iDialoghi - Social Business Security - Social Media Week 2011
-
Upload
idialoghi -
Category
Technology
-
view
1.827 -
download
0
description
Transcript of iDialoghi - Social Business Security - Social Media Week 2011
Social Business Security
ICT Security
Andrea Zapparoli Manzoni
Proteggiamo il Patrimonio Informativo dei nostri Clienti
dal 1996.
Da 15 anni realizziamo per i nostri Clienti soluzioni
di Sicurezza Informatica d’avanguardia, ad alto valore
aggiunto, con particolare riferimento alle tematiche di
Risk Management, Data Protection, Security
Intelligence e Compliance normativa.
iDialoghi – Chi siamo
Intelligence e Compliance normativa.
Anche nei nuovi settori della Social Media Security,
della Mobile Security e in quello delicatissimo della SCADA
Security (sicurezza industriale) uniamo passione, competenze,
tecnologie e buon senso per fornire soluzioni innovative,
personalizzate, affidabili e scalabili, trasformando i problemi in
opportunità di crescita e di miglioramento.
ICT Security
1 – L’adozione dei Social Media è globale
[ 01 / 16 ] ICT Security
La maggior parte delle aziende T0P500 usano attivamente i Social Media, sia
internamente che nei rapporti con Clienti, Partner, Media ed altre Aziende.
2 – Il Social Business nel Mondo
[ 02 / 16 ] ICT Security
(Fonte: SC Magazine – Shining the spotlight on Social Media - 2011)
Le Aziende italiane fanno un uso “acerbo” ma comunque crescente dei Social
Media, e li utilizzano prevalentemente verso i Media e gli Utenti finali.
3 – Il Social Business in Italia
[ 03 / 16 ] ICT Security
“I Social Media sono un insieme di piattaforme Web 2.0 tramite le quali gli utenti
interagiscono direttamente, producendo e condividendo contenuti propri e/o
elaborando contenuti altrui, in tempo reale”.
Questo è certamente vero, però…
� Perché sono per lo più gratuiti?
� Di chi sono? Chi li controlla?
� Come sono regolati contrattualmente?
4 – OK… ma cosa sono davvero i Social Media?
� Come sono regolati contrattualmente?
� Cosa ci fanno con i social graph di tutti?
� E con i dati immessi dagli utenti?
� E con le foto?
� Sono “filtrati”?
� Sono “neutrali”?
� Sono “liberi”
� Sono “sicuri”?
[ 04 / 16 ] ICT Security
Nel corso degli ultimi 2-3 anni i Social Media sono diventati armi a tutti gli effetti, e fanno ormai parte dell’arsenale di strumenti “cyber” a disposizione di eserciti, servizi segreti,polizie, terroristi, mercenari, gruppi antagonisti e corporations.
Alcuni fatti (noti) tra i più eclatanti:
5 – I Social Media sono… Armi
� Utilizzati attivamente da Anonymous (e gruppi simili)
�Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli
�Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO
� Utilizzati da Aziende contro concorrenti ed attivisti1 Command, Control, Computers, Communications, Intelligence, Surveillance and Reconnaissance
[ 05 / 16 ] ICT Security
Essendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social Media
sono inevitabilmente anche diventati un obiettivo.
Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resi
irraggiungibili, oppure più semplicemente inutilizzabili.
In effetti è già successo, a causa di:
6 – I Social Media sono… un Bersaglio
� rivolte, insurrezioni e guerre civili
� attacchi cyber di vario genere e scopo
� azioni di sabotaggio e di protesta
� censura di Stato
(Meglio non darli troppo per scontati)….
[ 06 / 16 ] ICT Security
7 – I Social Media sono… il paradiso del Cybercrime
Oggi i Social Media sono diventati una dei principali terreni di caccia
per il cybercrime organizzato trans-nazionale, che ha raggiunto un
“fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del
250% sull’anno precedente.
Nel 2010 74 milioni di persone sono stati vittime di cybercrime negli
USA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ di
perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $.
[ 07 / 16 ] ICT Security
perdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $.
Il costo totale worldwide (perdite dirette, costi & tempo dedicati a
rimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E’ più
del PIL del Vietnam, dell’Ucraina e della Romania sommati!
Se il trend continua, nel 2011 questi costi saranno pari a metà del PIL
italiano….
(Fonti: Symantec, Kaspersky, DHS, KPMG, Brookings Institute, Infosec Island, iDialoghi)
8 – …e il Cybercrime è in crescita esponenziale
Principali attacchi ad enti ed aziende (di cui si ha notizia) del solo mese di agosto 2011.
[ 08 / 16 ] ICT Security
(Fonte Paolo Passeri – http://paulsparrows.wordpress.com)
9 – I Social Media sono un Rischio per gli Utenti
Sfruttando la notizia della morte di Bin Laden,
Un solo esempio per tutti….
Ne potremmo fare alcune
migliaia, ogni giorno ce ne
sono di nuovi…
[ 09 / 16 ] ICT Security
Sfruttando la notizia della morte di Bin Laden,
decine di migliaia di utenti Facebook sono stati
infettati da un trojan (non rilevato dagli antivirus)
che ruba dati personali e trasforma i PC delle vittime
in zombie, al servizio dei cybercriminali…
Per la natura dei Social Media, i criminali informatici
hanno la possibilità di infettare e compromettere
milioni di sistemi nel giro di poche ore…
I Social Media sono una importante fonte di rischio d’impresa… anche per le
Aziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e di denaro,
di proprietà intellettuale, concorrenza sleale, danni a terze parti e di immagine…
10 – I Social Media sono un Rischio per il Business
[10 / 16 ] ICT Security
• La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli;
• Un numero crescente di minacce si realizza a livello semantico,
impossibile da monitorare e gestire con strumenti tradizionali;
• Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri;
11 – Ostacoli alla Sicurezza del Social Business
Oltre ai Rischi derivanti dal Cybercrime, vanno considerati ed affrontati una serie di
ostacoli, che rischiano di indebolire il processo di Social Media Management.
• Per vari motivi, è "vietato vietare" (particolarmente in Italia);
• La normativa tutela (giustamente) la privacy e le libertà dei
collaboratori, complicando le attività di monitoraggio;
• Le tecnologie di mitigazione non sono ancora al passo con le
problematiche (ma si evolvono a gran velocità);
• Le policy ed i comportamenti virtuosi sono sempre in ritardo rispetto
alle tecnologie.
[ 11 / 16 ] ICT Security
Dal momento che subire un incidente è solo questione di tempo, è di fondamentale
importanza implementare un insieme di processi di gestione del rischio, armonizzati e
coordinati all’interno di un piano complessivo di Social Media Management:
� Definizione di policies e responsabilità
� Moderazione della conversazione
� Prevenzione delle minacce
� Analisi dei Rischi e Monitoraggio continuo
12 – Quali contromisure ?
� Analisi dei Rischi e Monitoraggio continuo
� Tutela legale (proattiva e reattiva)
� Gestione degli incidenti e degli attacchi informatici
Questo sia per ottimizzare il ROI del Social Business, sia per evitare
danni economici o d’immagine (anche importanti e complessi
da sanare), sia per impedire la perdita di dati sensibili o per
rimediare ove gli incidenti si siano già verificati.
[ 12 / 16 ] ICT Security
• Fare formazione ed aggiornamento a tutti i livelli
• Definire regole chiare e condivise specifiche per l’utilizzo dei Social
Media
• Controllare e misurare il loro livello di adozione e la loro efficacia
13 – Formazione ed Awareness
La conoscenza è potere. In contesto tanto nuovo e complesso, è necessario impostare
dei processi di formazione continua per il management, gli utenti ed i partner.
• Controllare e misurare il loro livello di adozione e la loro efficacia
nel tempo rispetto all’evoluzione delle minacce
• Responsabilizzare gli utenti e le strutture aziendali coinvolte, a
qualsiasi titolo, dall’uso dei Social Media.
NB diciamolo una volta per tutte: i SM non sono un problema (solo)
dell’IT ne un ambito di pertinenza esclusiva del Marketing!
[ 13 / 16 ] ICT Security
Stimolare il necessario commitment a livello di Direzione e di
Stakeholders, sostenendolo con argomentazioni scientifiche (ROI, KPI,
KSI…. NB basta chiacchiere!)
14 – Organizzazione
“La potenza è nulla senza controllo”. Il Web 2.0 ed il Social Business in particolare non
sono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo.
Le aziende devono modificarsi ed organizzarsi di conseguenza (NB Darwin docet!)
Creare una struttura multidisciplinare per la gestione della Social
Business Strategy, che includa ed integri competenze di Marketing,
Legali, di HR e di Information Security Management
Nominare un unico responsabile per la Social Business Strategy che
abbia una visione globale dei problemi e delle opportunità
Scegliere i consulenti giusti ? ☺
[ 14 / 16 ] ICT Security
Sul “fronte interno” (NB non c’è più il perimetro!)
� Strong Authentication + Network Access Control + Next Generation Firewall
� Endpoint protection / Application control / Device control (anche mobile!)
� Data Loss & Leakage prevention / DRM / Encryption end to end
Sul “fronte esterno” (il resto del mondo)
15 – Monitoraggio, Prevenzione e Contrasto
Sul “fronte esterno” (il resto del mondo)
� Cloud based antimalware / Reputation based monitoring
� Reputation Management / Brand Management
� OSInt / Analisi e correlazione dei contenuti a livello semantico (testi e immagini)
Tutto questo in un’ottica di Risk Management, Governance & Compliance
[ 15 / 16 ] ICT Security
Anche se le prospettive sono ancora tutte da comprendere, i valori
in gioco sono enormi, e così anche i rischi.
Gestire i nuovi scenari di rischio derivanti dall'adozione del Social
Business è una necessità ed un'opportunità.
16 – Social Media Management 2.0
Il Social Business è il nuovo paradigma di comunicazione commerciale emerso dal Web
2.0, indietro non si torna.
Business è una necessità ed un'opportunità.
Selezionare le tecnologie più adatte, formare le persone,
individuare le strategie, le policies ed i controlli più efficaci in ogni
contesto per integrarli nel processo di Social Media Management
2.0 è una sfida che sappiamo come affrontare...
Parliamone insieme!
[ 16 / 16 ] ICT Security