Clusit Edu Social Business Security
Upcoming SlideShare
Loading in...5
×
 

Clusit Edu Social Business Security

on

  • 2,453 views

 

Statistics

Views

Total Views
2,453
Views on SlideShare
2,450
Embed Views
3

Actions

Likes
0
Downloads
17
Comments
0

1 Embed 3

http://www.linkedin.com 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Clusit Edu Social Business Security Clusit Edu Social Business Security Presentation Transcript

  • Social Network e Business: istruzioni per lusoMilano 20 Ottobre 2011 – Seminario Clusit EducationAndrea Zapparoli Manzoni
  • PresentazioniAndrea Zapparoli Manzoni nasce nel 1968 a Milano. Inizia l’attività lavorativa nel 1995 e si interessa attivamente di ICT Security dal 1997, con particolare riferimento alle tematiche GRC (Governance, Risk e Compliance). Negli anni si occupa di IDM, IAM, DLP, Anti Frode, Security Intelligence, Forensics, Cybercrime, Vulnerability Assessment e Management in contesti Enterprise, Industriali, PA Centrale e Gov-Mil. Scrive articoli e saggi su tematiche di sicurezza e segue con grande attenzione tutte le evoluzioni della Cybersecurity a livello internazionale. In qualità di trusted advisor collabora con Enti ed Istituzioni, nazionali ed internazionali. Contribuisce alle attività di Clusit partecipando a convegni, realizzando documenti ( oltre a redigere 2 pattern del ROSI, ha trattato DLP e SCADA) e diffondendo la cultura dell’IT Security in Italia. Oltre a collaborare con numerose aziende italiane ed estere, è fondatore e CEO de iDialoghi, società di consulting specializzata nella progettazione e realizzazione di soluzioni di Information Security avanzate / non convenzionali, incluso l’ambito Social Media. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 2
  • I Social Media nel MondoCominciamo dando un pò di numeri… La maggior parte delle aziende T0P500 usano attivamente i Social Media, siainternamente che nei rapporti con Clienti, Partner, Media ed altre Aziende. (Fonte: SC Magazine – Shining the spotlight on Social Media - 2011) Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 3
  • I Social Media in ItaliaLe Aziende italiane fanno un uso “acerbo” ma comunque crescente dei SocialMedia, e li utilizzano prevalentemente verso i Media e gli Utenti finali. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 4
  • Diffusione dei Social Media25 MILIARDI.Il numero di contenuti (web links, news, posts, note, foto, ecc) condivisi ognimese su Facebook.24 ORE.La durata totale dei video caricati ogni minuto su YouTube. 2 MILIARDI. Il numero di video visti ogni giorno su YouTube. 50 MILIONI. Il numero medio di “tweets” al giorno su Twitter. 10 MILIARDI. Il numero di immagini ospitate su Flickr. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 5
  • Diffusione di Facebook Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 6
  • Prospettive di Diffusione del Social Business“By 2014, social networking services will replace e-mail as the primary vehiclefor interpersonal communications for 20 percent of business users.”“By 2012, over 50 percent of enterprises will use activity streams that includemicroblogging, but stand-alone enterprise microblogging will have less than 5percent penetration.”“Within five years, 70 percent of collaboration and communicationsapplications designed on PCs will be modeled after user experience lessonsfrom smartphone collaboration applications.”( Gartner “Predicts 2011: Social Software Is an Enterprise Reality” ) Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 7
  • OK… ma cosa sono i Social Media?“I Social Media sono un insieme di piattaforme Web 2.0 tramite le quali gli utentiinteragiscono direttamente, producendo e condividendo contenuti propri e/oelaborando contenuti altrui, in tempo reale”.Questo è certamente vero, però… Perché sono per lo più gratuiti? Di chi sono? Chi li controlla? Come sono regolati contrattualmente? Cosa ci fanno con i social graph degli utenti? E con i dati immessi dagli utenti? E con le foto? Sono “filtrati”? Sono “neutrali”? Sono “liberi”? Sono “sicuri”? Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 8
  • I Social Media sono anche… armiNel corso degli ultimi 2-3 anni i Social Media sono diventati armi atutti gli effetti, e fanno ormai parte dell’arsenale di strumenti“cyber” a disposizione di eserciti, servizi segreti, polizie, terroristi,mercenari, gruppi antagonisti e corporations.Alcuni fatti (noti) tra i più eclatanti: Utilizzati attivamente da Anonymous (e gruppi simili) Utilizzati attivamente dai Governi (Iran, Siria, Cina, USA etc) per PsyOps, OSInt ed acquisizione bersagli Utilizzati dai ribelli delle “primavere arabe” come C4ISR1 ed in Libia dalle Forze Speciali, a supporto di operazioni NATO Utilizzati da Aziende contro concorrenti ed attivisti1 Command, Control, Computers, Communications, Intelligence, Surveillance and Reconnaissance Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 9
  • I Social Media sono anche… bersagliEssendo diventati a tutti gli effetti un’arma ed un campo di battaglia, i Social Mediasono inevitabilmente anche diventati un obiettivo.Questo significa che in qualsiasi momento potrebbero essere attaccati, bloccati e resiirraggiungibili, oppure più semplicemente inutilizzabili.In effetti è già successo, a causa di:  rivolte, insurrezioni e guerre civili  attacchi cyber di vario genere e scopo  azioni di sabotaggio e di protesta  attività di poisoning tramite personae / bots  censura di Stato(Meglio non darli troppo per scontati)…. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 10
  • I Social Media sono anche… il Paradiso del CybercrimeOggi i Social Media sono diventati una dei principali terreni di cacciaper il cybercrime organizzato trans-nazionale, che ha raggiunto un“fatturato” nel 2011 (stimato) di 7 miliardi di dollari, in crescita del250% sull’anno precedente.Nel 2010 74 milioni di persone sono stati vittime di cybercrime negliUSA, (2/3 tramite i Social Media, 10 al secondo) per 32 Md $ diperdite dirette. Nel mondo la stima 2010 è di oltre 110 Md $.Il costo totale worldwide (perdite dirette + costi & tempo dedicati arimediare agli attacchi) nel 2010 è stato stimato in 388 Md $. E’ piùdel PIL del Vietnam, dell’Ucraina e della Romania sommati!Se il trend continua, nel 2011 questi costi saranno pari a metà del PILitaliano….(Fonti: Symantec, Kaspersky, DHS, KPMG, Brookings Institute, Infosec Island, iDialoghi) Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 11
  • … e il Cybercrime è in crescita esponenzialePrincipali attacchi ad Enti ed Aziende (di cui si ha notizia) del solo mese di agosto 2011. (Fonte Video: Paolo Passeri – http://paulsparrows.wordpress.com – Elaborazione iDialoghi) Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 12
  • I Social Media sono un rischio per gli Utenti Un solo esempio per tutti…. Ne potremmo fare alcune migliaia, ogni giorno ce ne sono di nuovi…Sfruttando la notizia della morte di Bin Laden, inpoche ore decine di migliaia di utenti Facebook sonostati infettati da un trojan (non rilevato dagliantivirus) che ruba dati personali e trasforma i PCdelle vittime in zombie…Per la natura dei Social Media, i criminali informaticihanno la possibilità di infettare e comprometteremilioni di sistemi nel giro di pochi giorni… Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 13
  • I Social Media sono un rischio per il BusinessI Social Media sono una importante fonte di rischio d’impresa… anche per leAziende che non li utilizzano! Attacchi informatici, frodi, furti di dati e didenaro, di proprietà intellettuale, concorrenza sleale, danni a terze parti e diimmagine… Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 14
  • Le Aziende non sono pronte…D: Avete subito perdite di dati negli ultimi 2 anni? Di che tipo? 90% risponde “non so”… Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 15
  • Quali contromisure, come e quando?Dal momento che subire un incidente è solo questione di tempo, è di fondamentaleimportanza implementare un insieme di processi di gestione del rischio, armonizzati ecoordinati all’interno di un piano complessivo di Social Media Management: Formazione Definizione di policies e responsabilità Moderazione della conversazione Prevenzione delle minacce (early warning, VA, PT, war games) Analisi dei Rischi e Monitoraggio continuo Tutela legale (proattiva e reattiva) Gestione degli incidenti e degli attacchi informaticiQuesto sia per ottimizzare il ROI del Social Business, sia per evitaredanni economici o d’immagine (anche importanti e complessida sanare), sia per impedire la perdita di dati sensibili o perrimediare ove gli incidenti si siano già verificati. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 16
  • Ostacoli alle contromisureOltre ai Rischi derivanti dal Cybercrime, vanno considerati ed affrontati una serie diostacoli, che rischiano di indebolire il processo di Social Business Management. La consapevolezza dei problemi è ancora molto bassa, a tutti i livelli; Un numero crescente di minacce si realizza a livello semantico, impossibile da monitorare e gestire con strumenti tradizionali; Consumerization of Enterprise IT: gli utenti utilizzano strumenti propri; Per vari motivi, è "vietato vietare" (particolarmente in Italia); La normativa tutela (giustamente) la privacy e le libertà dei collaboratori, complicando le attività di monitoraggio; Le tecnologie di mitigazione non sono ancora al passo con le problematiche (ma si evolvono a gran velocità); Le policy ed i comportamenti virtuosi sono sempre in ritardo rispetto alle tecnologie. Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 17
  • Formazione ed AwarenessLa conoscenza è potere. In contesto tanto nuovo e complesso, è necessario impostaredei processi di formazione continua per il management, gli utenti ed i partner. Fare formazione ed aggiornamento a tutti i livelli Definire regole chiare e condivise specifiche per l’utilizzo dei Social Media Controllare e misurare il loro livello di adozione e la loro efficacia nel tempo rispetto all’evoluzione delle minacce Responsabilizzare gli utenti e le strutture aziendali coinvolte, a qualsiasi titolo, dall’uso dei Social Media.NB diciamolo una volta per tutte: i SM non sono un problema (solo)dell’IT ne un ambito di pertinenza esclusiva del Marketing! Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 18
  • Organizzazione e Gestione“La potenza è nulla senza controllo”. Il Web 2.0 ed il Social Business in particolare nonsono un “evoluzione” del Web, sono una rivoluzione epocale, un nuovo mondo.Le aziende devono modificarsi ed organizzarsi di conseguenza (NB Darwin docet!)Stimolare il necessario commitment a livello di Direzione e diStakeholders, sostenendolo con argomentazioni scientifiche(ROI, KPI, KSI…. NB basta chiacchiere!)Creare una struttura multidisciplinare per la gestione della SocialBusiness Strategy, che includa ed integri competenze diMarketing, Legali, di HR, di GRC e di Information SecurityNominare un unico responsabile per la Social Business Strategy,che abbia una visione globale dei problemi e delle opportunità…e magari scegliere i consulenti giusti ?  Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 19
  • Prevenzione, Monitoraggio e ContrastoSul “fronte interno” (NB non c’è più il perimetro!)  Strong Authentication + Network Access Control + Next Generation Firewall  Endpoint protection / Application control / Device control (anche mobile!)  Data Loss & Leakage prevention / DRM / Encryption end to endSul “fronte esterno” (NB il resto del mondo)  Early Warning / Security Intelligence  Cloud based antimalware / Reputation based monitoring  Reputation Management / Brand Management  OSInt / Analisi e correlazione dei contenuti a livello semantico (testi e immagini)Tutto questo in un’ottica di Risk Management, Governance & Compliance Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 20
  • Social Business ManagementIl Social Business è il nuovo paradigma di attività commerciale emerso dal Web2.0, indietro non si torna.Anche se le prospettive sono ancora tutte da comprendere, i valoriin gioco sono enormi, e così anche i rischi.Gestire i nuovi scenari di rischio derivanti dalladozione del SocialBusiness è una necessità ed unopportunità.Selezionare le tecnologie più adatte, formare lepersone, individuare le strategie, le policies ed i controlli piùefficaci in ogni contesto ed integrare diverse discipline nelprocesso di Social Business Management è una sfida chedobbiamo affrontare...Parliamone insieme! Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 21
  • Grazie! Andrea Zapparoli Manzoni a.zmanzoni@idialoghi.com Social Network e Business: istruzioni per luso - Andrea Zapparoli Manzoni 22