GRC & Social Network FootPrint

Transcript

1 Social Network FootPrint Giuseppe Cusello, SEC Consulting srl GRC & Social Network FootPrint Paolo Capozucca, SEC Consulting srl Roma, 10 Dicembre

2 Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all inizio di un nuovo modo di intendere la sicurezza nell ICT indotto dai Social Business? Due parole su di noi: L affiliata italiana di COMSEC Consulting ITUAZIONE è la società israeliana CONSEGUENZE fondata nel 1987 da Nissim Bar-El, con 25 anni di esperienza consolidata in tutti i settori della Information Security. È la più grande società di consulenza All-inclusive di Information Security in Europa (Fonte: Gartner Group). Opera in tutto il mondo attraverso un centro di eccellenza globale a Tel Aviv, affiliate in UK, Olanda, Turchia, Polonia Impiega oltre 140 professionisti della sicurezza. Auditor certificato per ISO:27001; Certificata QSA PCI/DSS & PA/DSS Advisor di ENISA, membro di OWASP Leader nella Cyber Security

3 PUNTO DI PARTENZA: Aziende, Modelli di Business, Velocità, Crisi SITUAZIONE I processi decisionali sono sempre più veloci e consapevoli essendo legati all analisi di una notevole quantità di informazioni provenienti da fonti anche molto diverse fra loro La velocità del business è notevolmente aumentata in considerazione dello stato di crisi che stiamo vivendo Per aumentare gli effetti del marketing le azioni sono sempre più rivolte a nicchie di utenti dove si privilegia il rapporto con il gruppo piuttosto che il collegamento con il singolo La velocità delle strutture commerciali è nettamente superiore alla velocità organizzativa delle strutture tecniche CONSEGUENZE Il periodo di crisi fa abbassare il livello medio di controllo per mantere alta la velocità del business Non esiste uno strumento privilegiato per la gestione del marketing, si utilizza dalla carta stampata al tablet. Pertanto è molto difficile garantire la corretta circolazione delle informazioni, essendo producibili da chiunque, anche non professionista (es. I Social Business divengono elementi centrali di un sistema di relazioni commerciali pur essendo sconosciuti i reali risultati e le conseguenze in termini di sicurezza e controllo delle informazioni riflessioni La crisi economica sta imponendo due elementi di successo: utilizzo di ogni piattaforma per comunicare e allargare la platea di potenziali consumer, la velocità tra idea di business e attuazione è ormai ridotta a zero. Il risultato è una totale assenza di controllo è soprattutto una totale assenza di valutazione del rischio e delle modalità nel limitarlo e portarlo ad una soglia accettabile Sono ancora valide le pratiche sino ad ora adottate per fare sicurezza o siamo all inizio di un nuovo modo di intendere la sicurezza nell ICT indotto dai Social Business?

4 IL SOCIAL BUSINESS E UNA REALTA ORMAI CONSOLIDATA 3 su 4 Americani usano qualche tipo di social technology ( 1382% al mese Il tasso di crescita su Twitter (blog.nielsen.com) 2,600,000,000 minuti al giorno passati sufacebook (thefuturebuzz.com) 10% di tutto il tempo di navigazione su Internet È speso sui siti di social networking (leggi:è la 4 attività online, più dell uso della !) (blog.nielsen.com) 2/3 della global community ha utilizzato un sito di social networking (blog.nielsen.com) riflessioni I social Network sono il mezzo più veloce per raggiungere grandi masse di consumatori con la certezza di colpire target molto precisi. Lo sviluppo è così rapido che neanche i pubblicitari riescono ad individuare correttamente il valore delle revenue sull investimento 4

5 IL SOCIAL BUSINESS : qualche altro numero Il 50% degli impiegati dichiara di non avere una Policy di utilizzo dei Social Network (survey condotto dalla Society of Corporate Compliance and Ethics (SCCE) e dalla Health Care Compliance Association (HCCA)) Attacchi sui siti di social networking rappresentano il 20% di tutti gli attacchi online (RSA Security survey) Altre statistiche (da Facebook): 1 MILIARDO di utenti In media ogni utente ha 130 amici Oltre 900 milioni di oggetti con cui le persone interagiscono (pagine, gruppi, eventi e pagine di community ) In media ogni utente è collegato con 80 community, grouppi ed eventi In media ogni utente crea 90 parti di contenuto al mese ( riflessioni A sinistra i numeri relativi alla sicurezza evidenziano immaturità degli ISMS e rischi. Sulla destra, i numeri sulla diffusione sono impressionanti: ormai sono utilizzati anche per studi sociali (es: il concetto di amico e il numero di essi per utente) 5

6 PROSPETTIVE DIFFUSIONE DEI SOCIAL MEDIA: Forecast & Actual La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende. Entro la fine del 2012, il 100% delle TOP 500 utilizzeranno i Social Media. By 2014, social networking services will replace as the primary vehicle for interpersonal communications for 20 percent of business users. By 2012, over 50 percent of enterprises will use activity streams that include microblogging, but stand-alone enterprise microblogging will have less than 5 percent penetration. ( Gartner Predicts 2011: Social Software Is an Enterprise Reality ) riflessioni I social Media stanno cambiando il modo di comunicare. Utilizzando una tecnologia altamente strutturata e procedurizzata si destruttura la modalità con cui i soggetti del business (cliente, fornitore ) si scambiano informazioni, introducendo con molta forza un elemento che sino ad oggi ha avuto un peso non preponderante: L OPINION LEADER. La sicurezza tecnologica, nello scambio di informazioni, si interseca fortemente con la sicurezza del contenuto informativo che sempre più spesso è certificato da un networtk e non da un singolo (come nel rapporto cliente-fornitore) 7

7 COSA SONO I SOCIAL MEDIA Definizione di Social Media (Fonte: Wikipedia) Con questo termine si indicano tecnologie e pratiche utilizzate sul web, che le persone adottano per condividere contenuti testuali, immagini, video e audio, permettendo un alto grado di interazione tra i membri, focalizzato alla costruzione di community on-line di persone che condividono interessi e/o attività. Caratteristica distintiva dei Social Media è l auto-alimentazione, grazie alla condivisione di contenuti generati dagli utenti ( user-generated content ), come ad esempio foto e video digitali, blog, podcast e wiki, che danno luogo alla democratizzazione dell'informazione, che trasforma le persone da fruitori di contenuti ad editori. Sintesi operativa I Social Media sono un insieme di piattaforme Web 2.0 tramite le quali gli utenti interagiscono direttamente, producendo e condividendo contenuti propri e/o elaborando contenuti altrui, in tempo reale. però Perché sono per lo più gratuiti? Di chi sono? Chi li controlla? Come sono regolati contrattualmente? Che uso fanno dei social graph degli utenti? E dei dati immessi dagli utenti? E delle foto? Sono filtrati? Sono neutrali? Sono liberi? Sono sicuri? 8

8 I SOCIAL MEDIA SONO ANCHE Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell arsenale di strumenti cyber a disposizione di eserciti, servizi segreti, polizie, terroristi, mercenari, gruppi antagonisti e corporations. Alcuni fatti (noti) tra i più eclatanti: Utilizzati attivamente da Anonymous (e gruppi simili) Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli Utilizzati dai ribelli delle primavere arabe come C4ISR 1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO Utilizzati da Aziende contro concorrenti ed attivisti 1 Command, Control, Computers, Communications, Intelligence, Surveillance and Reconnaissance ARMI Essendo diventati a tutti gli effetti un arma ed un campo di battaglia, i Social Media sono inevitabilmente anche diventati un obiettivo. Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi irraggiungibili, oppure più semplicemente inutilizzabili. In effetti è già successo, a causa di: rivolte, insurrezioni e guerre civili attacchi cyber di vario genere e scopo azioni di sabotaggio e di protesta attività di poisoning tramite personae / bots censura di Stato BERSAGLIO (Meglio non darli troppo per scontati). PARADISO DEL CYBER CRIME Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che ha raggiunto un fatturato nel 2011 (stimato) di 7 miliardi di dollari, in crescita del 250% sull anno precedente. Nel milioni di persone sono stati vittime di cybercrime negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $. Il costo totale worldwide (perdite dirette + costi & tempo dedicati a rimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E più del PIL del Vietnam, dell Ucraina e della Romania sommati! Se il trend continua, nel 2011 questi costi saranno pari a metà del PIL italiano. (circa 1 trilione di dollari). 9

9 I SOCIAL MEDIA SONO ANCHE UN RISCHIO PER GLI UTENTI Un solo esempio per tutti. Ne potremmo fare alcune migliaia, ogni giorno ne abbiamo di nuovi Sfruttando la notizia della morte di Bin Laden, in poche ore decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie Per la natura dei Social Media, i criminali informatici hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di pochi giorni 10

10 I SOCIAL MEDIA SONO ANCHE UN RISCHIO PER LE AZIENDE I Social Media sono una importante fonte di rischio d impresa anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine, cause legali riflessioni Sicurezza infrastrutturale e processi formativi si I social media sono un grande rischio per utenti e aziende perché la loro intersecano a formare un unico pacchetto della diffusione iniziale è stata legata a meccanismi ludico-sociale che non hanno sicurezza aziendale. Anzi, sicurezza personale e fatto percepire la pericolosità e i rischi connessi alla frequentazione di questi sicurezza aziendale divengono un tutt uno. strumenti. Anche nelle aziende la prima valutazione è stata di tipo ludico e ne 11 è riprova la pratica comune di elevare difese sotto forma di filtri sui firewall 11

11 LE AZIENDE NON SONO PRONTE AI NUOVI SCENARI D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo? 90% risponde non so MA riflessioni I social media stanno rivoluzionando il modo di pensare la sicurezza delle aziende perché viene annullato il concetto di perimetro. Riprendono valore le best practice a cui ogni dipendente viene abituato/istruito dall azienda. Le aziende non hanno più il perimetro di sicurezza. L unico argine sono il perimetro delle procedure 12 12

12 NECESSARIO UN NUOVO MODO DI PENSARE LA SICUREZZA SITUAZIONE CONSEGUENZE Social Media e consumerizzazione dei sistemi, ci hanno abituato ad avere dispositivi personali nell uso quotidiano lavorativo. In un periodo storico di crisi come questo, le aziende vedono con favore questa pratica (BYOD) perché limita i costi e esternalizza alcuni problemi di manutenzione e gestione. Questo ha un risultato devastante sulla sicurezza, specialmente nell era dei social media. Il 35% degli italiani hanno uno smartphone contro una media del 10% nel resto del mondo. Il 53% degli italiani usa il device mobile per accedere al social Network Nella destrutturazione conta maggiormente il comportamento dei singoli puttosto che l infrastruttura. Pertanto la formazione diventa un perno centrale della sicurezza. Per esempio la gestione del welcome kit assume un valore completamente diverso. Da sistema di accoglienza e apertura dei sistemi al nuovo arrivato a definizione del livello di accesso alle informazione. 13

13 FORMAZIONE O DIFESA PASSIVA In un contesto tanto nuovo e complesso, noi scegliamo di puntare sulla formazione continua per il management, gli utenti ed i partner. Nessun sistema informatico è così esperto da superare un sistema di procedure ben progettato e realizzato dove l uomo che applica le regole è anche pensante. I livelli di implementazione dello scudo di difesa sono i seguenti: Formazione ed aggiornamento a tutti i livelli su rischi derivanti dai Social Media Definizione di regole chiare e condivise specifiche per l utilizzo dei Social Media Controllo e misura del livello di adozione e la loro efficacia nel tempo rispetto all evoluzione delle minacce Responsabilizzazione degli utenti e delle strutture aziendali coinvolte, a qualsiasi titolo, dall uso dei Social Media. NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell IT né un ambito di pertinenza esclusiva del Marketing! 14

14 LA FORMAZIONE E IL PERIMETRO VIRTUALE Dal momento che subire un incidente è solo questione di tempo, è di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all interno di un piano complessivo di Social Media Management. Pertanto i processi di formazione si devono armonizzare con tutti quelli tipici della difesa: Definizione di policies e responsabilità Moderazione della conversazione Prevenzione delle minacce (early warning) Analisi dei Rischi e Monitoraggio continuo (VA, PT) Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informatici Questo sia per ottimizzare il ROI del Social Business, sia per evitare danni economici o d immagine (anche importanti e complessi da sanare), sia per impedire la perdita di dati sensibili o per rimediare ove gli incidenti si siano già verificati. 15

15 ORGANIZZAZIONE DELLE PROCEDURE DI FORMAZIONE E CONTROLLO Il Web 2.0 ed il Social Business in particolare non sono un evoluzione del Web, sono una rivoluzione epocale, un nuovo mondo. I passi organizzativi da compiere per avere un approccio positivo sono i seguenti: Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni dimostrabili (ROI, KPI, KSI. ) Creare una struttura multidisciplinare per la gestione della Social Business Strategy, che includa ed integri competenze di Marketing, Legali, di HR, di GRC e di Information Security Nominare un unico responsabile per la Social Business Strategy, che abbia una visione globale dei problemi e delle opportunità ed il potere di implementare le procedure necessarie scegliere i partner giusti (non esistono al momento economie di scala, la specializzazione è vincente) affinchè siano in grado di trasformare gli obiettivi di sicurezza in procedure organizzative e non soltanto in contromisure tecnologiche! 16

16 PREVENZIONE, MONITORAGGIO IN REAL TIME E REAZIONE AGLI INCIDENTI Tutte le procedure sono integrate da una serie di interventi che si sintetizzano attraverso il fronte interno e il fronte Esterno. Sul fronte interno (NB non c è più il perimetro!) Strong Authentication + Network Access Control + Next Generation Firewall Endpoint protection / Application control / Device control (anche mobile!) Data Loss & Leakage prevention / DRM / Encryption end-to-end Sul fronte esterno (NB il resto del mondo) Early Warning / Security Intelligence Cloud based antimalware / Reputation based monitoring Reputation Management / Brand Management OSInt / Analisi e correlazione dei contenuti a livello semantico SSOC (Socialmedia Security Operations Center) Tutto questo in un ottica di Risk Management, Governance & Compliance. 17

17 PROCEDURE DI DIFESA PASSIVA Il social network esalta in maniera esponenziale la variabile tempo introducendo la necessità dell automazione del processo di difesa per garantire: SICUREZZA DEI DATI Nell era dei Social network le informazioni sono condivise in maniera immediata senza alcuna procedura di validazione. I sistemi di Process Management continuano ad assolvere alla loro funzione di validazione e controllo con la differenza che gran parte dell attività deve essere svolta attraverso automatismi in grado di analizzare elevate quantità di dati destrutturati SICUREZZA DEI SISTEMI I social network hanno moltiplicato le tecniche di Haking basate su attacchi simultanei costruiti attraverso gruppi di incontro. Le procedure di reazione basate sull azione degli uomini non sono più adeguate. Sono troppo lente NUOVO SCENARIO Il Process Management offre sistemi software che automatizzano la reazione attraverso tre tecniche: Analisi di simulazione di automi (DEMO) definizione di processi standard di reazione Security Intelligence legata all analisi dei dati dei log con tecniche tipiche della business intelligence 18

18 RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI Dopo aver analizzato l impatto dei Social Media sull infrastruttura e sui processi di marketing, si evidenzia la necessità di valutare l impatto anche sui processi tradizionali legati alla gestione delle informazioni aziendali in ambito amministrativo e strategico. I presupposti logici per intervenire sulle procedure aziendali sono i seguenti. Il Process Management assume il ruolo di FireWall virtuale agli attacchi portati dagli stessi sistemi utilizzati per generare e condividere le informazioni. l informazione destrutturata rientra nel formalismo del processo di circolazione dell informazione per garantire il contenuto di quanto condiviso con i vari attori. Nel era dell informazione destrutturata l analisi semantica assume un valore sempre più elevato per verificare l enorme quantità di informazione presenti su tutti i media ma senza un adeguato sistema di processi di verifica è un patrimonio privo di valore. Questi garantiscono: Sicurezza all infrastruttura ICT, valore, veridicità, tempestività, utilizzo corretto dell informazione. (molto spesso le informazioni ci sono ma non si evidenziano rispetto alla massa) La revisione dei processi di business in esercizio, indotta dai social Media determina, nuove problematiche di sicurezza? 19

19 RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI La revisione dei processi di business in esercizio, in chiave social media, possono indurre vulnerabilità sino a quel momento sconosciute, di seguito riportiamo le più significative: Processo di Audit Acquisti L audit di un fornitore può essere condotta attraverso strumenti non tradizionali legati alla reputention nella rete. In tempo di crisi economica, può essere interpretato meno costoso e altrettanto sicuro fare una indagine su internet piuttosto che spostare il personale per la tradizionale visita ispettiva. Di conseguenza tutta l area acquisti è profondamente influenzata Processo di Budget Il social media permette di avere a disposizione una quantità di informazioni quasi infinita a costituire la base del processo di eleborazione. Al contrario, lo scambio di opinioni o idee tra colleghi, attraverso social media, può indurre un vantaggio nel personale del concorrente che può elaborare strategie aziendali di contrasto. I Rumors possono avere un effetto ben più siginficativo dei numeri. 20

20 RIPENSAMENTO DEI PROCESSI DI BUSINESS TRADIZIONALI Processo di ricerca del personale È una delle frontiere più significative dei social Media. Da un lato sono abbattutte tutte le bariere spaziotemporali, dall altro le informazioni che pervengono non sono affidabili. Processo contabile E apparentemente il processo più lontano da una interazione con i Social Media. In realtà la vulnerabilità dell infrastruttura elevata dai social media determina la necessità di proteggere uno dei beni più preziosi dell azienda rappresentato dai suoi dati amministativi. 21

21 UN DECALOGO DI BUONE PRATICHE 1. Definizione degli obiettivi che l azienda vuole legare al contesto operativo dei Social Media. Non vanno affrontati per moda. 2. Valutazione dei profili di rischio derivanti da un uso improprio che possono esporre l azienda a danni legati a perdita di dati, svilimento dell immagine e della reputazione. 3. Gestione della sicurezza attraverso l adozione di un mix tra azioni di difesa attiva, passiva e formazione del personale. 4. Definizione delle figure responsabili della sicurezza e della gestione di questo ambito operativo. 5. Gestione delle procedure di comunicazione affinchè siano coerenti con gli obiettivi informativi e di sicurezza. 6. Tutela dell immagine aziendale attraverso l introduzione di opportuni processi di monitoraggio dei Social Media. 7. Valutazione periodica delle strategie di controllo per il perfezionamento continuo della Social Security attraverso opportuni sistemi di Social Security Intelligence. 8. Formazione del personale sui rischi e sulle politiche di gestione dei social networking a tutti i livelli. 9. Formazione del personale sul corretto utilizzo degli strumenti informatici a disposizione con particolare riguardo alla consumerizzazione degli strumenti di utilizzo aziendale. (Smartphone, Tablet) 10. Essere consapevoli che il rischio non è annullabile ma mitigabile, in un contesto dove il rischio è, in ogni caso, molto alto. 22

22 GRC & Social Network FootPrint GRAZIE! Roma, 10 Dicembre 2012 Domande? Giuseppe Cusello, SEC Consulting srl Mobile: Paolo Capozucca, SEC Consulting srl Mobile: