Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

I rischi dei Social Media in Ambito Aziendale

2,062 views

Published on

I rischi dei Social Media in Ambito Aziendale: una prima analisi legata alla Social Business Security

Published in: Technology
  • Be the first to comment

I rischi dei Social Media in Ambito Aziendale

  1. 1. Piero Tagliapietra - Security Specialist - Project Work         1                       POLITECNICO  DI  MILANO  –  CEFRIEL   MASTER  IN  ALTO  APPRENDISTATO  DI  I°  LIVELLO  “SECURITY  SPECIALIST”           I  rischi  dei  Social  Media  in   Ambito  Aziendale     Introduzione  alla  Social  Business  Security                     Tutor:   Ing.  Giulio  Perin   Ing.  Enrico  Frumento     Presentata  da:   Piero  Tagliapietra                   2012/2014    
  2. 2. Piero Tagliapietra - Security Specialist - Project Work         2   SCENARIO   4   Social  Media  e  Social  Media  Business   4   Sicurezza  e  Social  Media   5   Analisi  dei  rischi  nel  dettaglio   10   Diffusione  Malware   10   Spam,  Phishing  e  frodi   11   Social  Engineering  e  Spear  Phishing   11   Diffusione  o  furto  di  dati  sensibili  o  d’identità   11   Diffusione  d’informazione  riservate  o  false   11   Danni  d’immagine  o  reputazione   11   OSINT   12   Diffamazione,  Ingiuria,  Stalking   12   Hacktivism  e  cracking  dei  profili  ufficiali   12   Violazione  dei  reati  presupposto   12   Violazione  dell’art.  4  l.  300/70   13   Diminuzione  della  produttività  dei  dipendenti   13   Tabella  di  sintesi   13   Aspetti  legali   15   MODELLIZZAZIONE  DELLE  MINACCE   17   Elementi  del  modello   17   Asset   17   Minacce   18   Informazioni  private  o  riservate  o  sensibili:   18   Asset  finanziari   18   Proprietà  intellettuale   18   Segreti  industriali   19   Sicurezza  fisica   19   Risorse  informatiche  e  rete  aziendale   19   Immagine  e  reputazione  personale   19   Immagine  e  reputazione  aziendale   19   Perdita  di  proprietà  intellettuale   20   Vulnerabilità   20   Estrinseche   20   Intrinseche   20   Exploit   21   Driven  by  download   21   Web  Exploit   22   Modello   22   RISK  TREE   25   Creazione  di  un  Dossier  Digitale   25   Pubblicazione  di  documenti   26   Danni  d’immagine   27   Attacco  ai  sistemi  aziendali   28   Interconnessione  dei  rischi   29  
  3. 3. Piero Tagliapietra - Security Specialist - Project Work         3   DREAD   30   MITIGAZIONE   34   Formazione   35   Policy   35   Elementi  cardine   36   Guidelines   38   Elementi  cardine   39   Strumenti  tecnologici   40   Piattaforme  di  monitoraggio   40   Piattaforme  di  gestione  dei  Social  Media   40   IDS  e  DLP   40   Backup  e  data  retention   41   Monitoraggio  del  traffico   41   Aggiornamenti  automatici   41   BIBLIOGRAFIA   42      
  4. 4. Piero Tagliapietra - Security Specialist - Project Work         4   Scenario   Social  Media  e  Social  Media  Business   I Social Media sono un insieme di tecnologie, piattaforme e strumenti online che le persone utilizzano per scambiare opinioni, informazioni, esperienze e contenuti multimediali e per stabilire relazioni. Possiamo dire quindi che i Social Media facilitano le interazioni tra gruppi di persone. Dovendo andare a identificare alcune delle specificità di questi strumenti possiamo utilizzare quelle descritte da Bennato 1 ed elencare le quattro peculiarità di questo media: replicabilità (per definizione ogni oggetto digitale può essere duplicato), ricercabilità (qualunque testo, salvo alcune eccezioni specifiche, è ricercabile), persistenza (una volta pubblicati online l’autore ne perde il controllo e non può garantirne l’eliminazione) e scalabilità (i contenuti possono essere diffusi in maniera virale in modo più o meno rapido). Tuttavia, anche se in parte si tratta di un qualcosa di nuovo, sappiamo che tutti i media si appoggiano su infrastrutture pre-esistenti e in molti casi possiamo ritrovare questa tendenza nel fatto che gli utenti tendano a considerare come narrow cast la comunicazione digitale (avendo una tradizione di media, anche digitali, con una portata limitata) mentre utilizzano piattaforme di broadcasting e parlando quindi con un numero estremamente alto di persone. Il numero di utenti che utilizza i Social Media e partecipa su Social Network è cresciuto enormemente negli ultimi anni in un trend che non ha riguardato solamente gli USA, ma che ha investito tutto il mondo. Se prendiamo ad esempio l’Italia vediamo che su una popolazione di circa 28 milioni di utenti online2 oggi gli utenti attivi di Facebook, secondo i dati ufficiali sono quasi 22 milioni, il 78% della popolazione online. Se andiamo leggermente oltre vediamo che 13 milioni di persone si connettono quotidianamente e 7 milioni di utenti si collegano tramite telefono3 . Anche se con numeri inferiori troviamo diversi milioni di utenti attivi anche su Twitter, Linkedin, Google+ mentre migliaia di persone scrivono sul proprio blog personale o si geolocalizzano su Foursquare. Vediamo quindi che durante il giorno le persone raccontano la propria vita attraverso vari dispositivi, in vari momenti, su diverse piattaforme. Da questo punto di vista possiamo vedere come la fruizione dei media sia cambiata e come si possano identificare due trend precisi da questo punto di vista: da un lato infatti abbiamo una fruizione multi-device sequenziale, dove l’utente si sposta da un oggetto all’altro fruendo però sempre dello stessa tipologia di contenuto, dall’altra invece abbiamo una fruizione multi-device contemporanea durante la                                                                                                                 1 Sociologia dei Media Digitali, Laterza, Roma-Bari 2011 2 Dati audiweb di luglio http://www.audiweb.it/cms/view.php?id=6&cms_pk=265 3 http://vincos.it/2012/05/11/nasce-losservatorio-social-media-in-italia-google-cresce-e-insidia- linkedin/
  5. 5. Piero Tagliapietra - Security Specialist - Project Work         5   quale l’utente utilizza più strumenti contemporaneamente (ad esempio twittando durante un evento televisivo). Ovviamente un bacino di utenti così ampio non ha lasciato le aziende indifferenti che hanno visto i Social Media come un nuovo territorio da colonizzare e sfruttare per attività di tipo promozionale, commerciale e per relazionarsi con i propri consumatori. Questo ha portato alla creazioni di pagine su Facebook, ad account aziendali su Twitter e alla realizzazioni di presidi su varie piattaforme: se prendiamo la lista delle Fortune 5004 vediamo che il 23% di queste ha un blog aziendale, il 62% un account Twitter e il 58% una pagina Facebook. Ovviamente le numeriche degli utenti e le attività aziendali sui Social Media mostrano a prima vista uno scenario apparentemente tranquillo, ma una lettura più profonda e completa di questo fenomeno può aiutarci a comprendere che queste piattaforme e tecnologie possono anche rappresentare un rischio per le aziende Sicurezza  e  Social  Media   In modo da comprendere in maniera esaustiva quali sono i rischi e i pericoli che possono nascere per un’azienda dai Social Media dobbiamo approfondire alcuni dei punti toccati in precedenza. Abbiamo detto che il numero di persone che utilizzano i Social Media è sempre più elevato, ma questi soggetti non sono semplicemente cittadini, sono anche dipendenti, manager e amministratori delegati: sono quindi in possesso di informazioni sull’azienda che non sempre possono essere rese pubbliche. Il fatto che, inavvertitamente, queste informazioni vengano condivise online è ben più di una possibilità: in alcuni casi infatti gli utenti sono convinti di agire secondo logiche di narrowcasting e non si rendono conto della diffusione (e dell’impatto) che possono avere i loro update. Oltretutto in molti casi il piano personale e lavorativo tendono a sovrapporsi. È infatti molto difficile per delle persone normali, per gli amici e i follower, comprendere quando si passa da un registro ufficiale ad uno comune: normalmente si tende a creare un unico insieme ibrido. Ovviamente questo rappresenta un ulteriore problema dal momento che alcune dichiarazioni che non rispecchiano necessariamente quelle dell’azienda possono essere lette come ufficiali. Oltretutto, anche qualora si riuscisse a tenere separati i due piani, qualunque messaggio ad opera dei dipendenti, dei manager e degli dipendenti andrebbe a contribuire alla costruzione della corporate image. Dobbiamo infatti ricordare che l’immagine aziendale (o corporate image usando le parole di Ugo Volli5 ) è un elemento semiotico frutto delle varie                                                                                                                 4 http://econsultancy.com/it/blog/9607-fortune-500-social-media-statistics-infographic 5 Semiotica della Pubblicità, Laterza, 2002
  6. 6. Piero Tagliapietra - Security Specialist - Project Work         6   discussioni che si sviluppano intorno alla marca e che quindi comprende sia i messaggi volontari (quelli ad esempio emessi in maniera ufficiale dall’azienda), sia involontari (ad esempio quelli dei dipendenti) che percepiti (discorsi fatti dagli utenti). Il grande passaggio verso il cosiddetto web 2.0 ha quindi spostato gli equilibri riducendo di fatto il potere dei messaggi volontari in favore di quelli involontari e recepiti: sempre più la marca è un elemento costruito collettivamente secondo logiche dal basso e quindi, i dipendenti, anche in maniera involontaria sono parte attiva della corporate image con i propri account e i propri update. Oltretutto molti di questi messaggi sono pubblicati durante l’orario di lavoro. Abbiamo infatti detto che le persone utilizzano i Social Network e i Social Media durante tutta la giornata e, se estendiamo il tutto all’impresa, questo significa che anche i dipendenti, durante l’orario lavorativo, utilizzeranno questi strumenti per interagire con i propri amici e condividere informazioni. Queste attività non vengono necessariamente fatte tramite computer di lavoro, uno strumento sul quale eventualmente è possibile esercitare una forma di controllo e tutela, ma spesso tramite gli smartphone personali che in un secondo momento vengono collegati al computer o alla rete interna. La consumerizzazione dell IT e le pratiche di BYOD (Bing You Own Device) da questo punto di vista complicano la gestione della sicurezza. La presenza di strumenti personali del dipendente infatti può limitare il controllo (e la protezione) da parte dell’azienda sui propri asset materiali e immateriali. Inoltre possiamo dire che, normalmente, le persone tendono ad attribuire uno scarso valore alle informazioni in loro possesso e, conseguentemente, a condividerle in maniera più facile: così come una password è condivisa più facilmente di un token o di una smart card, allo stesso modo, condividere informazioni con i propri contatti online, non viene percepito come attività rischiosa o dannosa. Questo porta in molti casi ad un approccio ingenuo che può aumentare l’esposizione dell’azienda a dei rischi. Oltre alla condivisione di informazioni, un approccio di tipo ingenuo espone anche a tutta un’altra categoria di rischi: in molti casi infatti gli utenti, convinti che l’ambiente dei Social Media sia sicuro (perché popolato da contenuti prodotti da altri utenti e da materiali condivisi dai propri amici) rischiano di premere con maggior frequenza su link poco sicuri e di immettere malware di vario tipo all’interno della computer aziendali, e, di conseguenza, di compromettere la rete aziendale. Nonostante molti dipendenti non considerino i Social Media come sorgenti di rischio, la loro pericolosità non è sfuggita a coloro che si occupano di sicurezza e di gestione dei Social Media. Se andiamo a prendere i dati di una recente analisi (pubblicata il 9 agosto) condotta da Altimeter6 vediamo che è                                                                                                                 6 i dati originali sono disponibili a questo indirizzo http://www.web- strategist.com/blog/2012/08/09/risk-management-guarding-the-gates-altimeter-report/ mentre una loro elaborazione è disponibile al seguente
  7. 7. Piero Tagliapietra - Security Specialist - Project Work         7   inizia a farsi strada una certa consapevolezza.                                                                                                                                                                                                                                                                                                                               http://www.emarketer.com/Article.aspx?R=1009309&ecid=a6506033675d47f881651943c21c 5ed4&goback=%2Egde_4417941_member_156431387
  8. 8. Piero Tagliapietra - Security Specialist - Project Work         8   Rischio Critico Significativo Moderato Debole Nessuno Danni di reputazione o all’immagine del brand 35% 31% 23% 4% 6% Diffusione d’informazioni confidenziali 15% 17% 31% 25% 10% Perdita di Proprietà Intellettuale (IP) 13% 15% 31% 25% 10% Problemi di carattere legale o di compliance 13% 17% 25% 27% 15% Diffusione di dati personali o sensibili 13% 21% 33% 15% 15% Forto d’identità o Hijacking 12% 13% 29% 22% 21% Interruzione della Business Continuity 10% 12% 29% 21% 27% Malware 8% 15% 33% 35% 8% Attacchi di Social Engineering 6% 12% 29% 35% 15% Danni all’infrastruttura informativa 6% 6% 31% 40% 15% Riduzione della produttività 4% 10% 31% 37% 17% Diffamazione dei dipendenti 2% 21% 27% 29% 19% I problemi che possono essere innescati da Social Media sono di diverso tipo e riguardano sia aspetti materiali (come la diffusione di materiale protetto) che immateriali (danni alla reputazione o all’immagine del brand). Se andiamo oltre possiamo osservare come la percezione del rischio cambi anche in funzione delle piattaforme7 . Sorgente di Rischio Significativo Moderato Basso Nessuno Facebook 35% 30% 25% 10% Twitter 25% 35% 33% 8% YouTube e altre piattaforme video 15% 28% 43% 15% Blog di altri utenti e commenti 10% 37% 44% 10% Blog aziendale e commenti 8% 15% 43% 31% Linkedin 8% 15% 43% 35% Giudizi e valutazioni su piattaforme dedicate 5% 18% 33% 45% Pinterest 5% 15% 33% 48% Piattaforme di condivisione delle immagini 3% 25% 38% 35%                                                                                                                 7 In questo caso le valutazione delle piattaforme sono soggettive e non parametrate sulla presenza effettiva di rischi, vulnerabilità o exploit noti
  9. 9. Piero Tagliapietra - Security Specialist - Project Work         9   Foursquare 3% 20% 20% 58% Intranet e Social Network Enterprise (es. Yammer) 3% 15% 35% 48% Google+ 0% 18% 49% 33% YahooAnswer, Quora ed analoghi 0% 13% 43% 45% Da questo primo breve elenco possiamo iniziare a distinguere tra due diverse tipi di attività: da un lato abbiamo dipendenti che, senza distinzione d’orario, pubblicano contenuti su piattaforme esterne (azione attiva) che possono condurre o a danni d’immagine o alla fuoriuscita di informazioni riservate o fungere da supporto per eventuali attacchi di Social Engineering e dall’altro dipendenti che, utilizzando piattaforme esterne durante le ore di lavoro, espongono i computer e la rete aziendali a dei rischi derivanti da attacchi esterni di vario tipo. Uno degli aspetti predominanti che emerge dalle tabelle prese in analisi in precedenza, è come i rischi maggiori (percepiti) siano legati ai danni di reputazione e all’immagine aziendale. Si tratta di timori fondati dal momento che: • Possono essere causate da una molteplicità di attori (dipendenti o attaccanti) • La diffusione di queste piattaforme e la naturale viralità dei contenuti che su di esse transitano possono amplificare la portata degli attacchi o dei danni • Richiedono una gestione attenta (da parte del community manager in molti casi) e una pianificazione accurata (da parte del management e dei responsabili della comunicazione) • Le persone non distinguono tra utenti e profili ufficiali e quindi, in molti casi, anche gli update personali dei dipendenti possono avere ricadute sulla corporate image.    
  10. 10. Piero Tagliapietra - Security Specialist - Project Work         10   Analisi  dei  rischi  nel  dettaglio     Dopo questo primo e generico elenco necessario approfondire e dettagliare questi elementi in modo da comprendere più a fondo quali siano gli elementi che contraddistinguono i diversi rischi sui Social Media. In modo da semplificare la lettura, alcuni rischi strettamente collegati, sono stati riassunti in un'unica categoria. A livello di rischi possiamo identificare • Diffusione di Malware • Spam,phishing e frodi • Social Engineering e Spear Phishing • Diffusione o furto di dati sensibili o d’identità • Diffusione d’informazioni riservate o false • Open Source Intelligence da parte dei concorrenti • Diffamazione, Ingiuria, Stalking • Danni d’immagine e di reputazione • Hacktivism e hacking dei profili di comunicazione aziendale • Violazione di reati presupposto (231/01) • Violazione dell’art. 4 L.300/70 • Diminuzione della produttività da parte dei dipendenti In modo da poter comprendere meglio le tipologie di rischio per ognuna di queste categorie è stata fatto un approfondimento ulteriore e, i vari rischi, sono stati valutati tramite un’analisi qualitativa analizzandone frequenza e impatto e andando a considerare quindi tre macrocategorie (accettabile, grave, inaccettabile). Ovviamente, la valutazione è parziale dal momento che non sono stati selezionati target ed asset specifici da proteggere. Impatto Basso Minore Moderato Alto Catastrofico Frequenza 1 2 3 4 5 Raro 1 1 2 3 4 5 Improbabile 2 2 4 6 8 10 Possibile 3 3 6 9 12 15 Probabile 4 4 8 12 16 20 Certo 5 5 10 15 20 25 Uno degli aspetti principali da considerare è che questi rischi non sono scollegati tra loro, ma che molto spesso assistiamo a una combinazione di essi. Diffusione  Malware   In questo caso si tratta principalmente di rischi la cui frequenza è molto elevata (certa) e il cui impatto può andare da minore ad alto. Si tratta quindi di rischi gravi o inaccettabili a seconda della realtà aziendale. Gli attacchi legati al malware (trojans, worms, rootkit, etc.) sono tutti driven by download e
  11. 11. Piero Tagliapietra - Security Specialist - Project Work         11   prevedono la presenza di un attaccante esterno. Questi attacchi sono particolarmente frequenti e sfruttano principalmente la credibilità,il senso di sicurezza del gruppo e la prova sociale. Spam,  Phishing  e  frodi   In questo caso il rischio è possibile con un impatto moderato-alto a seconda della realtà aziendale. Questi rischi possono essere in preparazione ad attacchi più mirati (ad esempio acquisizione di credenziali o informazioni per attacchi di Social Engineering, OSINT o Spear Phishing) Social  Engineering  e  Spear  Phishing   In questo caso il rischio è possibile con un impatto alto-catastrofico. Dato che alla base degli attacchi basati su questi metodi ci sono la ricerca d’informazioni o lo sviluppo di relazioni con la vittima, appare subito evidente che i Social Media rappresentano un terreno particolarmente fertile. In molti casi infatti non sono solo le vittime a rivelare informazioni su di sé, ma sono anche i colleghi e amici. La possibilità di entrare in relazione online facilità molto il compito e le attività degli ingegneri sociali. Diffusione  o  furto  di  dati  sensibili  o  d’identità   In questo caso i rischi sono accettabili o gravi a seconda dell’attore coinvolto e della tipologia d’informazioni diffuse. In questo caso infatti possiamo avere due tipologie distinte di attori: da un lato un dipendente che, dando scarso valore alle informazioni e percependo i Social Media come riservati e sicuri, diffonde in maniera involontaria informazioni su di sé, sull’azienda o sui colleghi; dall’altra abbiamo un attaccante (esterno o interno) il cui obiettivo è la diffusione delle informazioni. Possiamo quindi distinguere tra atti passivi (diffusione inconscia) e attivo (distribuzione conscia finalizzata ad uno scopo preciso). A livello di frequenza, il primo rischio descritto (comportamento naïve dei dipendenti) appare come più probabile e frequente. Diffusione  d’informazione  riservate  o  false   Questo rischi sono gravi (possibili e con un impatto alto): come nel caso precedente possiamo identificare un comportamento passivo ed uno attivo data la presenza di due attori (dipendente inconsapevole e attaccante). La diffusione di informazioni false rappresenta un elemento particolarmente interessante e significativo dal momento che all’interno dei Social Media la verifica delle fonti e dei contenuti avviene raramente. Se aggiungiamo a questo la viralità delle condivisioni, vediamo che l’impatto di questo rischio è decisamente elevata (soprattutto se vengono sfruttati meccanismi per creare in maniera artificiosa credibilità nelle fonti). Danni  d’immagine  o  reputazione   Come emerso dalla tabella questi rischi sono percepiti come i più probabili e
  12. 12. Piero Tagliapietra - Security Specialist - Project Work         12   con impatto maggiore: date anche le premesse sono da considerarsi come gravi o inaccettabili. In questo caso i Social Media rappresentano uno dei terreni che meglio si prestano a questi rischi: i dipendenti possono infatti pubblicare informazioni false, riservate, sensibili in maniera inconsapevole sui propri profili, sui presidi aziendali ufficiali o sulle pagine dei competitor mentre degli attaccanti possono farlo in maniera consapevole. L’elevato numero di utenti, la scalabilità dei contenuti e la loro persistenza rendono questo rischio inaccettabile. OSINT   Le operazioni di Open Source Intelligence da parte dei concorrenti rappresentano uno dei nuovi grandi rischi introdotti dai Social Media. In passato questo rischio era presente (andando ad analizzare i documenti pubblici ad esempio) ma era un accettabile o grave: con la mole d’informazioni pubbliche condivise dai dipendenti sulle varie piattaforme, possiamo dire che questo rischio oggi è classificabile come grave o inaccettabile a seconda della realtà. In questo caso troviamo una molteplicità di attori coinvolti: da un lato abbiamo infatti i dipendenti che pubblicano in maniera inconsapevole o consapevole le informazioni e dall’altro attaccanti esterni. Diffamazione,  Ingiuria,  Stalking   Si tratta di rischi al momento accettabili (rari e ad impatto moderato) ma che stanno vedendo nell’ultimo anno una radicale crescita. In molti casi infatti gli utenti non si rendono conto che, tramite i Social Media, comunicano ad un pubblico (qualunque insieme di persone superiore a due secondo la definizione giuridica) e che quindi si espongono facilmente ad una violazione degli art. 594 e 595 c.p. In questo caso il rischio diretto per l’azienda è relativamente basso (dato che la responsabilità penale è soggettiva), ma rischia di avere ripercussioni sull’immagine o di perdere figure chiave all’interno del management o dei progetti. Hacktivism  e  cracking  dei  profili  ufficiali   In questo caso, a seconda della realtà aziendale, possiamo definire questo rischio come grave (improbabile e con un impatto moderato-alto). Sono ormai diversi i casi in cui presidi ufficiali sono stati obiettivo di minacce da parte di hacktivisti: alcuni casi sono stati diffusi messaggi falsi (a seguito del furto delle credenziali) o notizie potenzialmente diffamatorie o con pesanti ricadute sull’immagine aziendale. In questo caso gli attori prevalenti sono attaccanti esterni. Una delle nuove frontiere di questo fenomeno potrebbe essere il ransomware applicato ai presidi ufficiali. Violazione  dei  reati  presupposto   A seguito della legge 231/01 sono stati individuati diversi reati presupposto molti dei quali possono essere commessi anche tramite Social Media. In
  13. 13. Piero Tagliapietra - Security Specialist - Project Work         13   questo caso, dato che si tratta comunque di piattaforme nuove, possiamo definire questi rischi come gravi o inaccettabili a seconda della realtà aziendale. La frequenza infatti che avvengano violazione dei reati presupposto è possibile (devono infatti essere commessi da figure apicali) ma in casi di aziende con forti legami con le PA l’impatto può essere catastrofico. Così come per la violazione dell’art. 4 l.300/70 in questo caso gli attori principali sono interni all’azienda. Violazione  dell’art.  4  l.  300/70   Nonostante vi sia la necessità di controllo è necessario tener presente di questo rischio che può comunque essere considerato accettabile. Qualora infatti si mettano in campo strumenti di controllo e monitoraggio dei Social Media è necessario infatti procedere con cautela onde evitare di andare oltre i limiti del controllo a distanza del dipendente. Diminuzione  della  produttività  dei  dipendenti   Questo rappresenta un rischio accettabile o grave la cui valutazione richiede un’attenta analisi. In molti casi infatti, un’errata lettura può portare ad una maggiore esposizione a rischi: i dipendenti che si vedono privati dell’accesso ai Social Media possono infatti ricorrere a proxy o device personali poco protetti. In questo caso gli attori coinvolti sono esclusivamente interni. Tabella  di  sintesi   Tipologia Frequenza Impatto Rischio Diffusione  Malware   Probabile Alto Inaccettabile Spam,  Phishing  e  Frodi   Probabile Moderato Grave Social   Engineering   e   Spear   Phishing   Possibile Catastrofico Inaccettabile Diffusione   o   furto   di   dati   sensibili  o  d’identità   Probabile Alto Inaccettabile Diffusione   di   informazioni   riservate  o  false   Possibile Alto Grave Danni   d’immagine   o   di   reputazione   Probabile Alto Inaccettabile OSINT   Certo Alto Inaccettabile Diffamazione,   Ingiuria,   Stalking   Raro Moderato Accettabile Hacktivism   e   cracking   dei   profili  ufficiali   Improbabile Moderato Grave Violazione   dei   reati   presupposto   Possibile Alto Grave Violazione   dell’art.   4   l.   300/70   Possibile Alto Grave Diminuzione   della   produttività  dei  dipendenti   Probabile Basso Accettabile
  14. 14. Piero Tagliapietra - Security Specialist - Project Work         14   In  base  a  questa  prima  analisi  siamo  in  grado  di  definire  una  scala  dei  rischi  e   decidere  eventuali  interventi  di  carattere  generale:  sarà  poi  l’analisi  sulla  singola   realtà  aziendale  (in  base  a  target,  contesto  e  agli  altri  parametri)  a  definire  con   maggior  precisione  il  piano  d’azione,  le  priorità  e  le  modalità  di  mitigazione.  In   tutti  questi  casi  ci  troviamo  davanti  a  rischi  non  intrinsechi:  utilizzando  infatti   delle  soluzioni  di  varia  natura  (sia  tecnologiche  sia  a  livello  umano)  è  possibile   ridurre  i  valori  legati  alla  frequenza  e  in  alcuni  casi  anche  l’impatto.    
  15. 15. Piero Tagliapietra - Security Specialist - Project Work         15   Aspetti  legali     La sicurezza dei Social Media comporta inoltre una profonda riflessione dal punto di vista legale dal momento che vanno ad incrociarsi diversi elementi. Prima di tutto il fatto che i dipendenti, sui Social Media, utilizzano i propri account personali e spesso device personali: questo ovviamente limita le possibilità di indirizzo e di controllo da parte dell’azienda. Il datore di lavoro rischia infatti d’incorrere in problematiche legate alla violazione dell’art. 4 l. 300/70 (controllo a distanza del dipendente) qualora monitori in maniera poco trasparente e non dichiarata le attività dei dipendenti esterne all’attività lavorativa. Dal momento che gli account usati dai dipendenti sono personali (e non strumenti lavorativi) e che vengono usati al di fuori dall’orario lavorativo è evidente come le azioni di controllo debbano essere curate ed attente. Tuttavia, per il datore di lavoro, il controllo è un elemento irrinunciabile dal momento che alcuni dei reati presupposto della 231/01 (responsabilità amministrativa dell’azienda). Possono infatti essere commessi i seguenti reati • Turbata libertà dell’industria e del commercio (art. 513 c.p.) • Illecita concorrenza con minaccia o violenza (art. 513 bis c.p.) • Frode dell’esercizio del commercio (art. 515 c.p.) • Abuso d’informazioni privilegiate (D. Lgs. 24.02.1998, n° 58, art. 184) • Manipolazione del mercato (D. Lgs. 24.02.1998, n° 58, art. 185) Questi reati possono infatti essere commessi sia da dipendenti che da figure apicali o tramite l’utilizzo di un account personale o tramite l’uso di account fasulli (che in molti casi possono comunque essere ricondotto all’azienda). Oltre a questi elementi (consolidati ormai nella giurisprudenza) è necessario tener presente che le normative legate al mondo digitale sono in rapida evoluzione ed espongono ad ulteriori rischi. Al momento infatti, come recentemente sancito da una sentenza della corte di cassazione (n° 44126) non è configurabile la responsabilità dell’editore per omesso controllo (art. 57 c.p. e 57 bis c.p.) per quanto riguarda i prodotti editoriali digitali. Tuttavia, oggi ogni azienda è potenzialmente configurabile un editore: dopotutto le pagine ufficiali su Facebook possiedono alcune caratteristiche (ad esempio il filtraggio preventivo per alcune parole chiave) che potrebbero far sì che l’azienda risulti sanzionabile per omesso controllo (ovviamente sempre a condizione di una modifica degli art. 57 e 57 bis. C.p.). Diventa però quindi fondamentale un presidio costante sulle evoluzioni normative. Oltre ai reati che possiamo identificare come direttamente collegabili alle attività aziendali è opportuno anche ricordare come nel 2012 ci sia stato un forte aumento delle cause per diffamazione e ingiuria tramite Social Media. Le violazioni degli articoli 594 e 595 c.p. infatti ha visto affermarsi nel nostro
  16. 16. Piero Tagliapietra - Security Specialist - Project Work         16   ordinamento la consuetudine che vuole come foro competente quello in viene reso noto alla vittima il fatto e questo, tramite gli smartphone portato ad una notevole mobilità. Risulta infatti sempre più facile scegliere a priori il foro nel quale si vuole essere giudicati e dichiarare che la notifica è avvenuto in quella sede. La differenza tra diffamazione e ingiuria all’interno dei Social Media è inoltre molto labile dal momento che basta “taggare” la vittima per ricadere nell’ingiuria ed ometterla per ricadere invece nella diffamazione. Oltretutto, essendo luoghi pubblici per definizione, vengono sempre applicate le aggravanti. La componente normativa, oltre che a problemi sul controllo dei dipendenti e nella gestione delle proprie attività, nasconde diverse difficoltà per quanto riguarda la dimensione trans-nazionale dei crimini che possono essere messi in atto. Questa problematica in realtà accomuna tutti i reati informatici e non solamente quelli commessi tramite i Social Media.    
  17. 17. Piero Tagliapietra - Security Specialist - Project Work         17   Modellizzazione  delle  minacce   Elementi  del  modello   Prima di procedere con la modellizzazione è necessario definire gli elementi che verranno utilizzati e lo scopo di tale attività. Per la modellazione verranno quindi definiti termini piuttosto ampi dal momento che non si affronta un caso specifico ma si vuole analizzare un fenomeno generale • Asset: entità (materiale o immateriale) che hanno valore per l’azienda • Minaccia: circostanza o evento in grado di arrecare dei danni a un soggetto o ente • Vulnerabilità: debolezza di un sistema che può essere impiegata per un exploit • Exploit: modalità di attacco che sfrutta una vulnerabilità • Esposizione: vicinanza o contatto con una minaccia • Rischio: in questo caso si considera solamente come prodotto di frequenza per impatto (incertezza negativa sugli obiettivi) • Contromisura: qualunque sistema, strumento, pratica in grado di ridurre le vulnerabilità o le minacce di un dato sistema • Attacco: l’atto (o il tentativo) di superare o violare le misure di controllo o protezione di un determinato sistema Asset   A livello macroscopico di modello possiamo dire che ci sono degli asset che possono essere compromessi da minacce; queste sfruttano degli exploit legati a delle vulnerabilità: l’esposizione alle minacce comporta un rischio che può essere mitigato attraverso delle contromisure. A livello generale possiamo dire che ogni azienda ha degli asset da tutelare e proteggere legati al suo business specifico. L’uso errato o improprio dei Social Media rischia di mettere in pericolo i seguenti asset, la cui distruzione, sottrazione, danno possono impedire all’impresa di raggiungere i suoi obiettivi. Rimanendo sempre a livello generale, al fine della modellizzazione possiamo identificare i seguenti asset da tutelare: 1. Informazioni private o riservate o sensibili: possono essere rubate, sottratte o utilizzate contro il legittimo proprietario per realizzare attacchi d’ingegneria sociale e sviluppare ATP (advanced persistent threat) 2. Beni finanziari: possono essere sottratti attraverso delle frodi o essere direttamente collegati a una diminuzione della produttività dei dipendenti 3. Proprietà intellettuale: può essere rubata o sottratta e successivamente diffusa (comportando un danno economico per l’impresa)
  18. 18. Piero Tagliapietra - Security Specialist - Project Work         18   4. Informazioni aziendali riservate: la cui diffusione può portare a perdite economiche, diminuzione della competitività, danni di reputazione e d’immagine 5. Sicurezza fisica: che può essere minacciata da criminali di vario tipo 6. Strumenti aziendali: che possono essere compromessi da malware di vario tipo e portare a danni economici o a una diminuzione della produttività 7. Reputazione/Immagine personale e aziendale: può essere danneggiata da azioni di vario tipo e risultare irreparabilmente compromessa 8. Identità digitale: che può essere sottratta o manipolata (furto d’identità o identity spoofing) Possiamo quindi fare alcune distinzioni tra beni (asset) aziendali e personali, tra materiali e immateriali, tra primari e secondari. Minacce   Al   fine   di   realizzare   una   modellizzazione   completa   è   necessario   definire   in   maniera  puntale  le  minacce  legate  ai  Social  Media  collegati  ai  singoli  asset   Informazioni  private  o  riservate  o  sensibili:     • Creazione   di   un   Dossier   Digitale   utilizzando   le   informazioni   pubbliche   diffuse  sui  Social  Media  (DD)   • Raccolta  dati  secondari  informazioni  che  l’utente  concede  alla  piattaforma   e  che  vengono  rivendute  a  sua  insaputa  DS)   • Esposizione  dei  dati  a  seguito  di  una  cattiva  configurazione  dei  settaggi  di   privacy  (Es)   • Mancanza   di   controllo   sugli   update   e   sulle   informazioni   diffuse   da   altri   utenti  (EsS)   • Inferenze  predittive  di  dati  sensibili  basate  sui  comportamenti  dell’utente   e  su  quelle  dei  suoi  contatti  (anche  su  informazioni  non  diffuse)  (IF)   • Identificazione  di  tutti  gli  account  dell’utente  (anche  se  aperti  sotto  falso   nome  o  pseudonimo)  usando  immagini  o  email  di  registrazione  associate   all’identità  reale  (ReId)   Asset  finanziari   • Frodi  (FR)   • Perdita  di  produttività  a  seguito  del  tempo  speso  dai  dipendenti  sui  Social   Media  (TL)     Proprietà  intellettuale     • Atto  inconsapevole  (accidentale)  da  parte  del  dipendente  (IpAc)   • Sottrazione  e  pubblicazione  (deliberata)  da  parte  di  un  attaccante  (IpDb)   • Mancanza  o  perdita  di  controllo  da  parte  dell’azienda  su  quello  che  viene   pubblicato   sui   Social   Media   (in   alcuni   casi   dipende   da   una   errata  
  19. 19. Piero Tagliapietra - Security Specialist - Project Work         19   valutazione  delle  policy  d’uso  e  dei  Terms  of  Service  della  piattaforma)   (IpPt)     Segreti  industriali   • La  pubblicazione  da  parte  dei  dipendenti  d’informazioni  sulle  procedure  e   sulle  modalità  di  lavoro  può  essere  usato  da  un  attaccante  per  creare  un   finto  profilo    aziendale  per  ottenere  l’accesso  ai  dati  e  alle  informazioni   aziendali  (FsDb)   • I   dipendenti   possono   pubblicare   in   maniera   accidentale   progetti   e   informazioni   confidenziali   a   causa   di   un’errata   valutazione   dell’importanza   dei   documenti   o   del   livello   di   confidenzialità   dei   Social   Media  (FsAc)     Sicurezza  fisica   • Diffusione   o   pubblicazione   accidentale   d’informazioni   che   possono   illustrare  a  un  attaccante    il  numero  di  persone  presenti,  le  funzioni  e  gli   orari  degli  uffici  (SFac)   • Pubblicazioni   di   immagini   che   possono   essere   usate   per   inferire   informazioni  sulle  attività  lavorative  (SFIm)   • Diffusione  di  informazioni  personali  che  possono  essere  usati  per  trovare,   identificare  e  minacciare  le  persone  (SFst)     Risorse  informatiche  e  rete  aziendale   • Diffusione  di  malware  nella  rete  aziendale  (MW)   Immagine  e  reputazione  personale   • Campagne   mirate   per   il   danneggiamento   della   reputazione   e   dell’immagine  personale  (IMs)   • Campagne   automatizzate   per   il   danneggiamento   della   reputazione   e   dell’immagine  personale  (IMa)   • Un  attaccante  può  entrare  in  possesso  d’informazioni  riservate  e  ricattare   il  soggetto  (ES.)   • Dato  che  i  processi  di  verifica  dell’identità  delle  piattaforme  sono  deboli  è   possibile   che   degli   attaccanti   creino   dei   profili   fasulli   con   conseguente   furto  d’identità  (FId.)   • Il   fatto   di   non   poter   dimostrare   con   sicurezza   l’identità   della   persona   rende   più   complessi   e   difficili   gli   atti   di   repudiation   qualora   vengano   diffuse  informazioni  false  o  diffamanti  (RP.)   Immagine  e  reputazione  aziendale   • Atto  inconsapevole  (accidentale)  da  parte  del  dipendente  (IpAc)   • Sottrazione  o  pubblicazione  (deliberata)  da  parte  di  un  attaccante  (IpDb)   • Mancanza  o  perdita  di  controllo  da  parte  dell’azienda  su  quello  che  viene   pubblicato   sui   Social   Media   (in   alcuni   casi   dipende   da   un’errata  
  20. 20. Piero Tagliapietra - Security Specialist - Project Work         20   valutazione  delle  policy  d’uso  e  dei  Terms  of  Service  della  piattaforma  o  di   una  mancata  policy  documentale  interna)  (IpPt.)   Perdita  di  proprietà  intellettuale     • Atto  inconsapevole  (accidentale)  da  parte  del  dipendente  (IpAc)   • Sottrazione  o  pubblicazione  (deliberata)  da  parte  di  un  attaccante  (IpDb)   • Mancanza  o  perdita  di  controllo  da  parte  dell’azienda  su  quello  che  viene   pubblicato   sui   Social   Media   (in   alcuni   casi   dipende   da   un’errata   valutazione  delle  policy  d’uso  e  dei  Terms  of  Service  della  piattaforma)   (IpPt.)   Vulnerabilità     Estrinseche   Si   tratta   di   vulnerabilità   sulle   quali   l’azienda   può   esercitare   un   certo   grado   di   controllo  e  mettere  in  campo  alcune  strategie  di  mitigazione.  In  questo  caso  si   tratta   di   vulnerabilità   collegate   agli   elementi   direttamente   collegati   all’azienda   (software,  hardware,  middleware,  wetware)  inclusi  nei  vari  processi.  In  questo   caso  ci  concentreremo  sul  fattore  umano  (wetware).   Bias  cognitivi  propri  degli  esseri  umani   • Gli  attaccanti  conoscono  bene  alcune  degli  errori  cognitivi  che  inducono  le   persone   a   reputare   come   credibili   o   interessanti   link,   informazioni   e   update.   Scarsa  conoscenza  dei  mezzi   • L’uso   dei   social   media   viene   vissuto   come   naturale   dagli   utenti   e   soprattutto,  più  che  come  spazi  aperti,  questi  vengono  considerati  come   stanza   chiuse   e   sicure   nelle   quali   è   possibile   comunicare   solo   ed   esclusivamente  con  i  propri  contatti.   Poca  consapevolezza  degli  attacchi   • Associato  alla  scarsa  conoscenza  dei  mezzi  gli  utenti  trascurano  spesso  i   pericoli  legati  all’uso  della  tecnologia  e  in  particolare  dei  Social  Media.   Basso  valore  delle  informazioni   • Gli   asset   intangibili   vengono   valutati   e   trattati   in   maniera   molto   più   superficiale  rispetto  ai  beni  fisici.  Il  problema  principale  risiede  nel  fatto   che   il   valore   delle   informazioni   non   dipende   dal   singolo   elemento,   ma   dalla  connessione  di  tutti  i  dati  diffusi.     Appare   evidente   la   maggior   parte   delle   vulnerabilità   è   legato   a   una   scarsa   conoscenza.   Intrinseche   Alcune minacce sono legate non tanto a comportamenti degli utenti ma a problemi delle piattaforme.
  21. 21. Piero Tagliapietra - Security Specialist - Project Work         21   Impossibilità  di  eliminare  i  contenuti   • A  causa  dell’eterogeneità  delle  policy  e  dei  TOS  delle  varie  piattaforme  e   della   loro   continua   evoluzione   è   possibile   che,   una   volta   caricato   del   materiale  su  un  Social  Media  l’azienda  ne  perda  il  controllo  rendendo  di   fatto  impossibile  la  cancellazione.  Questo  vale  anche  per  le  informazioni   personali.  In  molti  casi  oltretutto,  quando  una  persona  estranea  condivide   il   contenuto,   la   duplicazione   rende   impossibile   sia   la   cancellazione   che   l’eliminazione.     Metodi  di  autenticazione  deboli   • Le  modalità  di  autenticazione  sui  Social  Media  sono  estremamente  deboli:   a  causa  del  proliferare  delle  piattaforme  gli  utenti  tendono  a  replicare  le   stesse  combinazioni  nome/mail  e  password.  In  molti  casi  è  possibile  che   per  ragioni  di  semplicità  utilizzino  la  mail  di  lavoro.   Non  validazione  delle  informazioni   • L’unica   validazione   fatta   durante   la   registrazione   riguarda   l’email   che   deve   essere   attiva:   non   vi   sono   ulteriori   processi   e   questo   ovviamente   porta  alla  diffusione  di  profili  falsi.   Diffusione  dati  di  navigazione   • I  protocolli  di  comunicazione  possono  essere  usati  per  ottenere  diverse   informazioni   che   un   attaccante   può   sfruttare   per   identificare   delle   potenziali  vulnerabilità  del  sistema  usato  dal  target.   • La  “presence”  (presenza  segnalata  dai  sistemi  di  messaggistica  istantanea   e  chat)  fornisce  informazioni  rilevanti  a  un’attaccante  sulle  abitudini  della   vittima  e  rappresenta  un  ottimo  sistema  per  sfruttare  delle  vulnerabilità   mentre  la  vittima  è  lontana  dal  computer.   Diffusione  dati  d’informazioni  fatte  da  terzi   • In  alcuni  casi  gli  utenti  sono  attenti  alle  informazioni  che  condividono  e   alle  impostazioni  di  sicurezza  dei  propri  account  sui  Social  Media,  tuttavia   non   hanno   controllo   sui   propri   contatti   (amici   e   follower)   che   possono   condividere  informazioni  su  di  essi.   Exploit     Dato che si tratta di azioni che vengono innescate da comportamenti degli utenti in questo caso possiamo identificare due metodologie di exploit principali. Driven  by  download   • In   questo   caso   l’utente   scarica   (in   maniera   consapevole   o   inavvertitamente)  il  malware.  
  22. 22. Piero Tagliapietra - Security Specialist - Project Work         22   Web  Exploit   • L’utente  naviga  su  un  sito  (nella  maggior  parte  cliccando  su  link  malevoli   su   mail   di   phishing)   e   la   vulnerabilità   in   questo   caso   sono   legati   ai   browser,  ai  plugin  e  alle  varie  componenti.   In   entrambi   i   casi,   l’utente   preme   su   un   link   (o   su   un   eseguibile)   malevolo   o   ricevuto   tramite   posta   o   tramite   comunicazione   privata   o   visto   su   un   social   media.  Nella  maggior  parte  dei  casi  le  APT  (advanced  persistent  threat)  iniziano   proprio   con   una   mail   si   spear   phishing:   secondo   una   ricerca   di   TrendMicro   questo  avviene  nel  91%  dei  casi.8   Modello     Prima  di  passare  ad  analizzare  e  sviluppare  l’albero  dei  rischi  è  stato  delineato   un  modello  generale  dello  scenario  di  riferimento             In  questo  caso  il  modello  è  stato  volutamente  lasciato  molto  generale  e  con  lo   scopo  di  tratteggiare  quali  sono  gli  scambi  di  base  soprattutto  con  i  Social  Media:   le   interazioni   di   dettaglio   con   la   Intranet   e   con   un   ipotetico   servizio   in   Cloud   Computing   per   la   gestione   della   posta   non   è   stato   approfondito   in   quanto   al   momento  esterno  all’obiettivo  di  progetto.     In  questo  caso  appare  evidente  come  i  rischi  siano  presenti  soprattutto  nel  caso   in  cui  i  Social  Media  vengano  utilizzati  sulla  postazione  di  lavoro  (PC);  tuttavia,   anche  rimuovendo  il  collegamento  diretto  tra  PC  e  Social  Media,  dal  momento   che   la   fruizione   avviene   anche   tramite   device   mobili   (smartphone),   qualora   questi  strumenti  vengano  collegati  alle  postazioni  aziendali  il  rischio  non  viene                                                                                                                   8 http://www.infosecurity-magazine.com/view/29562/91-of-apt-attacks-start-with-a- spearphishing-email/
  23. 23. Piero Tagliapietra - Security Specialist - Project Work         23   eliminato,   ma   in   alcuni   casi   parzialmente   ridotto   o   addirittura   avviene   un   incremento  (spesso  i  dispositivi  degli  utenti  sono  privi  di  sistemi  di  protezione  e   quindi  più  esposti  ad  attacchi).     Nel  caso  in  cui  si  volesse  anche  rimuovere  il  collegamento  con  l’esterno  (DMZ  o   tramite  una  Dual-­‐Zone  Arch)  questa  soluzione  non  permetterebbe  in  ogni  caso  di   eliminare  i  rischi  dal  momento  che  gli  utenti  continuerebbero  ad  interagire  e  ad   utilizzare   all’esterno   delle   aree   protette   i   Social   Media   e   quindi   la   loro   esposizione  rimarrebbe  costante.     Per   la   modellazione   iniziale   è   stata   scelta   la   metodologia   STRIDE   di   Microsoft   dove   l’acronimo   identifica   sei   macro-­‐categorie   all’interno   delle   quali   possono   essere  posizionate  le  minacce  identificate:     • Spoofing  user  identity  −  si  applica  al  caso  in  cui  un  attaccante  riesce  ad   impersonare  un  altro  utente.   • Tampering   with   data   −   si   riferisce   al   fatto   che   un   attaccante,   con   modifiche  opportune  dei  dati,  riesca  ad  attaccare  un  sistema  con  lo  scopo   di  scalarne  i  diritti.   • Repudiation  −  rappresenta  il  rischio  che  una  transazione  legittimamente   svolta  non  venga  riconosciuta  da  parte  di  uno  degli  attori  coinvolti.   • Information   disclosure   −   si   riferisce   al   fatto   che   un   attaccante   possa   guadagnare   l’accesso   a   dati   che   il   legittimo   proprietario   non   vuole   esporre.   • DoS  Denial  of  Service  −  rendere  indisponibile  una  risorsa  del  sistema.   • Escalation   of   privilege   −   rappresenta   il   rischio   che   un   attaccante   possa   scalare  i  privilegi  di  un  sistema  e  guadagnare  maggiori  crediti     Dato  che  in  questo  caso  l’analisi  è  rimasta  ad  alto  livello,  anche  dal  punto  di  vista   della   modellazione   delle   minacce   e   il   ricorso   alla   metodologia   STRIDE   gli   elementi  identificati  sono  di  carattere  generale    
  24. 24. Piero Tagliapietra - Security Specialist - Project Work         24       In  generale  la  minaccia  principale  è  legata  allo  Spoofing  user  identity:  i  sistemi  di   autenticazione   deboli   sui   Social   Media   e   le   informazioni   diffuse   sulle   varie   piattaforme  rendono  relativamente  semplice  per  un  attaccante  impersonificare   un’altra  persona.     In   molti   casi,   collegato   alla   user   identity   spoofing   troviamo   l’information   disclosure.  Abbiamo  infatti  situazioni  in  cui  la  diffusione  di  informazioni  private   avviene   in   maniera   inconsapevole   (le   policy   eterogenee   e   la   loro   evoluzione   continua,  la  scarsa  cura  degli  utenti  nell’impostazione  dei  livelli  di  privacy  sono   le  principali  cause),  ma  altre  nelle  quali  l’impersonificazione  di  un  altro  utente   rappresenta  la  soluzione  di  base  per  raccogliere  informazioni  sul  proprio  target.     Ovviamente,  una  volta  ottenute  informazioni  e  il  contatto  con  l’utente  è  possibile   usare   questa   conoscenza   (e   i   privilegi   ottenuti)   per   ridurre   la   disponibilità   di   servizi  o  lanciare  attacchi  avanzati.     A  livello  generale  è  necessario  considerare  anche  la  Repudiation  (collegata  con  la   user   identity   spoofing):   simulando   infatti   l’identità   di   una   persona   è   possibile   fare  in  modo  che  comunicazioni  non  ufficiali  o  non  legittime  vengano  ritenute   vere  o  credibili.        
  25. 25. Piero Tagliapietra - Security Specialist - Project Work         25   RISK  TREE     Una  volta  definiti  asset,  minacce,  modello  generale  è  necessario  analizzare  i  vari   elementi   per   poter   comprendere   meglio   le   relazioni   esistenti   tra   di   essi   e   a   valutare   quali   possono   essere   le   soluzioni   ottimali   al   fine   di   ridurre   i   rischi   individuati.     A  livello  grafico  sono  stati  differenziati  i  nodi  AND  (segnalati  dalla  doppia  linea)  e   i   nodi   OR   (nessun   segno   grafico)   mentre   non   sono   stati   differenziati   a   livello   grafico  processi,  rami  e  foglie  (dato  che  si  tratta  di  una  overview).     Al  fine  dell’analisi,  dati  gli  obiettivi  di  progetto,  gli  alberi  dei  rischi  qui  disegnati   non  hanno  raggiunto  i  livelli  più  bassi  (con  identificazione  di  contromisure  da   implementare  a  livello  tecnologico),  ma,  come  nei  precedenti  casi,  si  è  mantenuta   un’analisi  di  alto  livello.   Creazione  di  un  Dossier  Digitale           Il   primo   elemento   da   considerare   (soprattutto   a   seguito   di   quanto   emerso   durante  l’analisi  STRIDE)  è  la  costruzione  di  un  dossier  digitale  da  parte  di  un   attaccante   dal   momento   che   può   rappresentare   il   punto   di   partenza   per   la   maggior  parte  degli  attacchi.     In  questo  caso  la  discriminante  principale  è  rappresentata  dalle  impostazioni  di   privacy  da  parte  dell’utente  (generalmente  l’opposizione  è  tra  profilo  aperto  e   chiuso).     A  livello  preliminare  possiamo  notare  immediatamente  che  è  possibile  agire  in   maniera   limitata   e   solamente   su   alcune   delle   cause:   essendo   gli   account   personali  l’azienda  ha  scarso  potere  d’indirizzo  (come  definito  inizialmente  nel   paragrafo  dedicato  ai  temi  legali)  e,  anche  qualora  gli  utenti  agiscano  in  maniera  
  26. 26. Piero Tagliapietra - Security Specialist - Project Work         26   responsabile  non  possono  modificare  gli  update  e  i  contenuti  postati  e  pubblicati   dai  propri  amici/contatti.     Pubblicazione  di  documenti             La   pubblicazione   di   documenti   riservati   distingue   principalmente   tra   due   atti:   volontari   e   involontari.   In   questo   caso   non   c’è   distinzione   tra   atto   volontario   interno   o   di   un   attaccante:   qualora   infatti   un   dipendente   decida   di   compiere   questo  atto  in  maniera  consapevole  è  da  considerarsi  come  attaccante.     A  livello  generale  questo  tipo  di  albero  è  applicabile  anche  alla  diffusione  dei  dati   o  di  informazioni  sensibili:  nella  fase  di  definizione  delle  minacce  abbiamo  infatti   distinto   per   diverse   di   esse   la   pubblicazione   volontaria   o   involontaria   (accidentale).  Questo  stesso  albero  può  quindi  essere  considerato  valido  anche   per   le   minacce   legate   alla   proprietà   intellettuale,   segreti   industriali   e   più   in   generale  per  le  informazioni  riservate  o  sensibili.      
  27. 27. Piero Tagliapietra - Security Specialist - Project Work         27   Danni  d’immagine         A  livello  generale  per  quanto  riguarda  i  danni  d’immagine  o  reputazione  non  è   stato   ritenuto   opportuno   distinguere   tra   comportamenti   eseguiti   dal   singolo   tramite   account   personale   o   aziendale:   la   responsabilità   penale   rimane   soggettiva   e   in   ogni   caso   gli   utenti   non   distinguono   tra   account   personali   e   aziendali  (come  citato  inizialmente  la  corporate  image  è  una  somma  di  discorsi   formata  anche  da  quello  che  i  dipendenti  dicono).     A   livello   generale   ritorna   un   elemento   già   incontrato   nei   precedenti   alberi:   l’errata   percezione   (o   configurazione).   In   molti   casi   infatti   molti   dei   comportamenti   che   espongono   a   dei   rischi   sono   legati   principalmente   a   una   scarsa   conoscenza   dei   mezzi   (una   sorta   di   digital   divide)   e   delle   conseguenze   (legal  divide).        
  28. 28. Piero Tagliapietra - Security Specialist - Project Work         28   Attacco  ai  sistemi  aziendali         L’attacco   a   sistemi   aziendali   (compromissione   della   postazione   del   singolo   ed   eventuale   estensione   alla   rete   aziendale)   rappresenta   l’elemento   più   interessante  e  complesso  soprattutto  se  rapportato  al  modello  generale.     Emergono  chiaramente  come  le  modalità  di  exploit  principali  siano  quelle  driven   by   download   e   in   generale   i   web   exploit   che   possono   essere   impiegati   sulle   diverse  piattaforme.  In  questo  caso  l’attacco  sui  Social  Media  e  sugli  Smartphone   potrebbe   essere   ulteriormente   approfondito   andando   ad   analizzare   le   motivazioni   (soprattutto   cognitive)   che   spingono   un   utente   a   cliccare   su   un   determinato  link  o  a  eseguire  un  determinato  programma.     Da  questo  punto  di  vista  la  relazione  con  altri  utenti,  la  creazione  di  un  dossier   digitale  rappresentano  elementi  chiave  per  la  concretizzazione  di  questo  attacco.   Da  un  punto  di  vista  delle  contromisure  da  adottare  l’attenzione  sui  nodi  AND  è   quella  più  promettente  anche  se  può  risultare  complesso  (soprattutto  per  quanto   riguarda   gli   smartphone   e   il   divieto   di   attaccarli,   anche   solo   per   ricaricarli,   ai   computer  aziendali)      
  29. 29. Piero Tagliapietra - Security Specialist - Project Work         29   Interconnessione  dei  rischi         Ovviamente  l’aspetto  più  interessante  è  rappresentato  dai  rapporti  che  collega  i   vari  alberi  sino  a  qui  delineati.  Vediamo  che  in  molti  casi  è  possibile  identificare   degli   elementi   di   base,   ma   che   alcune   delle   sorgenti   non   sono   strettamente   collegate   e   che   soprattutto   riguardano   il   comportamento   dell’utente   nella   sua   sfera  privata.     Appare   quindi   evidente   come   solo   in   alcuni   casi   sia   possibile   andare   ad   agire   utilizzando  anche  soluzioni  software  ed  hardware,  ma  che  nella  maggior  parte   dei   casi,   per   ridurre   i   rischi   sia   necessario   educare   le   persone   e   renderle   consapevoli  delle  minacce  e  dei  rischi.      
  30. 30. Piero Tagliapietra - Security Specialist - Project Work         30   DREAD     In   modo   da   ordinare   le   minacce   in   ordine   di   priorità   è   stato   scelta   come   metodologia   la   DREAD   Analysis   con   la   classificazione   standard.   Nonostante   la   metodologia   DREAD   sia   in   parte   deprecata   per   l’eccessiva   soggettività   delle   valutazioni   (che   tendono   ad   essere   particolarmente   elevate   qualora   l’analisi   venga   fatta   da   un   esperto   di   sicurezza   e   particolarmente   bassa   se   svolta   da   persone   che   conoscono   poco   la   materia)   in   questo   caso   rappresenta   uno   strumento   ideale   per   definire   le   priorità   e   quali   sono   le   minacce   sulle   quali   è   fondamentale  agire.     Anche   se   il   Microsoft   Security   Response   Center   (MSRC)   ha   optato   per   una   revisione  delle  tipologie  di  impatto  (dismettendo  la  scala  a  tre  valori  in  favore  di   una  a  quattro  con  critical  –  important  –  moderate  –  low)  in  questo  caso,  in  modo   da   facilitare   la   prioritizzazione   si   è   scelto   di   usare   la   scala   tradizionale   attribuendo  diversi  punteggi  (high  6  –  medium  3  –  low  1)  e  di  usare  la  scala  a   quattro  per  la  classificazione  finale  (rating)     Questa  scelta  è  legata  alle  modalità  di  valutazione  normalmente  eseguite  dagli   utenti:  qualora  venga  data  una  scala  con  un  numero  elevato  di  valori  si  possono   osservare   alcuni   comportamenti   standard:   da   un   lato   la   polarizzazione   (verso   l’alto   o   il   basso)   qualora   il   numero   di   soggetti   sia   basso,   dall’altro,   qualora   il   numero   di   soggetti   sia   più   ampio,   si   osserva   un   appiattimento   sui   valori   intermedi  rendendo  quindi  più  complesso  l’attività  di  prioritizzazione.       Utilizzando   una   scala   composta   da   tre   valori   e   con   punteggi   diversi   (non   trasparenti   agli   utenti)   diminuisce   la   possibilità   di   un   appiattimento   anche   qualora  l’analisi  venga  svolta  da  più  soggetti:  diventa  quindi  un  modo  per  ridurre   la  soggettività  dell’analisi  e  arrivare  anche  a  valutazioni  condivise.         Rating   High  (6)   Medium  (3)   Low  (1)   D   Damage   potential   L’attaccante   è   in   grado   di   modificare   il   sistema   di   sicurezza;   ottiene   tutte   le   autorizzazioni;   agisce   come   amministratore   di   sistema;   carica   contenuti;     Diffusione   di   informazioni   confidenziali   Diffusione   di   informazioni   di   basso  livello   R   Reproducibility   L’attacco   può   essere   eseguito   in   qualunque   momento   senza   una   L’attacco   può   essere   replicato   ma  solo  qualora  si   verifichino   L’attacco   è   molto   difficile   da   riprodurre,   anche  
  31. 31. Piero Tagliapietra - Security Specialist - Project Work         31   preparazione   specifica   o   che   si   verifichino   condizioni   particolari   determinate   condizioni   conoscendo   eventuali  falle  del   sistema   di   sicurezza   E   Exploitability   Un   programmatore   con   competenze   di   base   sarebbe   in   grado   di   effettuare   l’attacco.   Un   programmatore   competente   sarebbe   in   grado   di   effettuare   l’attacco   e   ripeterlo   L’attacco  sarebbe   possibile   solo   da   parte   di   persone   con   competenze   estremamente   elevate   A   Affected  users   Tutti   gli   utenti   con   configurazione   di   base   Alcuni   utenti   con   una   configurazione   personalizzata   Una   minima   parte  degli  utenti   D   Discoverability   Sono   disponibili   pubblicamente   informazioni   sull’attacco.   Le   vulnerabilità   sono   presenti   negli   strumenti   usati   quotidianamaente     ed  è  verificabile     La   vulnerabilità   è   collegata   solamente   a   una   feture   poco   usata   dagli   utenti.   Sono   necessarie   alcune   riflessioni   per   capire   come   sfruttare   tali   vulnerabilità   Il   baco   di   sicurezza   è   sconosciuto   ed   è   improbabile   che   un   utente   scopra   in   che   modo   sfruttarlo        
  32. 32. Piero Tagliapietra - Security Specialist - Project Work         32   Tenendo  presente  quanto  definito  in  precedenza  andiamo  ora  ad  attribuire  un   punteggio  alle  varie  minacce.         Minaccia   D   R   E   A   D   Totale   Rating   Informazioni   personali   Creazione   di   un   dossier  digitale   6   6   6   3   6   27   Critical   Raccolta   di   dati   secondari   6   3   3   6   6   24   Important   Cattiva   configurazione   privacy   6   3   6   3   6   24   Important   Diffusione   informazioni  da  terzi   1   3   6   6   3   19     Inferenze   predittive   sui  dati  sensibili   6   1   1   3   3   14   Moderate   Riconciliation  Account   3   6   6   6   6   27   Critical   Furto  d’identità   6   1   3   1   3   14     Finanziari   Frodi   6   1   2   3   1   13   Moderate   Perdita  di  produttività   1   1   1   3   1   7   Low   Proprietà   intellettuale   Pubblicazione   accidentale   di   documenti   1   3   1   1   1   7   Low   Pubblicazione   volontaria   di   documenti   6   1   6   1   3   17   Important   Pubblicazione   volontaria  di  immagini   1   3   6   3   3   16     Pubblicazione   accidentale  di  SI   6   6   6   3   3   24     Pubblicazione   volontaria  di  SI   6   1   3   1   1   12     Diffusione  involontaria   di  informazioni   1   1   3   1   6   12   Moderate   Infrastrutture   Diffusione  di  malware   6   1   6   1   3   17   Important   Immagine   Campagna   mirata   per   il   danneggiamento   della  reputazione   3   3   3   3   3   15   Moderate   Campagna   automatizzata   per   il   danneggiamento   della   reputazione   6   1   6   1   3   17   Important   Ricatto   6   1   6   1   1   15   Moderate   Repudiation   3   1   3   1   3   11   Low   Legali   Violazione   di   leggi   o   regolamenti   6   1   6   1   1   15       Tipologia Frequenza Impatto Rischio Diffusione  Malware   Probabile Alto Inaccettabile Spam,  Phishing  e  Frodi   Probabile Moderato Grave Social   Engineering   e   Spear   Possibile Catastrofico Inaccettabile
  33. 33. Piero Tagliapietra - Security Specialist - Project Work         33   Phishing   Diffusione   o   furto   di   dati   sensibili  o  d’identità   Probabile Alto Inaccettabile Diffusione   di   informazioni   riservate  o  false   Possibile Alto Grave Danni   d’immagine   o   di   reputazione   Probabile Alto Inaccettabile OSINT   Certo Alto Inaccettabile Diffamazione,   Ingiuria,   Stalking   Raro Moderato Accettabile Hacktivism   e   cracking   dei   profili  ufficiali   Improbabile Moderato Grave Violazione   dei   reati   presupposto   Possibile Alto Grave Violazione   dell’art.   4   l.   300/70   Possibile Alto Grave Diminuzione   della   produttività  dei  dipendenti   Probabile Basso Accettabile   Andiamo   ora   ad   ordinare   le   varie   minacce   in   modo   da   definire   all’interno   dei   sistemi  di  mitigazione  quali  saranno  le  contromisure  principali.     • Creazione  di  un  dossier  digitale  –  27  –  critical   • Identificazione  di  tutti  gli  account  dell’utente  –  27  –  critical   • Raccolta  dati  secondari  –  24  –  important   • Esposizione  su  Social  Media  per  cattiva  configurazione  –  24  –  important   • Pubblicazione  volontaria  dei  documenti  –  17  –  important   • Diffusione  di  Malware  –  17  –  important   • Campagne  automatizzate  per  il  danneggiamento  della  reputazione  –  17  –   important   • Campagna   mirata   per   il   danneggiamento   della   reputazione   –   15   -­‐   moderate   • Ricatto    -­‐  15  –  moderate   • Inferenze  sui  dati  sensibili  –  14  –  moderate   • Frodi  –  13  –  moderate   • Diffusione  involontaria  di  informazioni  –  12  –  moderate   • Repudiation  –  11  –  low   • Perdita  di  produttività  –  7  –  low   • Pubblicazione  accidentale  di  documenti  –  7  –low   • Analisi  non  solo  esterna  ma  anche  interna  sui  processi  e  sull’uso  dei  Social   Media  
  34. 34. Piero Tagliapietra - Security Specialist - Project Work         34   Mitigazione     I   Social   Media,   in   base   a   quanto   analizzato   in   precedenza,   rappresentano   un‘importante   fonte   di   rischio   per   le   aziende   e,   collegati   ad   essi,   abbiamo   individuato   alcuni   rischi,   minacce   e   vulnerabilità.   In   questo   caso   l’analisi   condotta  è  legata  principalmente  a  un  uso  passivo  di  questi  strumenti,  ma  non   bisogna   dimenticare   che   sempre   più   le   aziende   usano   questi   strumenti   per   condurre  le  proprie  attività  (Social  Business).     A  livello  generale  dobbiamo  infatti  rilevare  che  parlare  di  Social  Media  impatta   sempre   più   l’organizzazione   nel   suo   insieme   e   diventa   sempre   più   complesso   delineare   chiaramente   un   singolo   uso   o   una   dimensione   specifica   nell’uso   dei   Social  Media.  Possiamo  infatti  distinguere  quattro  vettori  di  comunicazione  che   possono  essere  sviluppati  da  un’azienda  attraverso  queste  piattaforme:   • Interno   –   interno:   strumenti   di   collaborazione   tra   i   dipendenti   (ad   esempio  i  Social    Network  Aziendali)   • Interno   –   Esterno:   comunicazione   con   l’esterno   per   dare   visibilità   alle   iniziative  ad  ai  progetti  (principalmente  Personal  Branding,  Marketing  e   Comunicazione)   • Esterno  –  Interno:  raccolta  di  informazioni  sui  prodotti,  sui  servizi  e  sul   brand  (attività  di  intelligence  e  monitoraggio)   • Esterno  –  Esterno:  discussioni  tra  gli  utenti  che  avvengono  al  di  fuori  dei   presidi  aziendali  (monitoraggio)     Viste   le   premesse   (e   che,   a   livello   generale,   un   incidente   è   una   questione   di   tempo)   è   critico   implementare   alcune   soluzioni   che   permettano   di   ridurre   i   rischi  mitigando  le  vulnerabilità.  Risulta  fondamentale,  da  questo  punto  di  vista,   adottare  un  approccio  integrato  ed  armonizzato  che  coinvolga  varie  funzioni.     I   vari   ambiti   aziendali   devono   necessariamente   coinvolti   dal   momento   che   i   rischi   trovati   non   riguardano   esclusivamente   un   ambito   singolo,   ma   principalmente   l’ambito   legale   (e   di   compliance),   operativi   e   reputazionali.   I   quindi   i   Social   media   non   sono   un   problema   solamente   IT   e   di   pertinenza   esclusiva  dell’area  comunicazione  e  marketing.     Per   riuscire   quindi   a   prevenire,   mitigare   e   rispondere   in   maniera   efficace   è   fondamentale  una  collaborazione  tra  Marketing,  IT,  Legal,  HR  e  IT  in  modo  da   valutare  in  maniera  completa  e  integrata  le  attività.     La   multidisciplinarietà   del   team   è   fondamentale   poiché   quello   che   abbiamo   delineato  è  uno  scenario  ibrido  che  riguarda  sia  le  pratiche  interne  dell’azienda   (principalmente  uso  attivo  dei  Social  Media)  sia  le  pratiche  esterne  (attività  del   singolo  al  di  fuori  degli  spazi  aziendali):  diventa  quindi  fondamentale  integrare   strumenti  tecnologici,  formazione,  policy  e  guidelines.    
  35. 35. Piero Tagliapietra - Security Specialist - Project Work         35   Formazione     Dato   che   uno   dei   problemi   rilevanti   nell’analisi   è   legato   alla   scarsa   consapevolezza   da   parte   degli   utenti   dei   rischi   e   del   funzionamento   dei   Social   Media  è  opportuno  predisporre  delle  sessioni  di  formazione.     A  seconda  del  livello  e  del  ruolo  è  importante  sottolineare  quali  sono  gli  aspetti   da   tenere   in   considerazione   e   quali   possono   essere   i   rischi   principali.   I   due   elementi  principali  da  illustrare  sono  collegati  agli  aspetti  normativi  /legali  e  al   funzionamento/minacce.     Qualora   in   azienda   venga   fatto   un   uso   attivo   dei   Social   Media   è   fondamentale   predisporre   una   sorta   di   certificazione   interna   in   modo   da   essere   sicuri   le   persone   che   gestiscono   la   presenza   dell’azienda   abbiano   ben   chiari   i   limiti   e   i   rischi  delle  piattaforme  che  utilizzano.     Un  ulteriore  elemento,  più  semplice  da  implementare  all’interno  dell’azienda,  è   una   raccolta   di   domande   frequenti   che   illustrino   funzionamento,   tematiche   principali  e  rischi  connessi  con  i  Social  Media.         Sia   nelle   attività   di   formazione   che   nelle   FAQ   dovranno   essere   illustrate   con   precisione   i   rischi   legati   alla   diffusione   di   informazioni   personali   spiegando   come,   un   attaccante,   potrebbe   usare   anche   informazioni   apparentemente   innocue    per  compiere  altre  tipologie  di  attacchi.     A  livello  di  formazione  è  possibile  anche  misurare  in  parte  i  risultati  conseguiti   dall’attività  valutando  il  numero  di  utenti  che  partecipano  alle  sessioni  (qualora   siano  facoltative),  il  tasso  di  successo  (o  la  media)  all’interno  della  certificazione   interna  sull’uso  dei  Social  Media,  il  numero  di  views  (rapportate  agli  utenti  unici   e  di  ritorno)  della  pagina  delle  FAQ.     Policy     Uno  dei  principali  strumenti  per  la  mitigazione  dei  rischi  è  rappresentato  dalle   Policy.   Questa   è   l’unico   strumento   para-­‐giuridico   che   permette   al   datore   di   lavoro   di   disciplinare   le   attività   aziendali   e   indirizzare   le   azioni   svolte   con   strumenti  di  lavoro.     Diversamente  dalle  linee  guida  le  policy  hanno  alcune  caratteristiche  specifiche.   Si  tratta  infatti  di  un  documento  che  deve  essere:   • Specifico   • Chiuso   • Prescrittivo   • Non  Interpretabile     Oltre   a   questi   punti   nella   policy   devono   essere   definite   delle   sanzioni   e,   soprattutto  deve  essere  previsto  un  controllo  che  le  misure  definite  nelle  policy   vengano  realmente  rispettate.    
  36. 36. Piero Tagliapietra - Security Specialist - Project Work         36     L’aspetto   di   controllo   è   quello   più   delicato   da   gestire:   all’interno   dei   paragrafi   introduttivi  (aspetti  legali)  il  tema  del  controllo  a  distanza  del  lavoratore  (art.  4  l.   300/70)  emerge  con  forza  per  quanto  riguarda  il  monitoraggio.    Tuttavia  senza   monitoraggio   si   corre   il   rischio   di   svuotare   la   policy   di   significato   e   di   venire   meno  ad  alcune  delle  prescrizione  del  dlgs  231/01  (funzione  di  controllo).     A  seconda  poi  della  realtà  aziendale  dovranno  poi  essere  sviluppate  delle  policy   specifiche:   all’interno   di   questa   analisi   abbiamo   definito   un   caso   generico,   ma   questo  documento  deve  essere  calato  sulla  singola  realtà  aziendale.  A  seconda   infatti  dell’azienda  cambiano  il  contesto,  gli  asset  e  i  rischi.     Oltre  alla  Social  Media  Policy  dovranno  essere  presenti  all’interno  dell’azienda   anche  altri  documenti  che  regolamentino  altre  aspetti  (ad  esempio  mail  policy,   policy  documentale,  password  policy)  e  che  i  vari  documenti  siano  collegati  tra   loro  con  diversi  rimandi.     Elementi  cardine     A   livello   generale   è   possibile   individuare   i   seguenti   elementi   che   dovranno   essere  presenti  in  ogni  policy  che  voglia  regolamentare  l’uso  dei  Social  Media  in   azienda:     • Semplicità:   dato   che   tutti   i   dipendenti   utilizzano   questi   strumenti   è   necessario  redigere  un  documento  che  venga  letto  e  compreso  da  tutti  e   che  illustri  nell’introduzione  lo  scopo  di  adozione  della  policy  e  i  rischi  per   i   dipendenti   e   per   l’azienda.   Nell’introduzione   può   esserci   spazio   anche   per   spiegare   ai   dipendenti   il   fatto   che   anche   informazioni   apparentemente  innocenti  o  banali  possono  essere  usati  da  un  terzi  per   sviluppare   attacchi   informatici   più   pericolosi   (sia   per   il   singolo   che   per   l’azienda).   • Disciplina  sull’uso  dei  Social  Media  sui  computer  aziendali:  a  seconda   dell’azienda   specifica   dovrà   essere   definito   se   i   dipendenti   possono   o   meno  utilizzare  i  Social  Media  sulle  postazioni  di  lavoro.  È  fondamentale   illustrare   rapidamente   quali   sono   i   rischi   principali   e   le   minacce   che   possono  derivare  dall’uso  dei  Social  Media  (con  alcune  case  history  per   dare  maggior  forza  alla  narrazione)   • Disciplina  sull’uso  e  collegamento  dei  device  personali  ai  computer   aziendali:   dal   momento   che   le   persone   utilizzano   i   Social   Media   soprattutto   dai   propri   device   mobili   è   importante   considerare   questo   aspetto   durante   la   redazione   della   policy.   Qualora   infatti   si   decida   di   impedire  completamente  l’accesso  dalla  postazione  personale  è  possibile   che  gli  utenti  accedano  attraverso  i  propri  device.  Questi  strumenti,  come   sottolineato   in   precedenza,   sono   maggiormente   esposti   e   per   questo   è   necessario   definire   con   chiarezza   se   tali   strumenti   possono   essere   collegati  alle  postazioni  e  alla  rete  aziendale.   • Trade  off  tra  esigenze  personali  e  lavorative:  dato  che  l’uso  dei  Social   Media   rappresenta   un   elemento   della   quotidianità   di   molti   utenti,  
  37. 37. Piero Tagliapietra - Security Specialist - Project Work         37   impedirne  completamente  l’uso  per  incentivare  la  produttività  potrebbe   essere   controproducente   (verrebbero   utilizzati   device   personali   o   gli   utenti   investirebbero   le   loro   energie   o   il   loro   tempo   per   tentare   di   superare  le  contromisure  adottate  dall’azienda).   • Integrazione  con  altre  policy  e  codici  interni:  è  necessario  specificare   che  qualora  i  dipendenti  non  tengano  separate  attività  personali  da  quelle   professionali   possono   applicarsi   ai   loro   account   le   policy   già   vigenti   in   azienda.   Qualora   infatti   il   dipendente   entri   in   relazione   con   colleghi,   dirigenti,  fornitori,  clienti  devono  essere  rispettate  le  disposizioni  già  in   essere  (ad  esempio  il  Codice  Eitco  aziendale).  Un  ulteriore  elemento  da   sottolineare   (qualora   non   sia   presente   una   mail   policy)   è   il   fatto   che   la   mail   aziendale   non   può   e   non   deve   essere   utilizzata   per   registrarsi   su   piattaforme   di   Social   Networking   e   in   generale   ai   Social   Media   e   che   devono   essere   usate   anche   password   diverse   da   quelle   in   uso   per   il   proprio  account  aziendale.   • Disclaimer:   anche  se  privi  di  valore  legale  è  necessario  predisporre  dei   disclaimer  che  i  dipendenti  devono  utilizzare  qualora  abbiano  dei  blog  o   commentino  servizi  o  prodotti  dell’azienda  (in  modo  da  evitare  accuse  di   astroturfing).   Oltre   alla   tutela   per   pubblicità   ingannevole,   l’uso   del   disclaimer  svolge  anche  una  funzione  di  awareness  dal  momento  che  il   solo   fatto   di   utilizzarlo   costringe   gli   utenti   a   prendere   consapevolezza   delle  proprie  responsabilità.   • Condivisione   di   informazioni   lavorative   e   di   documenti:   salvo   casi   specifici   (qualora   ad   esempio   vengano   sviluppate   attività   di   comunicazione   sui   Social   Media)   deve   essere   ribadito   che   materiali,   progetti  e  documenti  non  devono  essere  pubblicati,  condivisi  o  scambiati   attraverso   piattaforme   terze.   Uno   degli   elementi   fondamentali   da   associare   a   questo   punto   è   una   corretta   policy   documentale:   in   questo   modo  gli  utenti  possono  comprendere  un  maniera  immediata  gli  usi  che   possono  essere  fatti    di  determinate  informazioni.  Deve  comunque  essere   ribadito  il  fatto  che  le  informazioni  riservate  non  possono  e  non  devono   essere  condivise  sui  Social  Media:  diventa  quindi  importante  ribadire  un   concetto  fondamentale,  ovvero  che  all’interno  dei  Social  Media  la  privacy   è   un   concetto   quasi   del   tutto   assente   e   che   quello   che   viene   condiviso   deve  ritenersi  sempre  diffuso  e  pubblico.   • Riferimento  a  sistemi  di  monitoraggio  attivi:  onde  evitare  la  violazione   dello  statuto  dei  lavoratori  è  necessario  informare  i  dipendenti  qualora  si   usino   strumenti   di   monitoraggio.   Il   monitoraggio   non   deve   essere   fatto   sui  singoli  utenti,  ma  sul  brand  e  su  keyword  generiche  e  non  deve  essere   legato  a  comunicazioni  private.  Possono  essere  monitorate  e  controllate   le  discussioni  e  gli  update  diffusi  pubblicamente  e  indicizzati  dai  motori  di   ricerca.   • Uso  dei  loghi  e  del  nome  dell’azienda:  in  modo  da  limitare  i  danni  di   reputazione   e   d’immagine   dell’azienda   è   fondamentale   definire   in   quali   casi  può  essere  usato  il  logo  o  il  nome  dell’azienda  e  quali  possono  essere   le  eccezioni.  Vietare  completamente  l’uso  del  nome  o  del  logo  può  infatti   porre  al  riparo  da  alcuni  rischi  ma  ridurre  le  opportunità  aziendali  dato   che  avverrebbe  un  azzeramento  delle  attività  e  delle  iniziative  di  personal  

×