Social Media Security Management

Transcript

1 Maggio 2011 Social Media Security Management Marketing, Legal, ICT Security Andrea Zapparoli Manzoni 1

2 La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo Proteggiamo il Patrimonio informativo dei nostri Clienti dal 1996 Da oltre 10 anni realizziamo per i nostri Clienti soluzioni di Sicurezza Informatica d avanguardia, ad alto valore aggiunto, con particolare riferimento alle tematiche di Risk Management, Data Protection e Compliance normativa. Anche nei recenti settori della Sicurezza dei Social Media e della Mobile Security uniamo competenza, passione, tecnologia e buon senso per fornire soluzioni semplici, affidabili, scalabili ed economiche, trasformando i problemi in opportunità di crescita e di miglioramento. 2

3 La Sicurezza dei S.M. è un processo trasversale ad ogni funzione e processo aziendale Abusi, frodi, violazioni della riservatezza e dell integrità dei sistemi e dei dati sono in continua crescita 1. Per garantire un buon livello di sicurezza è necessario considerare l ecosistema informativo in tutti i suoi aspetti: Strategici(obiettivi e budget, valutazione e gestione dei rischi nel tempo) Organizzativi(definizione ruoli, procedure, formazione, ecc.) Tecnologici(sicurezza fisica e logica) Legali (Leggi e regolamenti, normative internazionali, ecc.) Sempre in quest ottica, la gestione dei Social Media non è un problema esclusivamente del Marketing ne (solo) dell IT. Per risolvere efficacemente queste problematiche, da oltre 10 anni proponiamo servizi di Security Awareness, realizziamo Analisi del Rischio, forniamo consulenze in materia di Compliancealle normative e strumenti di Risk Management, e progettiamo soluzioni di Information Security totalmente personalizzate, di volta in volta le più efficaci e convenienti nel contesto operativo e di budget del Cliente. 1 Deloitte(2010): Global Security Survey(31% top 100 global financial institution, 35% global banks, etc) 3

4 Oggi i principali vettori di attacco sono i nostri gadget (pardon, tools) preferiti. Social-media tools used to target corporate secrets(30/04/11) Social engineering remains biggest cyber threat(15/04/11) Corporate Data is the New Cybercrime Target(28/03/11) Social platforms under attack(26/03/11) The number of businesses that were targets for spam, phishing and malware via social networking sites increased dramatically, with a sharp rise from 33.4% in April to 57% in December (Fonte: Sophos Security Threat Report 2010). 4

5 Lo stato dell arte: nell ultimo mese o poco più. Spearphishing + zero-day: RSA hack not"extremely sophisticated (15/03/11) HBGary's nemesis by Anonymous(17/03/11) Oracle's MySQL.com hacked via SQL injection(18/03/11) Critical NASA Systems Vulnerable(29/03/11) Hackers find McAfee.com website vulnerabilities(29/03/11) IEEE member database hacked(30/03/11) Comodo Reports Two More Registration Authorities Hacked(31/03/11) Epsilon warns its clients of database hack(04/04/11) Oak Ridge National Laboratory Hacked in Spear-Phishing Attack(20/04/11) SONY Playstation Network breach and outage(28/04/11) Department of Defense, Pentagon, NSA hacked(14/05/11) 5

6 Lo stato dell arte: ogni scusa è buona. Sfruttando la notizia della morte di Bin Laden, decine di migliaia di utenti Facebook sono stati infettati da un trojan(non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in bot Per la natura dei Social Media, i criminaliinformatici hanno la possibilità di infettare e compromettere milionidi sistemi nel giro di poche ore 6

7 Gestire la Social Media Security è al tempo stesso una necessità e un opportunità Minacce derivanti dall uso dei Social Media in ambito Business: Malware(trojan, worms, rootkits,..) Phishing, Whalinge Furto di Identità Danni all'immagine ed alla reputazione Perdita di dati riservati / proprietà intellettuale Open Source Intelligence (OSInt) da parte di concorrenti Danni a terze parti (liabilities/ responsabilità civili e penali) Frodi e Social Engineering Minore produttività dei collaboratori Soluzioni (educative, organizzative, tecnologiche ed organizzative): Rimediare alla mancanza di procedure standard, di policies, di strumenti organizzativi, di piani di rientro ed in generale di cultura aziendale; Responsabilizzare gli utenti e le strutture aziendali coinvolte, a qualsiasi titolo, dall uso dei Social Media; Implementare strumenti tecnologici efficaci di monitoraggio e controllo per ridurre i comportamenti a rischio contrari alle policies aziendali. Ulteriori approfondimenti all interno delle nostre Guide La Sicurezza dei Social Media e La Sicurezza dei Social Media in ambito Business (scaricabili liberamente dalla Press Area del nostro sito 7

8 Gli ostacoli alla sicurezza dei Social Media sono numerosi e difficili da gestire Un numero crescente di minacce si realizza a livello semantico, impossibile da monitorare e gestire con strumenti tradizionali; ConsumerizationofEnterpriseIT: gli utenti utilizzano strumenti propri anche in ambito aziendale; Per vari motivi, è "vietato vietare" (particolarmente in Italia); La normativatutela (giustamente) la privacy e le libertà dei collaboratori, complicando le attività di monitoraggio; La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli; Le tecnologie di mitigazione non sono ancora al passo con le problematiche; Le policyed i comportamenti virtuosi sono sempre in ritardo rispetto alla tecnologia. 8

9 Esempi di Social Media Management carente o assente Nellaprimavera del 2008, la chitarra di un musicista viene rotta dagli addetti ai bagagli della United Airlines. La compagnia non risponde alle richieste di risarcimento del musicista per 9 mesi, finchè, esasperato, il musicista produce un video musicale con la sua band, dal titolo United Breaks Guitars, e lo pubblica su YouTube. Il video diventa virale e viene visto 7 milioni di volte, ma solo dopo una settimana United reagisce proponendo al musicista 1.200$ di compensazione (che l uomo rifiuta). Conseguenze: Le azioni Unitedhanno perso il 10% (una perdita di 180 milioni di $); L assenza di una Social Media Policy,di strumenti di ascolto e di moderazioneha impedito a United di intervenire in tempo e con gli strumenti opportuni; Lacarenzadi strumenti mirati di tutela legale (proattiva e reattiva) ha impedito a Uniteddi tutelarsi. Altri esempi: Domino s Pizza, Patrizia Pepe, Nestlè, Taco Bell, Energizer, Letizia Moratti 9

10 Il S.M. Security Management è indispensabile per proteggere l azienda, in tempo reale In un contesto nel quale il giro d affari della criminalità informatica è passato da 2 miliardi di euro nel 2009 a quasi 5 miliardidi euro nel 2010 (+150%). E di fondamentale importanza implementare un insieme di attività: Monitoraggio ed Analisi, Moderazione della conversazione, Tutela legale (proattiva e reattiva), Prevenzione delle minacce e gestione degli incidenti, sia per ottimizzare il ROI dei Social Media sia per evitare danni economici o d immagine (anche importanti e complessi da sanare), sia per evitare la perdita di dati sensibili o per rimediare ove gli incidenti si siano già verificati. Il nostro modello di Social Media Management, sviluppato a partire da un esperienza multidisciplinareunica in Italia, indirizza in maniera sinergica, razionale e costeffectivetutte queste esigenze, posizionandosi all avanguardia nel settore. 10

11 Il processo di S.M. Management governa la complessità con un approccio integrato Assess Analyze Finalize Manage A g e n z i a Cluster clienti e need Status uso social media Status posizione social Percezione base utenti Peso communication mix Account planning Clustering clienti per social media Business scenario Gap analysis current vs scenario Activity mix e costbenefit Analisi d impatto (strategico, sicurezza, legale) Go/kill decision making Activity mix per cluster Mitigation planning Piano implementazione tecnologica Piano implementazione HR Validazione portfolio offering Communication A z i e n d a Social media awareness Portfolio analysis vs mercato Marketing mix Segmentazione fatturati Business forecast Clustering Competizione e attività di presidio mercato Evoluzione tecnologica sul target market Gap analysis current vs scenario Activity mix e costbenefit Analisi d impatto (strategico, sicurezza, legale) Go/kill decision making Activity mix per cluster Mitigation planning Piano implementazione tecnologica Piano implementazione HR Workflow operativo Obiettivi Obiettivi Obiettivi Obiettivi Missione social media Check up organizzazione Territorio operativo Reality check Scenario evolutivo Gap Analysis Risk Analysis Validazione operativa Validazione business Risk management Flusso decisionale Allineamento operativo Monitoraggio Sostenibilità strategica nel tempo 11

12 Conclusioni "The mostsignificantriskisusuallythe unplanned, unmanagedmass-adoptedbehavioror technology change" (Sophos - Social Media in the enterprise: Great opportunities, great security risks) 1) Vietarenon è solo impossibile, ma anche controproducente: socialè il nuovo paradigma di comunicazione del Web 2.0, indietro non si torna. 2) Gestirei nuovi scenari di Rischioderivanti dall'utilizzo dei Social Media in ambito business è una necessità ed un'opportunità. 3) Selezionare le tecnologie più adatte, formare le persone, individuare le policies ed i controlli più efficaci in ogni contesto specifico ed integrarli in un ottica di compliancealle normative esistenti è una sfidache sappiamo come affrontare... Parliamone insieme! 12

13 Grazie! web mobile skype idialoghi