CYBER SECURITY E SOCIAL NETWORKS: MINACCE, RISCHI E CONTROMISURE INFORMATION RISK MANAGEMENT

Documenti analoghi
Presentazioni. Andrea Zapparoli Manzoni. Founder, General Manager, Security Brokers. Founder, CEO, idialoghi

Social Business Security. Andrea Zapparoli Manzoni. ICT Security

Incident & Vulnerability Management: Integrazione nei processi di un SOC. Fabio Civita. Roma, 13 Maggio 2014 Complesso Monumentale S.

dvanced ersistent hreat

Un'efficace gestione del rischio per ottenere vantaggi competitivi

Situation AWare Security Operations Center (SAWSOC) Topic SEC Convergence of physical and cyber security. Relatore: Alberto Bianchi

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

IT MANAGEMENT CONSULTING DIGITAL SOLUTION IT SECURITY & COMPLIANCE. La ISA nasce nel 1994

Audit & Sicurezza Informatica. Linee di servizio

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Product Management & Partnerships Industrial & SCADA Infrastructure Protection. Milano 30 Ottobre 2013

La Certificazione ISO/IEC Sistema di Gestione della Sicurezza delle Informazioni

Corso di Amministrazione di Sistema Parte I ITIL 1

AUMENTARE I CONTATTI E LE VENDITE CON UN NUOVO PROCESSO: LEAD ADVANCED MANAGEMENT

La ISA nasce nel Servizi DIGITAL SOLUTION

Andrea Zapparoli Manzoni Rapporto Clusit 2012 sulla sicurezza ICT in Italia

MARKETING DELLA FUNZIONE INTERNAL AUDIT

DEFENCE in DEPTH. Strategie di riduzione della superficie d attacco e dei rischi informatici

Siamo quello che ti serve

DUAL Cyber RESPONSABILITÀ CIVILE

Cos è. Mission & Vision. Attitude in Web, area di IT Attitude, ha competenze specifiche nel settore informatico e nel web marketing.

Internet Security Systems Stefano Volpi

Banche e Sicurezza 2015

Università di Macerata Facoltà di Economia

Cloud Computing Stato dell arte, Opportunità e rischi

Un'efficace gestione del rischio per ottenere vantaggi competitivi

XXVII Convegno Nazionale di IT Auditing, Security e Governance Innovazione e Regole: Alleati o Antagonisti?

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza, Rischio e Business Continuity Quali sinergie?

Il controllo dei rischi operativi in concreto: profili di criticità e relazione con gli altri rischi aziendali

Iniziativa : "Sessione di Studio" a Roma

La Guida per l Organizzazione degli Studi professionali

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

INTERNAL AUDITING ROMA, 12 MAGGIO 2005 FORUM PA GIUSEPPE CERASOLI, CIA RESPONSABILE COMITATO PA

1- Corso di IT Strategy

COMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, e collaborazione

Cyber security: tecnologie, innovazione e infrastrutture. I rischi attuali per le aziende italiane

Annamaria Di Ruscio, Amministratore Delegato NetConsulting cube. 30 Settembre 2015 Università degli Studi di Camerino

SOCIAL MEDIA E TURISMO

Comunicazione per le PMI nuove soluzioni a un problema di sempre una practice di Orga 1925

CORPORATE GOVERNANCE. Implementare una corporate governance efficace

ICT Information and Communications Technologies

MANDATO DI AUDIT DI GRUPPO

Il Digital Marketing: un industria in continua crescita

Vision strategica della BCM

BUSINESS RISK CONSULTING RISK. DISPUTES. STRATEGY.

TIG Leadership Program: Securing the new Digital Enterprise: Sicurezza & Risk Management nell era digitale

Esternalizzazione della Funzione Compliance

NCP Networking Competence Provider Srl Sede legale: Via di Porta Pertusa, Roma Tel: , Fax:

Le principali evidenze emerse Giancarlo Capitani Presidente NetConsulting cube

REALIZZAZIONE SITI WEB

Progetto Risk Analysis ISO 27001:2005 Risultati finali Ing. Lina Salmon Joinet Srl

Cyber security e cyber privacy, la sfida dell internet di ogni cosa

Corso di Specializzazione in Gestione dei Servizi IT Motivazioni, contenuti, obiettivi

PROGETTO TAVOLO GIOVANI

La gestione della Sicurezza nel Gruppo CRIF. La struttura organizzativa

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini Monza (MI) Tel sales@intoit.

La ISA nasce nel 1994 DIGITAL SOLUTION

Come un criminale prepara un attacco e come una azienda può fare prevenzione

Sicuramente

Information Systems Audit and Control Association

Think. Feel. Act... Social! Soluzioni formative per orientarsi nel mondo Social

RISCHIO OPERATIVO. Gruppo di lavoro AIFIRM "Rischio operativo": oggetto, sfide e stato dell'arte

IT Risk-Assessment. Assessment: il ruolo dell Auditor nel processo. Davide SUSA - ACSec AIIA - Consigliere del Chapter di Roma

Innovatori per tradizione

Il processo di sviluppo sicuro. Kimera Via Bistolfi, Milano

LA GESTIONE DEL MARKETING AZIENDALE AI TEMPI DEL WEB 3.0

Evoluzione della sicurezza informatica Approntamento misure di sicurezza

Giugno 2013 Security Summit Roma. Andrea Zapparoli Manzoni Consiglio Direttivo Clusit

SISTEMA DI GESTIONE SICUREZZA

SERVIZI PMI. Project management outsourcing. Business Impact Analysis (BIA) Disaster Recovery Plan Design (DRP)

Are You Digital? La Digital Transformation a misura d uomo

Big Data e IT Strategy

martedì 17 aprile 12 1

FONDACA Fondazione per la cittadinanza attiva. Attività di supporto e consulenza alle imprese

Implementare un sistema di analisi e gestione del rischio rende efficace e concreto il modello 231

Gestione della Sicurezza Informatica

COMUNICAZIONE INFORMATIVA, PUBBLICITA E MARKETING LEGALE

I COSTI DELLA SICUREZZA INFORMATICA IN AMBITO AZIENDALE. Best Practices di Organizzazione per la Sicurezza delle Informazioni.

Addendum Italiano Executive summary

Lezione 3: Introduzione all analisi e valutazione delle azioni. Analisi degli Investimenti 2014/15 Lorenzo Salieri

Corso Social Media Marketing

Network Monitoring. Introduzione all attività di Network Monitoring introduzione a Nagios come motore ideale

Copyright IKS srl

Cloud Computing - Soluzioni IBM per. Giovanni De Paola IBM Senior Consultant 17 Maggio 2010

VENDERE STAMPA ONLINE PER VIRTÙ E NON PER NECESSITÀ! Caratteristiche e dinamiche della vendita online

Transcript:

CYBER SECURITY E SOCIAL NETWORKS: MINACCE, RISCHI E CONTROMISURE INFORMATION RISK MANAGEMENT

Agenda TASSONOMIA DEGLI AGENTI OSTILI E DELLE MINACCE ATTACCHI RECENTI E RELATIVI IMPATTI SCENARI DI RISCHIO E STRUMENTI DI MITIGAZIONE LA SOCIAL MEDIA SECURITY POLICY NEL CONTESTO DELLE ATTIVITÀ DI CYBER SECURITY 1

Rapporto Clusit 2015 https://clusit.it/rapportoclusit/ 2

La Sicurezza nei Social Media liberamente scaricabile http://c4s.clusit.it Licenza CC-BY-SA versione 3.0 3

Situazione globale Oggi i Social Media sono diventati una dei principali terreni di caccia per il cybercrime organizzato trans-nazionale, che nel 2014 ha raggiunto un turnover (stimato) di 15 miliardi di dollari, in crescita del 10% sull anno precedente. Nel 2014 74 milioni di persone sono stati vittime di cybercrime solo negli USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di perdite dirette. Nel mondo la stima 2014 è di oltre 110 Md $. Osserviamo sul campo che il trend continua imperterrito, perché: Il ROI per i cyber criminali è in media del 750-800% alla settimana Le barriere di accesso per mettersi in affari sono bassissime Il rischio di essere individuati, perseguiti e puniti è troppo basso I proprietari delle piattaforme Social non fanno security. 4

Dati e Statistiche 5

Dati e Statistiche 6

Dati e Statistiche 7

Dinamiche e trend la superficie di attacco complessivamente esposta dalla nostra civiltà digitale cresce più velocemente della nostra capacità di proteggerla. la vera questione per i difensori (con riferimento ai dati, alle infrastrutture informatiche ed a tutti quei servizi, molti dei quali critici, oggi realizzati tramite l ICT) non è più se, ma quando si subirà un attacco informatico (dalle conseguenze più o meno dannose), e quali saranno gli impatti conseguenti. Tutto ciò che può essere attaccato lo sarà. O lo è già stato. La ragione principale per cui gli attaccanti hanno la meglio è economica, non tecnica, e risiede nella crescente asimmetria tra i differenti modelli di business : per ogni dollaro investito dagli attaccanti nello sviluppo di nuovo malware, o nella ricombinazione di malware esistente per nuovi scopi, il costo sopportato dai difensori è di milioni di dollari. 8

Le principali minacce generiche derivanti dall uso dei Social Media si possono riassumere in: Malware (trojan, worms, rootkits, etc) Applicazioni di terze parti non trusted / maliziose Spam (in combinazione con malware) Phishing & Whaling Furto di identità Danni alla privacy Diffamazione Stalking Oltre alle minacce generiche, le minacce specifiche derivanti dall uso dei Social Media in ambito business si possono riassumere in: Danni all'immagine ed alla reputazione Interruzione del servizio Perdita di dati riservati / proprietà intellettuale Open Source Intelligence (OSInt) da parte di concorrenti Danni a terze parti (liabilities / responsabilità) Frodi e Social Engineering Minore produttività dei collaboratori 9

I Social Media sono una importante fonte di rischio d impresa anche per le Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine 10

I Social Media sono l'ambito nel quale i criminali ed i malintenzionati ottengono maggiore efficacia e minori rischi / costi. Uno spear phishing "ben fatto" su LinkedIn o su Facebook può avere un tasso di conversione del 70-80%. Questo tasso di successo elevatissimo consente ai criminali di rimanere "under the radar", facendo attacchi a gruppi relativamente piccoli di bersagli e diluendoli nel tempo per non dare nell'occhio. Tutti i principali attacchi degli ultimi 2 anni sono partiti da uno S.P. su Social Network. 11

12

13

14

15

16

17

18

Più un Brand è famoso e seguito, più i suoi comunicatori sono bravi, più ha "followers", più sarà considerato un "watering hole" dai cattivi. Si colpisce la pagina FB del Brand per colpire tutte le zebre (gli utenti) in un colpo solo. 19

Phishing via Facebook Spear Phishing via LinkedIn 20

Mal-Advertising a pagamento su Facebook che punta a siti malevoli (!) 21

Un solo esempio per tutti. Ne potremmo fare alcune migliaia, ogni giorno ce ne sono di nuovi Sfruttando la notizia della morte di Bin Laden, decine di migliaia di utenti Facebook sono stati infettati da un trojan (non rilevato dagli antivirus) che ruba dati personali e trasforma i PC delle vittime in zombie, al servizio dei cybercriminali Per la natura dei Social Media, i criminali hanno la possibilità di infettare e compromettere milioni di sistemi nel giro di poche ore 22

23

A PsyOps test via Twitter (by the Syrian Electronic Army, a pro-assad mercenary group) 24

Associated Press Twitter account hijacking caused to NYSE a 53B $ loss in 5 minutes 25

Che fare nel nuovo scenario Fare formazione ed aggiornamento a tutti i livelli (i VIP sono i più pericolosi!) Definire regole chiare e condivise specifiche per l utilizzo dei Social Media (Social Media policy orientate alla Security) Controllare e misurare il loro livello di adozione e la loro efficacia nel tempo rispetto all evoluzione delle minacce Responsabilizzare gli utenti e le strutture aziendali coinvolti, a qualsiasi titolo, dall uso dei Social Media. NB diciamolo una volta per tutte: i SM non sono un problema (solo) dell IT ne un ambito di pertinenza esclusiva del Marketing! Occorre uscire dai Silos e lavorare in maniera multidisciplinare. 26

Serve un framework avanzato di cyber security KPMG ha sviluppato un proprio "Cyber Security Framework" che comprende in un unico modello integrato tutti i servizi finalizzati alla protezione delle informazioni, dei sistemi IT e degli asset immateriali, quali il Brand, inclusa la protezione sui "social". INTEGRATE THREAT INTELLIGENCE Threat Intelligence Design & Implementation Benchmarking & Challenge Peer Support & Network PREPARE Cyber Maturity Assessment and Gap Analysis Information Security & Cyber Strategy Security Organization & Design Security Architectural Design Enterprise Risk Management Information Risk Management Performance Management & Metrics Business Continuity & Planning PREPARE INTEGRATE THREAT INTELLIGENCE PROTECT DETECT & RESPOND TRANSFORMATION GOVERNANCE, ASSURANCE & COMPLIANCE PROTECT Target Operating Model Identity & Access Management Security & Technology Assessment Asset Discovery Records Management DETECT & RESPOND SOC Design & Implementation Cyber Attack Detection & Security Analytics Threat & Vulnerability Mgmt. Security Event / Incident Management & Forensic TRANSFORMATION Cyber Security Transformation Program Management Security Cultural Change, Education and Awareness Management And Specialist Training GOVERNANCE, ASSURANCE & COMPLIANCE Privacy & Information Governance / Privacy & Industrial Compliance Certification Support Support to Internal / External Audit Governance Risk and Compliance solutions Security & Compliance Monitoring 27

Strumenti di mitigazione E di fondamentale importanza implementare un insieme di processi di gestione del rischio, armonizzati e coordinati all interno di un piano complessivo di Social Business Security basato su Policies precise, specifiche ed aggiornate che includa: Prevenzione Monitoraggio Moderazione Gestione Crisis Management Definizione di policies e responsabilità per tutti gli attori coinvolti Moderazione in real time della conversazione in ottica Security Prevenzione delle minacce tramite Cyber Intelligence Analisi dei Rischi Cyber e suo aggiornamento continuo Tutela legale (proattiva e reattiva) Gestione in real time degli incidenti e degli attacchi informatici 28

Conclusioni Stimolare il necessario commitment a livello di Direzione e di Stakeholders, sostenendolo con argomentazioni scientifiche (statistiche, ROI, KPI, KSI. NB basta chiacchiere!) Dedicare risorse e $$$. Non pensate di cavarvela gratis. E NO, la vostra agenzia di Digital Marketing non vi può supportare. Deve collaborare però, e capire di cosa stiamo parlando. Creare una struttura multidisciplinare per la gestione della Social Media Strategy che includa ed integri competenze di Marketing, Legali, di HR, di Risk Management e di Information Security Management; Nominare un unico responsabile per la Social Media Strategy che abbia una visione globale dei problemi e delle opportunità (inclusa la Security); Utilizzare persone skillate*. Scegliere i consulenti giusti ma non dare in outsourcing il tutto. Questo è know-how strategico per l azienda. * (non in Web Marketing! in Social Business, alcuni con competenze di Security) 29

2015 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG e "cutting through complexity" sono marchi registrati di KPMG International Cooperative ("KPMG International").

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back