idialoghi - social media security management
DESCRIPTION
La Sicurezza dei Social Media è un processo trasversale ad ogni funzione e processo aziendale. Come gestire la Social Media Security. Il processo di Social Media Management.TRANSCRIPT
Social Media Security Management
Marketing, Legal, ICT Security
Maggio 2011
1
Andrea Zapparoli Manzoni
Proteggiamo il Patrimonio informativo dei nostri Clienti dal 1996
Da oltre 10 anni realizziamo per i nostri Clienti soluzioni di
Sicurezza Informatica d’avanguardia, ad alto valore aggiunto, con
particolare riferimento alle tematiche di Risk Management, Data
Protection e Compliance normativa.
“La Sicurezza Informatica è un driver e non un onere, un investimento e non un costo”
2
Protection e Compliance normativa.
Anche nei recenti settori della Sicurezza dei Social Media e della
Mobile Security uniamo competenza, passione, tecnologia e buon
senso per fornire soluzioni semplici, affidabili, scalabili ed
economiche, trasformando i problemi in opportunità di crescita e
di miglioramento.
Per garantire un buon livello di sicurezza è necessario considerare
l’ecosistema informativo in tutti i suoi aspetti:
� Strategici (obiettivi e budget, valutazione e gestione dei rischi nel tempo)
� Organizzativi (definizione ruoli, procedure, formazione, ecc.)
� Tecnologici (sicurezza fisica e logica)
� Legali (Leggi e regolamenti, normative internazionali, ecc.)
Abusi, frodi, violazioni della riservatezza e dell’integrità dei sistemi e dei dati sono in continua crescita1.
“La Sicurezza dei S.M. è un processo trasversale ad ogni funzione e processo aziendale”
3
� Legali (Leggi e regolamenti, normative internazionali, ecc.)
Sempre in quest’ottica, la gestione dei Social Media non è un problema
esclusivamente del Marketing ne (solo) dell’IT.
Per risolvere efficacemente queste problematiche, da oltre 10 anni
proponiamo servizi di Security Awareness, realizziamo Analisi del Rischio,
forniamo consulenze in materia di Compliance alle normative e strumenti di
Risk Management, e progettiamo soluzioni di Information Security
totalmente personalizzate, di volta in volta le più efficaci e convenienti nel
contesto operativo e di budget del Cliente.
1 Deloitte (2010): Global Security Survey (31% top 100 global financial institution, 35% global banks, etc)
Social-media tools used to target corporate secrets (30/04/11)
Social engineering remains biggest cyber threat (15/04/11)
Corporate Data is the New Cybercrime Target (28/03/11)
Oggi i principali vettori di attacco sono i nostri “gadget” (pardon, tools) preferiti….
4
Corporate Data is the New Cybercrime Target (28/03/11)
Social platforms under attack (26/03/11)
“The number of businesses that were targets for spam, phishing and malware via social
networking sites increased dramatically, with a sharp rise from 33.4% in April to 57% in
December” (Fonte: Sophos Security Threat Report 2010).
Spearphishing + zero-day: RSA hack not "extremely sophisticated“ (15/03/11)
HBGary's nemesis by Anonymous (17/03/11)
Oracle's MySQL.com hacked via SQL injection (18/03/11)
Critical NASA Systems Vulnerable (29/03/11)
Hackers find McAfee.com website vulnerabilities (29/03/11)
Lo stato dell’arte: nell’ultimo mese o poco più….
5
IEEE member database hacked (30/03/11)
Comodo Reports Two More Registration Authorities Hacked (31/03/11)
Epsilon warns its clients of e-mail database hack (04/04/11)
Oak Ridge National Laboratory Hacked in Spear-Phishing Attack (20/04/11)
SONY Playstation Network breach and outage (28/04/11)
Department of Defense, Pentagon, NSA hacked (14/05/11)
Lo stato dell’arte: ogni scusa è buona….
6
Sfruttando la notizia della morte di Bin Laden, decine
di migliaia di utenti Facebook sono stati infettati da
un trojan (non rilevato dagli antivirus) che ruba dati
personali e trasforma i PC delle vittime in bot…
Per la natura dei Social Media, i criminali informatici
hanno la possibilità di infettare e compromettere
milioni di sistemi nel giro di poche ore…
“Gestire la Social Media Security è al tempo stesso una necessità e un’opportunità”
Minacce derivanti dall’uso dei Social Media in ambito Business:
� Malware (trojan, worms, rootkits, ..)
� Phishing, Whaling e Furto di Identità
� Danni all'immagine ed alla reputazione
� Perdita di dati riservati / proprietà intellettuale
� Open Source Intelligence (OSInt) da parte di concorrenti
� Danni a terze parti (liabilities / responsabilità civili e penali)
� Frodi e Social Engineering
� Minore produttività dei collaboratori
7
� Minore produttività dei collaboratori
Soluzioni (educative, organizzative, tecnologiche ed organizzative):
� Rimediare alla mancanza di procedure standard, di policies, di strumenti organizzativi,
di piani di rientro ed in generale di cultura aziendale;
� Responsabilizzare gli utenti e le strutture aziendali coinvolte, a qualsiasi titolo,
dall’uso dei Social Media;
� Implementare strumenti tecnologici efficaci di monitoraggio e controllo per ridurre i
comportamenti a rischio contrari alle policies aziendali.
Ulteriori approfondimenti all’interno delle nostre Guide “La Sicurezza dei Social Media” e “La Sicurezza dei Social Media
in ambito Business” (scaricabili liberamente dalla Press Area del nostro sito http://www.idialoghi.com/it/press-area).
“Gli ostacoli alla sicurezza dei Social Media sono numerosi e difficili da gestire”
� Un numero crescente di minacce si realizza a livello semantico, impossibile da
monitorare e gestire con strumenti tradizionali;
� Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri anche in
ambito aziendale;
� Per vari motivi, è "vietato vietare" (particolarmente in Italia);
� La normativa tutela (giustamente) la privacy e le libertà dei collaboratori,
8
� La normativa tutela (giustamente) la privacy e le libertà dei collaboratori,
complicando le attività di monitoraggio;
� La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli;
� Le tecnologie di mitigazione non sono ancora al passo con le problematiche;
� Le policy ed i comportamenti virtuosi sono sempre
in ritardo rispetto alla tecnologia.
“Esempi di Social Media Management carente o assente”
Nella primavera del 2008, la chitarra di un musicista viene rotta dagli addetti ai bagagli della United Airlines.
La compagnia non risponde alle richieste di risarcimento del musicista per 9 mesi, finchè, esasperato, il musicista produce un video musicale con la sua band, dal titolo “United BreaksGuitars”, e lo pubblica su YouTube.
Il video diventa “virale” e viene visto 7 milioni di volte, ma solo dopo una settimana Unitedreagisce proponendo al musicista 1.200$ di compensazione (che l’uomo rifiuta).
Conseguenze:
9
Conseguenze:
� Le azioni United hanno perso il 10% (una perdita di 180 milioni di $);
� L’assenza di una Social Media Policy, di strumenti di ascolto e di moderazione ha impedito aUnited di intervenire in tempo e con gli strumenti opportuni;
� La carenza di strumenti mirati di tutela legale (proattiva e reattiva) ha impedito a United di tutelarsi.
Altri esempi: Domino’s Pizza, Patrizia Pepe, Nestlè, Taco Bell, Energizer, Letizia Moratti…
“Il S.M. Security Management è indispensabile per proteggere l’azienda, in tempo reale”
In un contesto nel quale il “giro d’affari” della criminalità informatica è passato da 2 miliardi di euro nel 2009 a quasi 5 miliardi di euro nel 2010 (+150%)….
E’ di fondamentale importanza implementare un insieme di attività:
� Monitoraggio ed Analisi,
� Moderazione della conversazione,
� Tutela legale (proattiva e reattiva),
10
� Prevenzione delle minacce e gestione degli incidenti,
sia per ottimizzare il ROI dei Social Media sia per evitare danni economici o d’immagine (anche importanti e complessi da sanare), sia per evitare la perdita di dati sensibili o per rimediare ove gli incidenti si siano già verificati.
Il nostro modello di Social Media Management, sviluppato a partire da un’esperienza multidisciplinare unica in Italia, indirizza in maniera sinergica, razionale e cost effective tutte queste esigenze, posizionandosi all’avanguardia nel settore.
“Il processo di S.M. Management governa la complessità con un approccio integrato”
Assess Analyze Finalize Manage
Cluster clienti e need
Status uso social media
Status posizione social
Percezione base utenti
Peso communication mix
Business forecast
Account planning
Clustering clienti per
social media
Business scenario
Gap analysis current vs
scenario
Activity mix e cost-
benefit
Analisi d’impatto
(strategico, sicurezza,
legale)
Go/kill decision making
Activity mix per cluster
Mitigation planning
Piano implementazione
tecnologica
Piano implementazione
HR
Validazione portfolio
offering
Communication
A
g
e
n
z
i
a
11
Missione social
media
Check up
organizzazione
Territorio operativo
Reality check
Scenario evolutivo
Gap Analysis
Risk Analysis
Validazione operativa
Validazione business
Risk management
Flusso decisionale
Allineamento
operativo
Monitoraggio
Sostenibilità
strategica nel tempo
Obiettivi Obiettivi Obiettivi Obiettivi
Social media
awareness
Portfolio analysis vs
mercato
Marketing mix
Segmentazione fatturati
Business forecast
Clustering
Competizione e attività di
presidio mercato
Evoluzione tecnologica
sul target market
Gap analysis current vs
scenario
Activity mix e cost-
benefit
Analisi d’impatto
(strategico, sicurezza,
legale)
Go/kill decision making
Activity mix per cluster
Mitigation planning
Piano implementazione
tecnologica
Piano implementazione
HR
Workflow operativo
A
z
i
e
n
d
a
“Conclusioni”
"The most significant risk is usually the unplanned, unmanaged mass-adopted behavior or
technology change"
(Sophos - Social Media in the enterprise: Great opportunities, great security risks)
1) Vietare non è solo impossibile, ma anche controproducente: social è il nuovo paradigma di comunicazione del Web 2.0, indietro non si torna.
2) Gestire i nuovi scenari di Rischio derivanti dall'utilizzo dei Social Media in ambito business è una
12
2) Gestire i nuovi scenari di Rischio derivanti dall'utilizzo dei Social Media in ambito business è una necessità ed un'opportunità.
3) Selezionare le tecnologie più adatte, formare le persone, individuare le policies ed i controllipiù efficaci in ogni contesto specifico ed integrarli in un ottica di compliance alle normative esistenti è una sfida che sappiamo come affrontare...
Parliamone insieme!
web http://www.idialoghi.com
e-mail [email protected]
mobile +39 340 0956121
“Grazie!”
13
mobile +39 340 0956121
skype idialoghi
http://www.facebook.com/iDialoghi
http://www.linkedin.com/companies/idialoghi-srl
http://twitter.com/idialoghi
http://feeds.feedburner.com/idialoghi