1. I rischi dei Social Media
in ambito Aziendale
Social Media Security
Piero Tagliapietra – Master Security Specialist - Project Work
1
2. Struttura del lavoro
‣ Analisi dello scenario
•
Social Media
•
Social Business
‣ Modellazione delle minacce
•
Asset, minacce
•
Modellazione, STRIDE, DREAD
‣ Contromisure
2
8. Modellazione
I D
Intrantet
PC
I D
• Mail personalizzata
grazie alle informazioni
raccolte
• Indisponibilità di risorse
Social
Media
User
Mail
Smartphone
• Diffusione involontaria di
informazioni
• Indisponibilità di risorse
S I E
User
• Impersonificazione di
altri utenti
• Ottenere informazioni
non esposte
• Aumentare il numero di
informazioni disponibili
8
9. Albero dei Rischi
Danno d'immagine
o di reputazione
Violazione della
231/01
Pubblicazione
documenti sui
Social Media
Attaccante
pubblicazione
volontaria
Diffamazione o
reato presupposto
Pubblicazione
involontaria
Copia dei
documenti
Policy Non chiara
Atto inconsapevole
Attacco mirato
Uso Dei Social
Media su Computer
aziendale
Impersonificazione
di un utente
Commesso da una
figura apicale
Campagna
automatizzata
Legal divide
Errata precezione
della pubblicità degli
update
Accesso ai
Documenti
Riduzione
performance
Infezione Rete
Aziendale
Falsa richiesta
di amicizia
Ricatto
Creazione di un
dossier digitale
Compromissione
account Personale
Infezione
Computer
Utente con
account privato
Il computer è
collegato alla rete
aziendale
Utente con
account pubblico
Mail
Percezione di
riservatezza sui
SN
Errata
configurazione dei
permessi
Richiesta di
amicizia
Scarsa attenzione
Smartphone
Informazioni
condivise da terzi
Spear phishing
Phishing
Richiesta credibile
Social Media
Attacco
Uso sul computer
aziendale
Attacco
Collegato al
computer
aziendale
Amici
Informazioni
pubbliche per
contatto
Driven By
download
Zero Days
Minaccia Nota
Web Exploit
Antivirus Non
aggiornato
Minaccia Nota
Software non
aggiornato
Zero Days
9
10. Albero dei Rischi
Diffusione
dati
Danno d'immagine
o di reputazione
Pubblicazione
documenti sui
Social Media
Attaccante
pubblicazione
volontaria
Pubblicazione
involontaria
Copia dei
documenti
Policy Non chiara
Uso Dei Social
Media su Computer
aziendale
Diffamazione o
reato presupposto
Commesso da una
figura apicale
Atto inconsapevole
Attacco mirato
Impersonificazione
di un utente
Danno
d’immagine
Violazione della
231/01
Campagna
automatizzata
Legal divide
Errata precezione
della pubblicità degli
update
Accesso ai
Documenti
Riduzione
performance
Infezione Rete
Aziendale
Falsa richiesta
di amicizia
Ricatto
Creazione di un
dossier digitale
Compromissione
account Personale
Infezione
Computer
Utente con
account privato
Il computer è
collegato alla rete
aziendale
Utente con
account pubblico
Mail
Percezione di
riservatezza sui
SN
Errata
configurazione dei
permessi
Richiesta di
amicizia
Dossier
Digitale
Scarsa attenzione
Smartphone
Informazioni
condivise da terzi
Spear phishing
Phishing
Richiesta credibile
Social Media
Attacco
Uso sul computer
aziendale
Attacco
Collegato al
computer
aziendale
Amici
Informazioni
pubbliche per
contatto
Driven By
download
Zero Days
Minaccia Nota
Attacco
informatico
Web Exploit
Antivirus Non
aggiornato
Minaccia Nota
Software non
aggiornato
Zero Days
10