14

Sul “fronte interno” (NB non c’è più il perimetro!)

Strong Authentication + Network Access Control +

Next Generation Firewall

Endpoint protection / Application control / Device control (anche mobile!)

Data Loss & Leakage prevention / DRM / Encryption end-to-end

Sul “fronte esterno” (NB il resto del mondo)

Early Warning / Security Intelligence

Cloud based antimalware / Reputation based monitoring

Reputation Management / Brand Management

OSInt / Analisi e correlazione dei contenuti a livello semantico

SSOC (Socialmedia Security Operations Center)

Tutto questo in un’ottica di Risk Management, Governance & Compliance.

PREVENZIONE, MONITORAGGIO IN REAL TIME E REAZIONE AGLI INCIDENTI

Tutte le procedure sono integrate da una serie di interventi che si sintetizzano attraverso il “fronte interno” e il “fronte Esterno”.

15

PROCEDURE DI DIFESA PASSIVA

Il social network esalta in maniera esponenziale la variabile tempo introducendo la necessità dell’ automazione del processo di difesa per garantire:

Nell’ era dei Social network le informazioni sono condivise in maniera immediata senza alcuna procedura di validazione.

I sistemi di Process Management continuano ad assolvere alla loro funzione di validazione e controllo con la differenza che gran parte dell’ attività deve essere svolta attraverso automatismi in grado di analizzare elevate quantità di dati destrutturati

PREMESSA I social network hanno moltiplicato le tecniche di Haking basate su attacchi simultanei costruiti attraverso gruppi di incontro. Le procedure di reazione basate sull’ azione degli uomini non sono più adeguate. Sono troppo lente NUOVO SCENARIO Il Process Management offre sistemi software che automatizzano la reazione attraverso tre tecniche: •Analisi di simulazione di automi (DEMO) •definizione di processi standard di reazione •Security Intelligence legata all’ analisi dei dati dei log con tecniche tipiche della business intelligence

SICUREZZA DEI DATI

SICUREZZA DEI SISTEMI

16

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

Il Process Management assume il ruolo di “FireWall virtuale” agli attacchi portati dagli stessi sistemi utilizzati per generare e condividere le informazioni.

l’ informazione destrutturata rientra nel formalismo del processo di circolazione dell’ informazione per garantire il contenuto di quanto condiviso con i vari attori.

Nel’ era dell’ informazione destrutturata l’ analisi semantica assume un valore sempre più elevato per verificare l’ enorme

quantità di informazione presenti su tutti i media ma senza un adeguato sistema di processi di verifica è un patrimonio privo di valore. Questi garantiscono: Sicurezza all’ infrastruttura ICT, valore, veridicità, tempestività, utilizzo corretto dell’ informazione. (molto spesso le informazioni ci sono ma non si evidenziano rispetto alla massa)

Dopo aver analizzato l’ impatto dei Social Media sull’ infrastruttura e sui processi di marketing, si evidenzia la necessità di valutare l’ impatto anche sui processi tradizionali legati alla gestione delle informazioni aziendali in ambito amministrativo e strategico. I presupposti logici per intervenire sulle procedure aziendali sono i seguenti.

La revisione dei processi di business in esercizio, indotta dai social Media determina, nuove problematiche di sicurezza?

17

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

La revisione dei processi di business in esercizio, in chiave social media, possono indurre vulnerabilità sino a quel momento sconosciute, di seguito riportiamo le più significative:

Processo di Audit- Acquisti

L’ audit di un fornitore può essere condotta attraverso strumenti non tradizionali legati alla reputention nella rete. In tempo di crisi economica, può essere interpretato meno costoso e altrettanto sicuro fare una indagine su internet piuttosto che spostare il personale per la tradizionale visita ispettiva. Di conseguenza tutta l’ area acquisti è profondamente influenzata

Processo di Budget

Il social media permette di avere a disposizione una quantità di informazioni quasi infinita a costituire la base del processo di eleborazione. Al contrario, lo scambio di opinioni o idee tra colleghi, attraverso social media, può indurre un vantaggio nel personale del concorrente che può elaborare strategie aziendali di contrasto. I Rumors possono avere un effetto ben più siginficativo dei numeri.

18

Processo di ricerca del personale

È una delle frontiere più significative dei social Media. Da un lato sono abbattutte tutte le bariere spazio-temporali, dall’ altro le informazioni che pervengono non sono affidabili.

Processo contabile

E’ apparentemente il processo più lontano da una interazione con i Social Media. In realtà la vulnerabilità dell’ infrastruttura elevata dai social media determina la necessità di proteggere uno dei beni più preziosi dell’ azienda rappresentato dai suoi dati amministativi.

RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI

19

20

UN DECALOGO DI BUONE PRATICHE

1. Definizione degli obiettivi che l’ azienda vuole legare al contesto operativo dei Social Media. Non vanno affrontati per moda.

2. Valutazione dei profili di rischio derivanti da un uso improprio che possono esporre l’ azienda a danni legati a perdita di dati, svilimento dell’ immagine e della reputazione.

3. Gestione della sicurezza attraverso l’ adozione di un mix tra azioni di difesa attiva, passiva e formazione del personale.

4. Definizione delle figure responsabili della sicurezza e della gestione di questo ambito operativo.

5. Gestione delle procedure di comunicazione affinchè siano coerenti con gli obiettivi informativi e di sicurezza.

6. Tutela dell’ immagine aziendale attraverso l’ introduzione di opportuni processi di monitoraggio.

7. Valutazione periodica delle strategie di controllo per il perfezionamento continuo della Social Security attraverso opportuni sistemi di Social Security Intelligence.

8. Formazione del personale sui rischi e sulle politiche di gestione dei social network a tutti i livelli.

9. Formazione del personale sul corretto utilizzo degli strumenti informatici a disposizione con particolare riguardo alla “consumerizzazione” degli strumenti di utilizzo aziendale.

10. Essere consapevoli che il rischio non è annullabile ma mitigabile, in un contesto dove il rischio è, in ogni caso, molto alto.