I rischi dei Social Media in Ambito Aziendale

Piero Tagliapietra - Security Specialist - Project Work

1

POLITECNICO
DI
MILANO
–
CEFRIEL

MASTER
IN
ALTO
APPRENDISTATO
DI
I°
LIVELLO
“SECURITY
SPECIALIST”

I
rischi
dei
Social
Media
in

Ambito
Aziendale

Introduzione
alla
Social
Business
Security

Tutor:

Ing.
Giulio
Perin

Ing.
Enrico
Frumento

Presentata
da:

Piero
Tagliapietra

2012/2014


2

SCENARIO
4

Social
Media
e
Social
Media
Business
4

Sicurezza
e
Social
Media
5

Analisi
dei
rischi
nel
dettaglio
10

Diffusione
Malware
10

Spam,
Phishing
e
frodi
11

Social
Engineering
e
Spear
Phishing
11

Diffusione
o
furto
di
dati
sensibili
o
d’identità
11

Diffusione
d’informazione
riservate
o
false
11

Danni
d’immagine
o
reputazione
11

OSINT
12

Diffamazione,
Ingiuria,
Stalking
12

Hacktivism
e
cracking
dei
profili
ufficiali
12

Violazione
dei
reati
presupposto
12

Violazione
dell’art.
4
l.
300/70
13

Diminuzione
della
produttività
dei
dipendenti
13

Tabella
di
sintesi
13

Aspetti
legali
15

MODELLIZZAZIONE
DELLE
MINACCE
17

Elementi
del
modello
17

Asset
17

Minacce
18

Informazioni
private
o
riservate
o
sensibili:
18

Asset
finanziari
18

Proprietà
intellettuale
18

Segreti
industriali
19

Sicurezza
fisica
19

Risorse
informatiche
e
rete
aziendale
19

Immagine
e
reputazione
personale
19

Immagine
e
reputazione
aziendale
19

Perdita
di
proprietà
intellettuale
20

Vulnerabilità
20

Estrinseche
20

Intrinseche
20

Exploit
21

Driven
by
download
21

Web
Exploit
22

Modello
22

RISK
TREE
25

Creazione
di
un
Dossier
Digitale
25

Pubblicazione
di
documenti
26

Danni
d’immagine
27

Attacco
ai
sistemi
aziendali
28

Interconnessione
dei
rischi
29


3

DREAD
30

MITIGAZIONE
34

Formazione
35

Policy
35

Elementi
cardine
36

Guidelines
38

Elementi
cardine
39

Strumenti
tecnologici
40

Piattaforme
di
monitoraggio
40

Piattaforme
di
gestione
dei
Social
Media
40

IDS
e
DLP
40

Backup
e
data
retention
41

Monitoraggio
del
traffico
41

Aggiornamenti
automatici
41

BIBLIOGRAFIA
42


4

Scenario

Social
Media
e
Social
Media
Business

I Social Media sono un insieme di tecnologie, piattaforme e strumenti online
che le persone utilizzano per scambiare opinioni, informazioni, esperienze e
contenuti multimediali e per stabilire relazioni. Possiamo dire quindi che i
Social Media facilitano le interazioni tra gruppi di persone.
Dovendo andare a identificare alcune delle specificità di questi strumenti
possiamo utilizzare quelle descritte da Bennato 1
ed elencare le quattro
peculiarità di questo media: replicabilità (per definizione ogni oggetto digitale
può essere duplicato), ricercabilità (qualunque testo, salvo alcune eccezioni
specifiche, è ricercabile), persistenza (una volta pubblicati online l’autore ne
perde il controllo e non può garantirne l’eliminazione) e scalabilità (i contenuti
possono essere diffusi in maniera virale in modo più o meno rapido). Tuttavia,
anche se in parte si tratta di un qualcosa di nuovo, sappiamo che tutti i media
si appoggiano su infrastrutture pre-esistenti e in molti casi possiamo ritrovare
questa tendenza nel fatto che gli utenti tendano a considerare come narrow
cast la comunicazione digitale (avendo una tradizione di media, anche digitali,
con una portata limitata) mentre utilizzano piattaforme di broadcasting e
parlando quindi con un numero estremamente alto di persone.
Il numero di utenti che utilizza i Social Media e partecipa su Social Network è
cresciuto enormemente negli ultimi anni in un trend che non ha riguardato
solamente gli USA, ma che ha investito tutto il mondo. Se prendiamo ad
esempio l’Italia vediamo che su una popolazione di circa 28 milioni di utenti
online2
oggi gli utenti attivi di Facebook, secondo i dati ufficiali sono quasi 22
milioni, il 78% della popolazione online. Se andiamo leggermente oltre
vediamo che 13 milioni di persone si connettono quotidianamente e 7 milioni
di utenti si collegano tramite telefono3
.
Anche se con numeri inferiori troviamo diversi milioni di utenti attivi anche su
Twitter, Linkedin, Google+ mentre migliaia di persone scrivono sul proprio
blog personale o si geolocalizzano su Foursquare. Vediamo quindi che
durante il giorno le persone raccontano la propria vita attraverso vari
dispositivi, in vari momenti, su diverse piattaforme. Da questo punto di vista
possiamo vedere come la fruizione dei media sia cambiata e come si possano
identificare due trend precisi da questo punto di vista: da un lato infatti
abbiamo una fruizione multi-device sequenziale, dove l’utente si sposta da un
oggetto all’altro fruendo però sempre dello stessa tipologia di contenuto,
dall’altra invece abbiamo una fruizione multi-device contemporanea durante la

1
Sociologia dei Media Digitali, Laterza, Roma-Bari 2011
2
Dati audiweb di luglio http://www.audiweb.it/cms/view.php?id=6&cms_pk=265
3
http://vincos.it/2012/05/11/nasce-losservatorio-social-media-in-italia-google-cresce-e-insidia-
linkedin/


5

quale l’utente utilizza più strumenti contemporaneamente (ad esempio
twittando durante un evento televisivo).
Ovviamente un bacino di utenti così ampio non ha lasciato le aziende
indifferenti che hanno visto i Social Media come un nuovo territorio da
colonizzare e sfruttare per attività di tipo promozionale, commerciale e per
relazionarsi con i propri consumatori. Questo ha portato alla creazioni di
pagine su Facebook, ad account aziendali su Twitter e alla realizzazioni di
presidi su varie piattaforme: se prendiamo la lista delle Fortune 5004
vediamo
che il 23% di queste ha un blog aziendale, il 62% un account Twitter e il 58%
una pagina Facebook.
Ovviamente le numeriche degli utenti e le attività aziendali sui Social Media
mostrano a prima vista uno scenario apparentemente tranquillo, ma una
lettura più profonda e completa di questo fenomeno può aiutarci a
comprendere che queste piattaforme e tecnologie possono anche
rappresentare un rischio per le aziende
Sicurezza
e
Social
Media

In modo da comprendere in maniera esaustiva quali sono i rischi e i pericoli
che possono nascere per un’azienda dai Social Media dobbiamo approfondire
alcuni dei punti toccati in precedenza. Abbiamo detto che il numero di persone
che utilizzano i Social Media è sempre più elevato, ma questi soggetti non
sono semplicemente cittadini, sono anche dipendenti, manager e
amministratori delegati: sono quindi in possesso di informazioni sull’azienda
che non sempre possono essere rese pubbliche. Il fatto che,
inavvertitamente, queste informazioni vengano condivise online è ben più di
una possibilità: in alcuni casi infatti gli utenti sono convinti di agire secondo
logiche di narrowcasting e non si rendono conto della diffusione (e
dell’impatto) che possono avere i loro update. Oltretutto in molti casi il piano
personale e lavorativo tendono a sovrapporsi.
È infatti molto difficile per delle persone normali, per gli amici e i follower,
comprendere quando si passa da un registro ufficiale ad uno comune:
normalmente si tende a creare un unico insieme ibrido. Ovviamente questo
rappresenta un ulteriore problema dal momento che alcune dichiarazioni che
non rispecchiano necessariamente quelle dell’azienda possono essere lette
come ufficiali. Oltretutto, anche qualora si riuscisse a tenere separati i due
piani, qualunque messaggio ad opera dei dipendenti, dei manager e degli
dipendenti andrebbe a contribuire alla costruzione della corporate image.
Dobbiamo infatti ricordare che l’immagine aziendale (o corporate image
usando le parole di Ugo Volli5
) è un elemento semiotico frutto delle varie

4
http://econsultancy.com/it/blog/9607-fortune-500-social-media-statistics-infographic
5
Semiotica della Pubblicità, Laterza, 2002


6

discussioni che si sviluppano intorno alla marca e che quindi comprende sia i
messaggi volontari (quelli ad esempio emessi in maniera ufficiale
dall’azienda), sia involontari (ad esempio quelli dei dipendenti) che percepiti
(discorsi fatti dagli utenti). Il grande passaggio verso il cosiddetto web 2.0 ha
quindi spostato gli equilibri riducendo di fatto il potere dei messaggi volontari
in favore di quelli involontari e recepiti: sempre più la marca è un elemento
costruito collettivamente secondo logiche dal basso e quindi, i dipendenti,
anche in maniera involontaria sono parte attiva della corporate image con i
propri account e i propri update. Oltretutto molti di questi messaggi sono
pubblicati durante l’orario di lavoro.
Abbiamo infatti detto che le persone utilizzano i Social Network e i Social
Media durante tutta la giornata e, se estendiamo il tutto all’impresa, questo
significa che anche i dipendenti, durante l’orario lavorativo, utilizzeranno
questi strumenti per interagire con i propri amici e condividere informazioni.
Queste attività non vengono necessariamente fatte tramite computer di
lavoro, uno strumento sul quale eventualmente è possibile esercitare una
forma di controllo e tutela, ma spesso tramite gli smartphone personali che in
un secondo momento vengono collegati al computer o alla rete interna. La
consumerizzazione dell IT e le pratiche di BYOD (Bing You Own Device) da
questo punto di vista complicano la gestione della sicurezza.
La presenza di strumenti personali del dipendente infatti può limitare il
controllo (e la protezione) da parte dell’azienda sui propri asset materiali e
immateriali. Inoltre possiamo dire che, normalmente, le persone tendono ad
attribuire uno scarso valore alle informazioni in loro possesso e,
conseguentemente, a condividerle in maniera più facile: così come una
password è condivisa più facilmente di un token o di una smart card, allo
stesso modo, condividere informazioni con i propri contatti online, non viene
percepito come attività rischiosa o dannosa. Questo porta in molti casi ad un
approccio ingenuo che può aumentare l’esposizione dell’azienda a dei rischi.
Oltre alla condivisione di informazioni, un approccio di tipo ingenuo espone
anche a tutta un’altra categoria di rischi: in molti casi infatti gli utenti, convinti
che l’ambiente dei Social Media sia sicuro (perché popolato da contenuti
prodotti da altri utenti e da materiali condivisi dai propri amici) rischiano di
premere con maggior frequenza su link poco sicuri e di immettere malware di
vario tipo all’interno della computer aziendali, e, di conseguenza, di
compromettere la rete aziendale.
Nonostante molti dipendenti non considerino i Social Media come sorgenti di
rischio, la loro pericolosità non è sfuggita a coloro che si occupano di
sicurezza e di gestione dei Social Media. Se andiamo a prendere i dati di una
recente analisi (pubblicata il 9 agosto) condotta da Altimeter6
vediamo che è

6
i dati originali sono disponibili a questo indirizzo http://www.web-
strategist.com/blog/2012/08/09/risk-management-guarding-the-gates-altimeter-report/ mentre
una loro elaborazione è disponibile al seguente


7

inizia a farsi strada una certa consapevolezza.

http://www.emarketer.com/Article.aspx?R=1009309&ecid=a6506033675d47f881651943c21c
5ed4&goback=%2Egde_4417941_member_156431387


8

Rischio Critico Significativo Moderato Debole Nessuno
Danni di reputazione o
all’immagine del brand
35% 31% 23% 4% 6%
Diffusione d’informazioni
confidenziali
15% 17% 31% 25% 10%
Perdita di Proprietà
Intellettuale (IP)
13% 15% 31% 25% 10%
Problemi di carattere
legale o di compliance
13% 17% 25% 27% 15%
Diffusione di dati personali
o sensibili
13% 21% 33% 15% 15%
Forto d’identità o Hijacking 12% 13% 29% 22% 21%
Interruzione della
Business Continuity
10% 12% 29% 21% 27%
Malware 8% 15% 33% 35% 8%
Attacchi di Social
Engineering
6% 12% 29% 35% 15%
Danni all’infrastruttura
informativa
6% 6% 31% 40% 15%
Riduzione della
produttività
4% 10% 31% 37% 17%
Diffamazione dei
dipendenti
2% 21% 27% 29% 19%
I problemi che possono essere innescati da Social Media sono di diverso tipo
e riguardano sia aspetti materiali (come la diffusione di materiale protetto) che
immateriali (danni alla reputazione o all’immagine del brand). Se andiamo
oltre possiamo osservare come la percezione del rischio cambi anche in
funzione delle piattaforme7
.
Sorgente di Rischio Significativo Moderato Basso Nessuno
Facebook 35% 30% 25% 10%
Twitter 25% 35% 33% 8%
YouTube e altre piattaforme video 15% 28% 43% 15%
Blog di altri utenti e commenti 10% 37% 44% 10%
Blog aziendale e commenti 8% 15% 43% 31%
Linkedin 8% 15% 43% 35%
Giudizi e valutazioni su piattaforme
dedicate
5% 18% 33% 45%
Pinterest 5% 15% 33% 48%
Piattaforme di condivisione delle
immagini
3% 25% 38% 35%

7
In questo caso le valutazione delle piattaforme sono soggettive e non parametrate sulla
presenza effettiva di rischi, vulnerabilità o exploit noti


9

Foursquare 3% 20% 20% 58%
Intranet e Social Network Enterprise
(es. Yammer)
3% 15% 35% 48%
Google+ 0% 18% 49% 33%
YahooAnswer, Quora ed analoghi 0% 13% 43% 45%
Da questo primo breve elenco possiamo iniziare a distinguere tra due diverse
tipi di attività: da un lato abbiamo dipendenti che, senza distinzione d’orario,
pubblicano contenuti su piattaforme esterne (azione attiva) che possono
condurre o a danni d’immagine o alla fuoriuscita di informazioni riservate o
fungere da supporto per eventuali attacchi di Social Engineering e dall’altro
dipendenti che, utilizzando piattaforme esterne durante le ore di lavoro,
espongono i computer e la rete aziendali a dei rischi derivanti da attacchi
esterni di vario tipo.
Uno degli aspetti predominanti che emerge dalle tabelle prese in analisi in
precedenza, è come i rischi maggiori (percepiti) siano legati ai danni di
reputazione e all’immagine aziendale. Si tratta di timori fondati dal momento
che:
• Possono essere causate da una molteplicità di attori (dipendenti o
attaccanti)
• La diffusione di queste piattaforme e la naturale viralità dei contenuti
che su di esse transitano possono amplificare la portata degli attacchi
o dei danni
• Richiedono una gestione attenta (da parte del community manager in
molti casi) e una pianificazione accurata (da parte del management e
dei responsabili della comunicazione)
• Le persone non distinguono tra utenti e profili ufficiali e quindi, in molti
casi, anche gli update personali dei dipendenti possono avere ricadute
sulla corporate image.


10

Analisi
dei
rischi
nel
dettaglio

Dopo questo primo e generico elenco necessario approfondire e dettagliare
questi elementi in modo da comprendere più a fondo quali siano gli elementi
che contraddistinguono i diversi rischi sui Social Media. In modo da
semplificare la lettura, alcuni rischi strettamente collegati, sono stati riassunti
in un'unica categoria.
A livello di rischi possiamo identificare
• Diffusione di Malware
• Spam,phishing e frodi
• Social Engineering e Spear Phishing
• Diffusione o furto di dati sensibili o d’identità
• Diffusione d’informazioni riservate o false
• Open Source Intelligence da parte dei concorrenti
• Diffamazione, Ingiuria, Stalking
• Danni d’immagine e di reputazione
• Hacktivism e hacking dei profili di comunicazione aziendale
• Violazione di reati presupposto (231/01)
• Violazione dell’art. 4 L.300/70
• Diminuzione della produttività da parte dei dipendenti
In modo da poter comprendere meglio le tipologie di rischio per ognuna di
queste categorie è stata fatto un approfondimento ulteriore e, i vari rischi,
sono stati valutati tramite un’analisi qualitativa analizzandone frequenza e
impatto e andando a considerare quindi tre macrocategorie (accettabile,
grave, inaccettabile). Ovviamente, la valutazione è parziale dal momento che
non sono stati selezionati target ed asset specifici da proteggere.
Impatto Basso Minore Moderato Alto Catastrofico
Frequenza 1 2 3 4 5
Raro 1 1 2 3 4 5
Improbabile 2 2 4 6 8 10
Possibile 3 3 6 9 12 15
Probabile 4 4 8 12 16 20
Certo 5 5 10 15 20 25
Uno degli aspetti principali da considerare è che questi rischi non sono
scollegati tra loro, ma che molto spesso assistiamo a una combinazione di
essi.
Diffusione
Malware

In questo caso si tratta principalmente di rischi la cui frequenza è molto
elevata (certa) e il cui impatto può andare da minore ad alto. Si tratta quindi di
rischi gravi o inaccettabili a seconda della realtà aziendale. Gli attacchi legati
al malware (trojans, worms, rootkit, etc.) sono tutti driven by download e


11

prevedono la presenza di un attaccante esterno. Questi attacchi sono
particolarmente frequenti e sfruttano principalmente la credibilità,il senso di
sicurezza del gruppo e la prova sociale.
Spam,
Phishing
e
frodi

In questo caso il rischio è possibile con un impatto moderato-alto a seconda
della realtà aziendale. Questi rischi possono essere in preparazione ad
attacchi più mirati (ad esempio acquisizione di credenziali o informazioni per
attacchi di Social Engineering, OSINT o Spear Phishing)
Social
Engineering
e
Spear
Phishing

In questo caso il rischio è possibile con un impatto alto-catastrofico. Dato che
alla base degli attacchi basati su questi metodi ci sono la ricerca
d’informazioni o lo sviluppo di relazioni con la vittima, appare subito evidente
che i Social Media rappresentano un terreno particolarmente fertile. In molti
casi infatti non sono solo le vittime a rivelare informazioni su di sé, ma sono
anche i colleghi e amici. La possibilità di entrare in relazione online facilità
molto il compito e le attività degli ingegneri sociali.
Diffusione
o
furto
di
dati
sensibili
o
d’identità

In questo caso i rischi sono accettabili o gravi a seconda dell’attore coinvolto
e della tipologia d’informazioni diffuse. In questo caso infatti possiamo avere
due tipologie distinte di attori: da un lato un dipendente che, dando scarso
valore alle informazioni e percependo i Social Media come riservati e sicuri,
diffonde in maniera involontaria informazioni su di sé, sull’azienda o sui
colleghi; dall’altra abbiamo un attaccante (esterno o interno) il cui obiettivo è
la diffusione delle informazioni. Possiamo quindi distinguere tra atti passivi
(diffusione inconscia) e attivo (distribuzione conscia finalizzata ad uno scopo
preciso). A livello di frequenza, il primo rischio descritto (comportamento
naïve dei dipendenti) appare come più probabile e frequente.
Diffusione
d’informazione
riservate
o
false

Questo rischi sono gravi (possibili e con un impatto alto): come nel caso
precedente possiamo identificare un comportamento passivo ed uno attivo
data la presenza di due attori (dipendente inconsapevole e attaccante). La
diffusione di informazioni false rappresenta un elemento particolarmente
interessante e significativo dal momento che all’interno dei Social Media la
verifica delle fonti e dei contenuti avviene raramente. Se aggiungiamo a
questo la viralità delle condivisioni, vediamo che l’impatto di questo rischio è
decisamente elevata (soprattutto se vengono sfruttati meccanismi per creare
in maniera artificiosa credibilità nelle fonti).
Danni
d’immagine
o
reputazione

Come emerso dalla tabella questi rischi sono percepiti come i più probabili e


12

con impatto maggiore: date anche le premesse sono da considerarsi come
gravi o inaccettabili. In questo caso i Social Media rappresentano uno dei
terreni che meglio si prestano a questi rischi: i dipendenti possono infatti
pubblicare informazioni false, riservate, sensibili in maniera inconsapevole sui
propri profili, sui presidi aziendali ufficiali o sulle pagine dei competitor mentre
degli attaccanti possono farlo in maniera consapevole. L’elevato numero di
utenti, la scalabilità dei contenuti e la loro persistenza rendono questo rischio
inaccettabile.
OSINT

Le operazioni di Open Source Intelligence da parte dei concorrenti
rappresentano uno dei nuovi grandi rischi introdotti dai Social Media. In
passato questo rischio era presente (andando ad analizzare i documenti
pubblici ad esempio) ma era un accettabile o grave: con la mole
d’informazioni pubbliche condivise dai dipendenti sulle varie piattaforme,
possiamo dire che questo rischio oggi è classificabile come grave o
inaccettabile a seconda della realtà. In questo caso troviamo una molteplicità
di attori coinvolti: da un lato abbiamo infatti i dipendenti che pubblicano in
maniera inconsapevole o consapevole le informazioni e dall’altro attaccanti
esterni.
Diffamazione,
Ingiuria,
Stalking

Si tratta di rischi al momento accettabili (rari e ad impatto moderato) ma che
stanno vedendo nell’ultimo anno una radicale crescita. In molti casi infatti gli
utenti non si rendono conto che, tramite i Social Media, comunicano ad un
pubblico (qualunque insieme di persone superiore a due secondo la
definizione giuridica) e che quindi si espongono facilmente ad una violazione
degli art. 594 e 595 c.p. In questo caso il rischio diretto per l’azienda è
relativamente basso (dato che la responsabilità penale è soggettiva), ma
rischia di avere ripercussioni sull’immagine o di perdere figure chiave
all’interno del management o dei progetti.
Hacktivism
e
cracking
dei
profili
ufficiali

In questo caso, a seconda della realtà aziendale, possiamo definire questo
rischio come grave (improbabile e con un impatto moderato-alto). Sono ormai
diversi i casi in cui presidi ufficiali sono stati obiettivo di minacce da parte di
hacktivisti: alcuni casi sono stati diffusi messaggi falsi (a seguito del furto delle
credenziali) o notizie potenzialmente diffamatorie o con pesanti ricadute
sull’immagine aziendale. In questo caso gli attori prevalenti sono attaccanti
esterni. Una delle nuove frontiere di questo fenomeno potrebbe essere il
ransomware applicato ai presidi ufficiali.
Violazione
dei
reati
presupposto

A seguito della legge 231/01 sono stati individuati diversi reati presupposto
molti dei quali possono essere commessi anche tramite Social Media. In


13

questo caso, dato che si tratta comunque di piattaforme nuove, possiamo
definire questi rischi come gravi o inaccettabili a seconda della realtà
aziendale. La frequenza infatti che avvengano violazione dei reati
presupposto è possibile (devono infatti essere commessi da figure apicali) ma
in casi di aziende con forti legami con le PA l’impatto può essere catastrofico.
Così come per la violazione dell’art. 4 l.300/70 in questo caso gli attori
principali sono interni all’azienda.
Violazione
dell’art.
4
l.
300/70

Nonostante vi sia la necessità di controllo è necessario tener presente di
questo rischio che può comunque essere considerato accettabile. Qualora
infatti si mettano in campo strumenti di controllo e monitoraggio dei Social
Media è necessario infatti procedere con cautela onde evitare di andare oltre i
limiti del controllo a distanza del dipendente.
Diminuzione
della
produttività
dei
dipendenti

Questo rappresenta un rischio accettabile o grave la cui valutazione richiede
un’attenta analisi. In molti casi infatti, un’errata lettura può portare ad una
maggiore esposizione a rischi: i dipendenti che si vedono privati dell’accesso
ai Social Media possono infatti ricorrere a proxy o device personali poco
protetti. In questo caso gli attori coinvolti sono esclusivamente interni.
Tabella
di
sintesi

Tipologia Frequenza Impatto Rischio
Diffusione
Malware
Probabile Alto Inaccettabile
Spam,
Phishing
e
Frodi
Probabile Moderato Grave
Social
Engineering
e
Spear

Phishing

Possibile Catastrofico Inaccettabile
Diffusione
o
furto
di
dati

sensibili
o
d’identità

Diffusione
di
informazioni

riservate
o
false

Possibile Alto Grave
Danni
d’immagine
o
di

reputazione

OSINT
Certo Alto Inaccettabile
Diffamazione,
Ingiuria,

Stalking

Raro Moderato Accettabile
Hacktivism
e
cracking
dei

profili
ufficiali

Improbabile Moderato Grave
Violazione
dei
reati

presupposto

Violazione
dell’art.
4
l.

300/70

Diminuzione
della

produttività
dei
dipendenti

Probabile Basso Accettabile


14

In
base
a
questa
prima
analisi
siamo
in
grado
di
definire
una
scala
dei
rischi
e

decidere
eventuali
interventi
di
carattere
generale:
sarà
poi
l’analisi
sulla
singola

realtà
aziendale
(in
base
a
target,
contesto
e
agli
altri
parametri)
a
definire
con

maggior
precisione
il
piano
d’azione,
le
priorità
e
le
modalità
di
mitigazione.
In

tutti
questi
casi
ci
troviamo
davanti
a
rischi
non
intrinsechi:
utilizzando
infatti

delle
soluzioni
di
varia
natura
(sia
tecnologiche
sia
a
livello
umano)
è
possibile

ridurre
i
valori
legati
alla
frequenza
e
in
alcuni
casi
anche
l’impatto.


15

Aspetti
legali

La sicurezza dei Social Media comporta inoltre una profonda riflessione dal
punto di vista legale dal momento che vanno ad incrociarsi diversi elementi.
Prima di tutto il fatto che i dipendenti, sui Social Media, utilizzano i propri
account personali e spesso device personali: questo ovviamente limita le
possibilità di indirizzo e di controllo da parte dell’azienda.
Il datore di lavoro rischia infatti d’incorrere in problematiche legate alla
violazione dell’art. 4 l. 300/70 (controllo a distanza del dipendente) qualora
monitori in maniera poco trasparente e non dichiarata le attività dei dipendenti
esterne all’attività lavorativa. Dal momento che gli account usati dai dipendenti
sono personali (e non strumenti lavorativi) e che vengono usati al di fuori
dall’orario lavorativo è evidente come le azioni di controllo debbano essere
curate ed attente.
Tuttavia, per il datore di lavoro, il controllo è un elemento irrinunciabile dal
momento che alcuni dei reati presupposto della 231/01 (responsabilità
amministrativa dell’azienda). Possono infatti essere commessi i seguenti reati
• Turbata libertà dell’industria e del commercio (art. 513 c.p.)
• Illecita concorrenza con minaccia o violenza (art. 513 bis c.p.)
• Frode dell’esercizio del commercio (art. 515 c.p.)
• Abuso d’informazioni privilegiate (D. Lgs. 24.02.1998, n° 58, art. 184)
• Manipolazione del mercato (D. Lgs. 24.02.1998, n° 58, art. 185)
Questi reati possono infatti essere commessi sia da dipendenti che da figure
apicali o tramite l’utilizzo di un account personale o tramite l’uso di account
fasulli (che in molti casi possono comunque essere ricondotto all’azienda).
Oltre a questi elementi (consolidati ormai nella giurisprudenza) è necessario
tener presente che le normative legate al mondo digitale sono in rapida
evoluzione ed espongono ad ulteriori rischi. Al momento infatti, come
recentemente sancito da una sentenza della corte di cassazione (n° 44126)
non è configurabile la responsabilità dell’editore per omesso controllo (art. 57
c.p. e 57 bis c.p.) per quanto riguarda i prodotti editoriali digitali.
Tuttavia, oggi ogni azienda è potenzialmente configurabile un editore:
dopotutto le pagine ufficiali su Facebook possiedono alcune caratteristiche
(ad esempio il filtraggio preventivo per alcune parole chiave) che potrebbero
far sì che l’azienda risulti sanzionabile per omesso controllo (ovviamente
sempre a condizione di una modifica degli art. 57 e 57 bis. C.p.). Diventa però
quindi fondamentale un presidio costante sulle evoluzioni normative.
Oltre ai reati che possiamo identificare come direttamente collegabili alle
attività aziendali è opportuno anche ricordare come nel 2012 ci sia stato un
forte aumento delle cause per diffamazione e ingiuria tramite Social Media. Le
violazioni degli articoli 594 e 595 c.p. infatti ha visto affermarsi nel nostro


16

ordinamento la consuetudine che vuole come foro competente quello in viene
reso noto alla vittima il fatto e questo, tramite gli smartphone portato ad una
notevole mobilità. Risulta infatti sempre più facile scegliere a priori il foro nel
quale si vuole essere giudicati e dichiarare che la notifica è avvenuto in quella
sede. La differenza tra diffamazione e ingiuria all’interno dei Social Media è
inoltre molto labile dal momento che basta “taggare” la vittima per ricadere
nell’ingiuria ed ometterla per ricadere invece nella diffamazione. Oltretutto,
essendo luoghi pubblici per definizione, vengono sempre applicate le
aggravanti.
La componente normativa, oltre che a problemi sul controllo dei dipendenti e
nella gestione delle proprie attività, nasconde diverse difficoltà per quanto
riguarda la dimensione trans-nazionale dei crimini che possono essere messi
in atto. Questa problematica in realtà accomuna tutti i reati informatici e non
solamente quelli commessi tramite i Social Media.


17

Modellizzazione
delle
minacce

Elementi
del
modello

Prima di procedere con la modellizzazione è necessario definire gli elementi
che verranno utilizzati e lo scopo di tale attività. Per la modellazione verranno
quindi definiti termini piuttosto ampi dal momento che non si affronta un caso
specifico ma si vuole analizzare un fenomeno generale
• Asset: entità (materiale o immateriale) che hanno valore per l’azienda
• Minaccia: circostanza o evento in grado di arrecare dei danni a un
soggetto o ente
• Vulnerabilità: debolezza di un sistema che può essere impiegata per un
exploit
• Exploit: modalità di attacco che sfrutta una vulnerabilità
• Esposizione: vicinanza o contatto con una minaccia
• Rischio: in questo caso si considera solamente come prodotto di
frequenza per impatto (incertezza negativa sugli obiettivi)
• Contromisura: qualunque sistema, strumento, pratica in grado di ridurre
le vulnerabilità o le minacce di un dato sistema
• Attacco: l’atto (o il tentativo) di superare o violare le misure di controllo o
protezione di un determinato sistema
Asset

A livello macroscopico di modello possiamo dire che ci sono degli asset che
possono essere compromessi da minacce; queste sfruttano degli exploit
legati a delle vulnerabilità: l’esposizione alle minacce comporta un rischio che
può essere mitigato attraverso delle contromisure.
A livello generale possiamo dire che ogni azienda ha degli asset da tutelare e
proteggere legati al suo business specifico. L’uso errato o improprio dei Social
Media rischia di mettere in pericolo i seguenti asset, la cui distruzione,
sottrazione, danno possono impedire all’impresa di raggiungere i suoi
obiettivi.
Rimanendo sempre a livello generale, al fine della modellizzazione possiamo
identificare i seguenti asset da tutelare:
1. Informazioni private o riservate o sensibili: possono essere rubate,
sottratte o utilizzate contro il legittimo proprietario per realizzare
attacchi d’ingegneria sociale e sviluppare ATP (advanced persistent
threat)
2. Beni finanziari: possono essere sottratti attraverso delle frodi o essere
direttamente collegati a una diminuzione della produttività dei
dipendenti
3. Proprietà intellettuale: può essere rubata o sottratta e successivamente
diffusa (comportando un danno economico per l’impresa)


18

4. Informazioni aziendali riservate: la cui diffusione può portare a
perdite economiche, diminuzione della competitività, danni di
reputazione e d’immagine
5. Sicurezza fisica: che può essere minacciata da criminali di vario tipo
6. Strumenti aziendali: che possono essere compromessi da malware di
vario tipo e portare a danni economici o a una diminuzione della
produttività
7. Reputazione/Immagine personale e aziendale: può essere danneggiata
da azioni di vario tipo e risultare irreparabilmente compromessa
8. Identità digitale: che può essere sottratta o manipolata (furto d’identità o
identity spoofing)
Possiamo quindi fare alcune distinzioni tra beni (asset) aziendali e personali,
tra materiali e immateriali, tra primari e secondari.
Minacce

Al
fine
di
realizzare
una
modellizzazione
completa
è
necessario
definire
in

maniera
puntale
le
minacce
legate
ai
Social
Media
collegati
ai
singoli
asset

Informazioni
private
o
riservate
o
sensibili:

• Creazione
di
un
Dossier
Digitale
utilizzando
le
informazioni
pubbliche

diffuse
sui
Social
Media
(DD)

• Raccolta
dati
secondari
informazioni
che
l’utente
concede
alla
piattaforma

e
che
vengono
rivendute
a
sua
insaputa
DS)

• Esposizione
dei
dati
a
seguito
di
una
cattiva
configurazione
dei
settaggi
di

privacy
(Es)

• Mancanza
di
controllo
sugli
update
e
sulle
informazioni
diffuse
da
altri

utenti
(EsS)

• Inferenze
predittive
di
dati
sensibili
basate
sui
comportamenti
dell’utente

e
su
quelle
dei
suoi
contatti
(anche
su
informazioni
non
diffuse)
(IF)

• Identificazione
di
tutti
gli
account
dell’utente
(anche
se
aperti
sotto
falso

nome
o
pseudonimo)
usando
immagini
o
email
di
registrazione
associate

all’identità
reale
(ReId)

Asset
finanziari

• Frodi
(FR)

• Perdita
di
produttività
a
seguito
del
tempo
speso
dai
dipendenti
sui
Social

Media
(TL)

Proprietà
intellettuale

• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)

• Sottrazione
e
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)

• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene

pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
una
errata


19

valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma)

(IpPt)

Segreti
industriali

• La
pubblicazione
da
parte
dei
dipendenti
d’informazioni
sulle
procedure
e

sulle
modalità
di
lavoro
può
essere
usato
da
un
attaccante
per
creare
un

finto
profilo

aziendale
per
ottenere
l’accesso
ai
dati
e
alle
informazioni

aziendali
(FsDb)

• I
dipendenti
possono
pubblicare
in
maniera
accidentale
progetti
e

informazioni
confidenziali
a
causa
di
un’errata
valutazione

dell’importanza
dei
documenti
o
del
livello
di
confidenzialità
dei
Social

Media
(FsAc)

Sicurezza
fisica

• Diffusione
o
pubblicazione
accidentale
d’informazioni
che
possono

illustrare
a
un
attaccante

il
numero
di
persone
presenti,
le
funzioni
e
gli

orari
degli
uffici
(SFac)

• Pubblicazioni
di
immagini
che
possono
essere
usate
per
inferire

informazioni
sulle
attività
lavorative
(SFIm)

• Diffusione
di
informazioni
personali
che
possono
essere
usati
per
trovare,

identificare
e
minacciare
le
persone
(SFst)

Risorse
informatiche
e
rete
aziendale

• Diffusione
di
malware
nella
rete
aziendale
(MW)

Immagine
e
reputazione
personale

• Campagne
mirate
per
il
danneggiamento
della
reputazione
e

dell’immagine
personale
(IMs)

• Campagne
automatizzate
per
il
danneggiamento
della
reputazione
e

dell’immagine
personale
(IMa)

• Un
attaccante
può
entrare
in
possesso
d’informazioni
riservate
e
ricattare

il
soggetto
(ES.)

• Dato
che
i
processi
di
verifica
dell’identità
delle
piattaforme
sono
deboli
è

possibile
che
degli
attaccanti
creino
dei
profili
fasulli
con
conseguente

furto
d’identità
(FId.)

• Il
fatto
di
non
poter
dimostrare
con
sicurezza
l’identità
della
persona

rende
più
complessi
e
difficili
gli
atti
di
repudiation
qualora
vengano

diffuse
informazioni
false
o
diffamanti
(RP.)

Immagine
e
reputazione
aziendale

• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)

• Sottrazione
o
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)

• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene

pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
un’errata


20

valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma
o
di

una
mancata
policy
documentale
interna)
(IpPt.)

Perdita
di
proprietà
intellettuale

• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)

• Sottrazione
o
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)

• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene

pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
un’errata

valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma)

(IpPt.)

Vulnerabilità

Estrinseche

Si
tratta
di
vulnerabilità
sulle
quali
l’azienda
può
esercitare
un
certo
grado
di

controllo
e
mettere
in
campo
alcune
strategie
di
mitigazione.
In
questo
caso
si

tratta
di
vulnerabilità
collegate
agli
elementi
direttamente
collegati
all’azienda

(software,
hardware,
middleware,
wetware)
inclusi
nei
vari
processi.
In
questo

caso
ci
concentreremo
sul
fattore
umano
(wetware).

Bias
cognitivi
propri
degli
esseri
umani

• Gli
attaccanti
conoscono
bene
alcune
degli
errori
cognitivi
che
inducono
le

persone
a
reputare
come
credibili
o
interessanti
link,
informazioni
e

update.

Scarsa
conoscenza
dei
mezzi

• L’uso
dei
social
media
viene
vissuto
come
naturale
dagli
utenti
e

soprattutto,
più
che
come
spazi
aperti,
questi
vengono
considerati
come

stanza
chiuse
e
sicure
nelle
quali
è
possibile
comunicare
solo
ed

esclusivamente
con
i
propri
contatti.

Poca
consapevolezza
degli
attacchi

• Associato
alla
scarsa
conoscenza
dei
mezzi
gli
utenti
trascurano
spesso
i

pericoli
legati
all’uso
della
tecnologia
e
in
particolare
dei
Social
Media.

Basso
valore
delle
informazioni

• Gli
asset
intangibili
vengono
valutati
e
trattati
in
maniera
molto
più

superficiale
rispetto
ai
beni
fisici.
Il
problema
principale
risiede
nel
fatto

che
il
valore
delle
informazioni
non
dipende
dal
singolo
elemento,
ma

dalla
connessione
di
tutti
i
dati
diffusi.

Appare
evidente
la
maggior
parte
delle
vulnerabilità
è
legato
a
una
scarsa

conoscenza.

Intrinseche

Alcune minacce sono legate non tanto a comportamenti degli utenti ma a
problemi delle piattaforme.


21

Impossibilità
di
eliminare
i
contenuti

• A
causa
dell’eterogeneità
delle
policy
e
dei
TOS
delle
varie
piattaforme
e

della
loro
continua
evoluzione
è
possibile
che,
una
volta
caricato
del

materiale
su
un
Social
Media
l’azienda
ne
perda
il
controllo
rendendo
di

fatto
impossibile
la
cancellazione.
Questo
vale
anche
per
le
informazioni

personali.
In
molti
casi
oltretutto,
quando
una
persona
estranea
condivide

il
contenuto,
la
duplicazione
rende
impossibile
sia
la
cancellazione
che

l’eliminazione.

Metodi
di
autenticazione
deboli

• Le
modalità
di
autenticazione
sui
Social
Media
sono
estremamente
deboli:

a
causa
del
proliferare
delle
piattaforme
gli
utenti
tendono
a
replicare
le

stesse
combinazioni
nome/mail
e
password.
In
molti
casi
è
possibile
che

per
ragioni
di
semplicità
utilizzino
la
mail
di
lavoro.

Non
validazione
delle
informazioni

• L’unica
validazione
fatta
durante
la
registrazione
riguarda
l’email
che

deve
essere
attiva:
non
vi
sono
ulteriori
processi
e
questo
ovviamente

porta
alla
diffusione
di
profili
falsi.

Diffusione
dati
di
navigazione

• I
protocolli
di
comunicazione
possono
essere
usati
per
ottenere
diverse

informazioni
che
un
attaccante
può
sfruttare
per
identificare
delle

potenziali
vulnerabilità
del
sistema
usato
dal
target.

• La
“presence”
(presenza
segnalata
dai
sistemi
di
messaggistica
istantanea

e
chat)
fornisce
informazioni
rilevanti
a
un’attaccante
sulle
abitudini
della

vittima
e
rappresenta
un
ottimo
sistema
per
sfruttare
delle
vulnerabilità

mentre
la
vittima
è
lontana
dal
computer.

Diffusione
dati
d’informazioni
fatte
da
terzi

• In
alcuni
casi
gli
utenti
sono
attenti
alle
informazioni
che
condividono
e

alle
impostazioni
di
sicurezza
dei
propri
account
sui
Social
Media,
tuttavia

non
hanno
controllo
sui
propri
contatti
(amici
e
follower)
che
possono

condividere
informazioni
su
di
essi.

Exploit

Dato che si tratta di azioni che vengono innescate da comportamenti degli
utenti in questo caso possiamo identificare due metodologie di exploit
principali.
Driven
by
download

• In
questo
caso
l’utente
scarica
(in
maniera
consapevole
o

inavvertitamente)
il
malware.


22

Web
Exploit

• L’utente
naviga
su
un
sito
(nella
maggior
parte
cliccando
su
link
malevoli

su
mail
di
phishing)
e
la
vulnerabilità
in
questo
caso
sono
legati
ai

browser,
ai
plugin
e
alle
varie
componenti.

In
entrambi
i
casi,
l’utente
preme
su
un
link
(o
su
un
eseguibile)
malevolo
o

ricevuto
tramite
posta
o
tramite
comunicazione
privata
o
visto
su
un
social

media.
Nella
maggior
parte
dei
casi
le
APT
(advanced
persistent
threat)
iniziano

proprio
con
una
mail
si
spear
phishing:
secondo
una
ricerca
di
TrendMicro

questo
avviene
nel
91%
dei
casi.8

Modello

Prima
di
passare
ad
analizzare
e
sviluppare
l’albero
dei
rischi
è
stato
delineato

un
modello
generale
dello
scenario
di
riferimento

In
questo
caso
il
modello
è
stato
volutamente
lasciato
molto
generale
e
con
lo

scopo
di
tratteggiare
quali
sono
gli
scambi
di
base
soprattutto
con
i
Social
Media:

le
interazioni
di
dettaglio
con
la
Intranet
e
con
un
ipotetico
servizio
in
Cloud

Computing
per
la
gestione
della
posta
non
è
stato
approfondito
in
quanto
al

momento
esterno
all’obiettivo
di
progetto.

In
questo
caso
appare
evidente
come
i
rischi
siano
presenti
soprattutto
nel
caso

in
cui
i
Social
Media
vengano
utilizzati
sulla
postazione
di
lavoro
(PC);
tuttavia,

anche
rimuovendo
il
collegamento
diretto
tra
PC
e
Social
Media,
dal
momento

che
la
fruizione
avviene
anche
tramite
device
mobili
(smartphone),
qualora

questi
strumenti
vengano
collegati
alle
postazioni
aziendali
il
rischio
non
viene

8
http://www.infosecurity-magazine.com/view/29562/91-of-apt-attacks-start-with-a-
spearphishing-email/


23

eliminato,
ma
in
alcuni
casi
parzialmente
ridotto
o
addirittura
avviene
un

incremento
(spesso
i
dispositivi
degli
utenti
sono
privi
di
sistemi
di
protezione
e

quindi
più
esposti
ad
attacchi).

Nel
caso
in
cui
si
volesse
anche
rimuovere
il
collegamento
con
l’esterno
(DMZ
o

tramite
una
Dual-‐Zone
Arch)
questa
soluzione
non
permetterebbe
in
ogni
caso
di

eliminare
i
rischi
dal
momento
che
gli
utenti
continuerebbero
ad
interagire
e
ad

utilizzare
all’esterno
delle
aree
protette
i
Social
Media
e
quindi
la
loro

esposizione
rimarrebbe
costante.

Per
la
modellazione
iniziale
è
stata
scelta
la
metodologia
STRIDE
di
Microsoft

dove
l’acronimo
identifica
sei
macro-‐categorie
all’interno
delle
quali
possono

essere
posizionate
le
minacce
identificate:

• Spoofing
user
identity
−
si
applica
al
caso
in
cui
un
attaccante
riesce
ad

impersonare
un
altro
utente.

• Tampering
with
data
−
si
riferisce
al
fatto
che
un
attaccante,
con

modifiche
opportune
dei
dati,
riesca
ad
attaccare
un
sistema
con
lo
scopo

di
scalarne
i
diritti.

• Repudiation
−
rappresenta
il
rischio
che
una
transazione
legittimamente

svolta
non
venga
riconosciuta
da
parte
di
uno
degli
attori
coinvolti.

• Information
disclosure
−
si
riferisce
al
fatto
che
un
attaccante
possa

guadagnare
l’accesso
a
dati
che
il
legittimo
proprietario
non
vuole

esporre.

• DoS
Denial
of
Service
−
rendere
indisponibile
una
risorsa
del
sistema.

• Escalation
of
privilege
−
rappresenta
il
rischio
che
un
attaccante
possa

scalare
i
privilegi
di
un
sistema
e
guadagnare
maggiori
crediti

Dato
che
in
questo
caso
l’analisi
è
rimasta
ad
alto
livello,
anche
dal
punto
di
vista

della
modellazione
delle
minacce
e
il
ricorso
alla
metodologia
STRIDE
gli

elementi
identificati
sono
di
carattere
generale


24

In
generale
la
minaccia
principale
è
legata
allo
Spoofing
user
identity:
i
sistemi
di

autenticazione
deboli
sui
Social
Media
e
le
informazioni
diffuse
sulle
varie

piattaforme
rendono
relativamente
semplice
per
un
attaccante
impersonificare

un’altra
persona.

In
molti
casi,
collegato
alla
user
identity
spoofing
troviamo
l’information

disclosure.
Abbiamo
infatti
situazioni
in
cui
la
diffusione
di
informazioni
private

avviene
in
maniera
inconsapevole
(le
policy
eterogenee
e
la
loro
evoluzione

continua,
la
scarsa
cura
degli
utenti
nell’impostazione
dei
livelli
di
privacy
sono

le
principali
cause),
ma
altre
nelle
quali
l’impersonificazione
di
un
altro
utente

rappresenta
la
soluzione
di
base
per
raccogliere
informazioni
sul
proprio
target.

Ovviamente,
una
volta
ottenute
informazioni
e
il
contatto
con
l’utente
è
possibile

usare
questa
conoscenza
(e
i
privilegi
ottenuti)
per
ridurre
la
disponibilità
di

servizi
o
lanciare
attacchi
avanzati.

A
livello
generale
è
necessario
considerare
anche
la
Repudiation
(collegata
con
la

user
identity
spoofing):
simulando
infatti
l’identità
di
una
persona
è
possibile

fare
in
modo
che
comunicazioni
non
ufficiali
o
non
legittime
vengano
ritenute

vere
o
credibili.


25

RISK
TREE

Una
volta
definiti
asset,
minacce,
modello
generale
è
necessario
analizzare
i
vari

elementi
per
poter
comprendere
meglio
le
relazioni
esistenti
tra
di
essi
e
a

valutare
quali
possono
essere
le
soluzioni
ottimali
al
fine
di
ridurre
i
rischi

individuati.

A
livello
grafico
sono
stati
differenziati
i
nodi
AND
(segnalati
dalla
doppia
linea)
e

i
nodi
OR
(nessun
segno
grafico)
mentre
non
sono
stati
differenziati
a
livello

grafico
processi,
rami
e
foglie
(dato
che
si
tratta
di
una
overview).

Al
fine
dell’analisi,
dati
gli
obiettivi
di
progetto,
gli
alberi
dei
rischi
qui
disegnati

non
hanno
raggiunto
i
livelli
più
bassi
(con
identificazione
di
contromisure
da

implementare
a
livello
tecnologico),
ma,
come
nei
precedenti
casi,
si
è
mantenuta

un’analisi
di
alto
livello.

Creazione
di
un
Dossier
Digitale

Il
primo
elemento
da
considerare
(soprattutto
a
seguito
di
quanto
emerso

durante
l’analisi
STRIDE)
è
la
costruzione
di
un
dossier
digitale
da
parte
di
un

attaccante
dal
momento
che
può
rappresentare
il
punto
di
partenza
per
la

maggior
parte
degli
attacchi.

In
questo
caso
la
discriminante
principale
è
rappresentata
dalle
impostazioni
di

privacy
da
parte
dell’utente
(generalmente
l’opposizione
è
tra
profilo
aperto
e

chiuso).

A
livello
preliminare
possiamo
notare
immediatamente
che
è
possibile
agire
in

maniera
limitata
e
solamente
su
alcune
delle
cause:
essendo
gli
account

personali
l’azienda
ha
scarso
potere
d’indirizzo
(come
definito
inizialmente
nel

paragrafo
dedicato
ai
temi
legali)
e,
anche
qualora
gli
utenti
agiscano
in
maniera


26

responsabile
non
possono
modificare
gli
update
e
i
contenuti
postati
e
pubblicati

dai
propri
amici/contatti.

Pubblicazione
di
documenti

La
pubblicazione
di
documenti
riservati
distingue
principalmente
tra
due
atti:

volontari
e
involontari.
In
questo
caso
non
c’è
distinzione
tra
atto
volontario

interno
o
di
un
attaccante:
qualora
infatti
un
dipendente
decida
di
compiere

questo
atto
in
maniera
consapevole
è
da
considerarsi
come
attaccante.

A
livello
generale
questo
tipo
di
albero
è
applicabile
anche
alla
diffusione
dei
dati

o
di
informazioni
sensibili:
nella
fase
di
definizione
delle
minacce
abbiamo
infatti

distinto
per
diverse
di
esse
la
pubblicazione
volontaria
o
involontaria

(accidentale).
Questo
stesso
albero
può
quindi
essere
considerato
valido
anche

per
le
minacce
legate
alla
proprietà
intellettuale,
segreti
industriali
e
più
in

generale
per
le
informazioni
riservate
o
sensibili.


27

Danni
d’immagine

A
livello
generale
per
quanto
riguarda
i
danni
d’immagine
o
reputazione
non
è

stato
ritenuto
opportuno
distinguere
tra
comportamenti
eseguiti
dal
singolo

tramite
account
personale
o
aziendale:
la
responsabilità
penale
rimane

soggettiva
e
in
ogni
caso
gli
utenti
non
distinguono
tra
account
personali
e

aziendali
(come
citato
inizialmente
la
corporate
image
è
una
somma
di
discorsi

formata
anche
da
quello
che
i
dipendenti
dicono).

A
livello
generale
ritorna
un
elemento
già
incontrato
nei
precedenti
alberi:

l’errata
percezione
(o
configurazione).
In
molti
casi
infatti
molti
dei

comportamenti
che
espongono
a
dei
rischi
sono
legati
principalmente
a
una

scarsa
conoscenza
dei
mezzi
(una
sorta
di
digital
divide)
e
delle
conseguenze

(legal
divide).


28

Attacco
ai
sistemi
aziendali

L’attacco
a
sistemi
aziendali
(compromissione
della
postazione
del
singolo
ed

eventuale
estensione
alla
rete
aziendale)
rappresenta
l’elemento
più

interessante
e
complesso
soprattutto
se
rapportato
al
modello
generale.

Emergono
chiaramente
come
le
modalità
di
exploit
principali
siano
quelle
driven

by
download
e
in
generale
i
web
exploit
che
possono
essere
impiegati
sulle

diverse
piattaforme.
In
questo
caso
l’attacco
sui
Social
Media
e
sugli
Smartphone

potrebbe
essere
ulteriormente
approfondito
andando
ad
analizzare
le

motivazioni
(soprattutto
cognitive)
che
spingono
un
utente
a
cliccare
su
un

determinato
link
o
a
eseguire
un
determinato
programma.

Da
questo
punto
di
vista
la
relazione
con
altri
utenti,
la
creazione
di
un
dossier

digitale
rappresentano
elementi
chiave
per
la
concretizzazione
di
questo
attacco.

Da
un
punto
di
vista
delle
contromisure
da
adottare
l’attenzione
sui
nodi
AND
è

quella
più
promettente
anche
se
può
risultare
complesso
(soprattutto
per
quanto

riguarda
gli
smartphone
e
il
divieto
di
attaccarli,
anche
solo
per
ricaricarli,
ai

computer
aziendali)


29

Interconnessione
dei
rischi

Ovviamente
l’aspetto
più
interessante
è
rappresentato
dai
rapporti
che
collega
i

vari
alberi
sino
a
qui
delineati.
Vediamo
che
in
molti
casi
è
possibile
identificare

degli
elementi
di
base,
ma
che
alcune
delle
sorgenti
non
sono
strettamente

collegate
e
che
soprattutto
riguardano
il
comportamento
dell’utente
nella
sua

sfera
privata.

Appare
quindi
evidente
come
solo
in
alcuni
casi
sia
possibile
andare
ad
agire

utilizzando
anche
soluzioni
software
ed
hardware,
ma
che
nella
maggior
parte

dei
casi,
per
ridurre
i
rischi
sia
necessario
educare
le
persone
e
renderle

consapevoli
delle
minacce
e
dei
rischi.


30

DREAD

In
modo
da
ordinare
le
minacce
in
ordine
di
priorità
è
stato
scelta
come

metodologia
la
DREAD
Analysis
con
la
classificazione
standard.
Nonostante
la

metodologia
DREAD
sia
in
parte
deprecata
per
l’eccessiva
soggettività
delle

valutazioni
(che
tendono
ad
essere
particolarmente
elevate
qualora
l’analisi

venga
fatta
da
un
esperto
di
sicurezza
e
particolarmente
bassa
se
svolta
da

persone
che
conoscono
poco
la
materia)
in
questo
caso
rappresenta
uno

strumento
ideale
per
definire
le
priorità
e
quali
sono
le
minacce
sulle
quali
è

fondamentale
agire.

Anche
se
il
Microsoft
Security
Response
Center
(MSRC)
ha
optato
per
una

revisione
delle
tipologie
di
impatto
(dismettendo
la
scala
a
tre
valori
in
favore
di

una
a
quattro
con
critical
–
important
–
moderate
–
low)
in
questo
caso,
in
modo

da
facilitare
la
prioritizzazione
si
è
scelto
di
usare
la
scala
tradizionale

attribuendo
diversi
punteggi
(high
6
–
medium
3
–
low
1)
e
di
usare
la
scala
a

quattro
per
la
classificazione
finale
(rating)

Questa
scelta
è
legata
alle
modalità
di
valutazione
normalmente
eseguite
dagli

utenti:
qualora
venga
data
una
scala
con
un
numero
elevato
di
valori
si
possono

osservare
alcuni
comportamenti
standard:
da
un
lato
la
polarizzazione
(verso

l’alto
o
il
basso)
qualora
il
numero
di
soggetti
sia
basso,
dall’altro,
qualora
il

numero
di
soggetti
sia
più
ampio,
si
osserva
un
appiattimento
sui
valori

intermedi
rendendo
quindi
più
complesso
l’attività
di
prioritizzazione.

Utilizzando
una
scala
composta
da
tre
valori
e
con
punteggi
diversi
(non

trasparenti
agli
utenti)
diminuisce
la
possibilità
di
un
appiattimento
anche

qualora
l’analisi
venga
svolta
da
più
soggetti:
diventa
quindi
un
modo
per
ridurre

la
soggettività
dell’analisi
e
arrivare
anche
a
valutazioni
condivise.

Rating
High
(6)
Medium
(3)
Low
(1)

D
Damage

potential

L’attaccante
è
in

grado
di
modificare

il
sistema
di

sicurezza;
ottiene

tutte
le

autorizzazioni;

agisce
come

amministratore
di

sistema;
carica

contenuti;

Diffusione
di

informazioni

confidenziali

Diffusione
di

informazioni
di

basso
livello

R
Reproducibility
L’attacco
può
essere

eseguito
in

qualunque
momento

senza
una

L’attacco
può

essere
replicato

ma
solo
qualora
si

verifichino

L’attacco
è
molto

difficile
da

riprodurre,

anche


31

preparazione

specifica
o
che
si

verifichino

condizioni

particolari

determinate

condizioni

conoscendo

eventuali
falle
del

sistema
di

sicurezza

E
Exploitability
Un
programmatore

con
competenze
di

base
sarebbe
in

grado
di
effettuare

l’attacco.

Un

programmatore

competente

sarebbe
in
grado

di
effettuare

l’attacco
e

ripeterlo

L’attacco
sarebbe

possibile
solo
da

parte
di
persone

con
competenze

estremamente

elevate

A
Affected
users
Tutti
gli
utenti
con

configurazione
di

base

Alcuni
utenti
con

una

configurazione

personalizzata

Una
minima

parte
degli
utenti

D
Discoverability
Sono
disponibili

pubblicamente

informazioni

sull’attacco.
Le

vulnerabilità
sono

presenti
negli

strumenti
usati

quotidianamaente

ed
è
verificabile

La
vulnerabilità
è

collegata

solamente
a
una

feture
poco
usata

dagli
utenti.
Sono

necessarie
alcune

riflessioni
per

capire
come

sfruttare
tali

vulnerabilità

Il
baco
di

sicurezza
è

sconosciuto
ed
è

improbabile
che

un
utente
scopra

in
che
modo

sfruttarlo


32

Tenendo
presente
quanto
definito
in
precedenza
andiamo
ora
ad
attribuire
un

punteggio
alle
varie
minacce.

Minaccia
D
R
E
A
D
Totale
Rating

Informazioni

personali

Creazione
di
un

dossier
digitale

6
6
6
3
6
27
Critical

Raccolta
di
dati

secondari

6
3
3
6
6
24
Important

Cattiva
configurazione

privacy

6
3
6
3
6
24
Important

Diffusione

informazioni
da
terzi

1
3
6
6
3
19

Inferenze
predittive

sui
dati
sensibili

6
1
1
3
3
14
Moderate

Riconciliation
Account
3
6
6
6
6
27
Critical

Furto
d’identità
6
1
3
1
3
14

Finanziari
Frodi
6
1
2
3
1
13
Moderate

Perdita
di
produttività
1
1
1
3
1
7
Low

Proprietà

intellettuale

Pubblicazione

accidentale
di

documenti

1
3
1
1
1
7
Low

Pubblicazione

volontaria
di

documenti

6
1
6
1
3
17
Important

Pubblicazione

volontaria
di
immagini

1
3
6
3
3
16

Pubblicazione

accidentale
di
SI

6
6
6
3
3
24

Pubblicazione

volontaria
di
SI

6
1
3
1
1
12

Diffusione
involontaria

di
informazioni

1
1
3
1
6
12
Moderate

Infrastrutture
Diffusione
di
malware
6
1
6
1
3
17
Important

Immagine
Campagna
mirata
per

il
danneggiamento

della
reputazione

3
3
3
3
3
15
Moderate

Campagna

automatizzata
per
il

danneggiamento
della

reputazione

6
1
6
1
3
17
Important

Ricatto
6
1
6
1
1
15
Moderate

Repudiation
3
1
3
1
3
11
Low

Legali
Violazione
di
leggi
o

regolamenti

6
1
6
1
1
15

Tipologia Frequenza Impatto Rischio
Diffusione
Malware
Spam,
Phishing
e
Frodi
Probabile Moderato Grave
Social
Engineering
e
Spear
Possibile Catastrofico Inaccettabile


33

Phishing

Diffusione
o
furto
di
dati

sensibili
o
d’identità

Diffusione
di
informazioni

riservate
o
false

Danni
d’immagine
o
di

reputazione

OSINT
Certo Alto Inaccettabile
Diffamazione,
Ingiuria,

Stalking

Raro Moderato Accettabile
Hacktivism
e
cracking
dei

profili
ufficiali

Improbabile Moderato Grave
Violazione
dei
reati

presupposto

Violazione
dell’art.
4
l.

300/70

Diminuzione
della

produttività
dei
dipendenti

Probabile Basso Accettabile

Andiamo
ora
ad
ordinare
le
varie
minacce
in
modo
da
definire
all’interno
dei

sistemi
di
mitigazione
quali
saranno
le
contromisure
principali.

• Creazione
di
un
dossier
digitale
–
27
–
critical

• Identificazione
di
tutti
gli
account
dell’utente
–
27
–
critical

• Raccolta
dati
secondari
–
24
–
important

• Esposizione
su
Social
Media
per
cattiva
configurazione
–
24
–
important

• Pubblicazione
volontaria
dei
documenti
–
17
–
important

• Diffusione
di
Malware
–
17
–
important

• Campagne
automatizzate
per
il
danneggiamento
della
reputazione
–
17
–

important

• Campagna
mirata
per
il
danneggiamento
della
reputazione
–
15
-‐

moderate

• Ricatto

-‐
15
–
moderate

• Inferenze
sui
dati
sensibili
–
14
–
moderate

• Frodi
–
13
–
moderate

• Diffusione
involontaria
di
informazioni
–
12
–
moderate

• Repudiation
–
11
–
low

• Perdita
di
produttività
–
7
–
low

• Pubblicazione
accidentale
di
documenti
–
7
–low

• Analisi
non
solo
esterna
ma
anche
interna
sui
processi
e
sull’uso
dei
Social

Media


34

Mitigazione

I
Social
Media,
in
base
a
quanto
analizzato
in
precedenza,
rappresentano

un‘importante
fonte
di
rischio
per
le
aziende
e,
collegati
ad
essi,
abbiamo

individuato
alcuni
rischi,
minacce
e
vulnerabilità.
In
questo
caso
l’analisi

condotta
è
legata
principalmente
a
un
uso
passivo
di
questi
strumenti,
ma
non

bisogna
dimenticare
che
sempre
più
le
aziende
usano
questi
strumenti
per

condurre
le
proprie
attività
(Social
Business).

A
livello
generale
dobbiamo
infatti
rilevare
che
parlare
di
Social
Media
impatta

sempre
più
l’organizzazione
nel
suo
insieme
e
diventa
sempre
più
complesso

delineare
chiaramente
un
singolo
uso
o
una
dimensione
specifica
nell’uso
dei

Social
Media.
Possiamo
infatti
distinguere
quattro
vettori
di
comunicazione
che

possono
essere
sviluppati
da
un’azienda
attraverso
queste
piattaforme:

• Interno
–
interno:
strumenti
di
collaborazione
tra
i
dipendenti
(ad

esempio
i
Social

Network
Aziendali)

• Interno
–
Esterno:
comunicazione
con
l’esterno
per
dare
visibilità
alle

iniziative
ad
ai
progetti
(principalmente
Personal
Branding,
Marketing
e

Comunicazione)

• Esterno
–
Interno:
raccolta
di
informazioni
sui
prodotti,
sui
servizi
e
sul

brand
(attività
di
intelligence
e
monitoraggio)

• Esterno
–
Esterno:
discussioni
tra
gli
utenti
che
avvengono
al
di
fuori
dei

presidi
aziendali
(monitoraggio)

Viste
le
premesse
(e
che,
a
livello
generale,
un
incidente
è
una
questione
di

tempo)
è
critico
implementare
alcune
soluzioni
che
permettano
di
ridurre
i

rischi
mitigando
le
vulnerabilità.
Risulta
fondamentale,
da
questo
punto
di
vista,

adottare
un
approccio
integrato
ed
armonizzato
che
coinvolga
varie
funzioni.

I
vari
ambiti
aziendali
devono
necessariamente
coinvolti
dal
momento
che
i

rischi
trovati
non
riguardano
esclusivamente
un
ambito
singolo,
ma

principalmente
l’ambito
legale
(e
di
compliance),
operativi
e
reputazionali.
I

quindi
i
Social
media
non
sono
un
problema
solamente
IT
e
di
pertinenza

esclusiva
dell’area
comunicazione
e
marketing.

Per
riuscire
quindi
a
prevenire,
mitigare
e
rispondere
in
maniera
efficace
è

fondamentale
una
collaborazione
tra
Marketing,
IT,
Legal,
HR
e
IT
in
modo
da

valutare
in
maniera
completa
e
integrata
le
attività.

La
multidisciplinarietà
del
team
è
fondamentale
poiché
quello
che
abbiamo

delineato
è
uno
scenario
ibrido
che
riguarda
sia
le
pratiche
interne
dell’azienda

(principalmente
uso
attivo
dei
Social
Media)
sia
le
pratiche
esterne
(attività
del

singolo
al
di
fuori
degli
spazi
aziendali):
diventa
quindi
fondamentale
integrare

strumenti
tecnologici,
formazione,
policy
e
guidelines.


35

Formazione

Dato
che
uno
dei
problemi
rilevanti
nell’analisi
è
legato
alla
scarsa

consapevolezza
da
parte
degli
utenti
dei
rischi
e
del
funzionamento
dei
Social

Media
è
opportuno
predisporre
delle
sessioni
di
formazione.

A
seconda
del
livello
e
del
ruolo
è
importante
sottolineare
quali
sono
gli
aspetti

da
tenere
in
considerazione
e
quali
possono
essere
i
rischi
principali.
I
due

elementi
principali
da
illustrare
sono
collegati
agli
aspetti
normativi
/legali
e
al

funzionamento/minacce.

Qualora
in
azienda
venga
fatto
un
uso
attivo
dei
Social
Media
è
fondamentale

predisporre
una
sorta
di
certificazione
interna
in
modo
da
essere
sicuri
le

persone
che
gestiscono
la
presenza
dell’azienda
abbiano
ben
chiari
i
limiti
e
i

rischi
delle
piattaforme
che
utilizzano.

Un
ulteriore
elemento,
più
semplice
da
implementare
all’interno
dell’azienda,
è

una
raccolta
di
domande
frequenti
che
illustrino
funzionamento,
tematiche

principali
e
rischi
connessi
con
i
Social
Media.

Sia
nelle
attività
di
formazione
che
nelle
FAQ
dovranno
essere
illustrate
con

precisione
i
rischi
legati
alla
diffusione
di
informazioni
personali
spiegando

come,
un
attaccante,
potrebbe
usare
anche
informazioni
apparentemente

innocue

per
compiere
altre
tipologie
di
attacchi.

A
livello
di
formazione
è
possibile
anche
misurare
in
parte
i
risultati
conseguiti

dall’attività
valutando
il
numero
di
utenti
che
partecipano
alle
sessioni
(qualora

siano
facoltative),
il
tasso
di
successo
(o
la
media)
all’interno
della
certificazione

interna
sull’uso
dei
Social
Media,
il
numero
di
views
(rapportate
agli
utenti
unici

e
di
ritorno)
della
pagina
delle
FAQ.

Policy

Uno
dei
principali
strumenti
per
la
mitigazione
dei
rischi
è
rappresentato
dalle

Policy.
Questa
è
l’unico
strumento
para-‐giuridico
che
permette
al
datore
di

lavoro
di
disciplinare
le
attività
aziendali
e
indirizzare
le
azioni
svolte
con

strumenti
di
lavoro.

Diversamente
dalle
linee
guida
le
policy
hanno
alcune
caratteristiche
specifiche.

Si
tratta
infatti
di
un
documento
che
deve
essere:

• Specifico

• Chiuso

• Prescrittivo

• Non
Interpretabile

Oltre
a
questi
punti
nella
policy
devono
essere
definite
delle
sanzioni
e,

soprattutto
deve
essere
previsto
un
controllo
che
le
misure
definite
nelle
policy

vengano
realmente
rispettate.


36

L’aspetto
di
controllo
è
quello
più
delicato
da
gestire:
all’interno
dei
paragrafi

introduttivi
(aspetti
legali)
il
tema
del
controllo
a
distanza
del
lavoratore
(art.
4
l.

300/70)
emerge
con
forza
per
quanto
riguarda
il
monitoraggio.

Tuttavia
senza

monitoraggio
si
corre
il
rischio
di
svuotare
la
policy
di
significato
e
di
venire

meno
ad
alcune
delle
prescrizione
del
dlgs
231/01
(funzione
di
controllo).

A
seconda
poi
della
realtà
aziendale
dovranno
poi
essere
sviluppate
delle
policy

specifiche:
all’interno
di
questa
analisi
abbiamo
definito
un
caso
generico,
ma

questo
documento
deve
essere
calato
sulla
singola
realtà
aziendale.
A
seconda

infatti
dell’azienda
cambiano
il
contesto,
gli
asset
e
i
rischi.

Oltre
alla
Social
Media
Policy
dovranno
essere
presenti
all’interno
dell’azienda

anche
altri
documenti
che
regolamentino
altre
aspetti
(ad
esempio
mail
policy,

policy
documentale,
password
policy)
e
che
i
vari
documenti
siano
collegati
tra

loro
con
diversi
rimandi.

Elementi
cardine

A
livello
generale
è
possibile
individuare
i
seguenti
elementi
che
dovranno

essere
presenti
in
ogni
policy
che
voglia
regolamentare
l’uso
dei
Social
Media
in

azienda:

• Semplicità:
dato
che
tutti
i
dipendenti
utilizzano
questi
strumenti
è

necessario
redigere
un
documento
che
venga
letto
e
compreso
da
tutti
e

che
illustri
nell’introduzione
lo
scopo
di
adozione
della
policy
e
i
rischi
per

i
dipendenti
e
per
l’azienda.
Nell’introduzione
può
esserci
spazio
anche

per
spiegare
ai
dipendenti
il
fatto
che
anche
informazioni

apparentemente
innocenti
o
banali
possono
essere
usati
da
un
terzi
per

sviluppare
attacchi
informatici
più
pericolosi
(sia
per
il
singolo
che
per

l’azienda).

• Disciplina
sull’uso
dei
Social
Media
sui
computer
aziendali:
a
seconda

dell’azienda
specifica
dovrà
essere
definito
se
i
dipendenti
possono
o

meno
utilizzare
i
Social
Media
sulle
postazioni
di
lavoro.
È
fondamentale

illustrare
rapidamente
quali
sono
i
rischi
principali
e
le
minacce
che

possono
derivare
dall’uso
dei
Social
Media
(con
alcune
case
history
per

dare
maggior
forza
alla
narrazione)

• Disciplina
sull’uso
e
collegamento
dei
device
personali
ai
computer

aziendali:
dal
momento
che
le
persone
utilizzano
i
Social
Media

soprattutto
dai
propri
device
mobili
è
importante
considerare
questo

aspetto
durante
la
redazione
della
policy.
Qualora
infatti
si
decida
di

impedire
completamente
l’accesso
dalla
postazione
personale
è
possibile

che
gli
utenti
accedano
attraverso
i
propri
device.
Questi
strumenti,
come

sottolineato
in
precedenza,
sono
maggiormente
esposti
e
per
questo
è

necessario
definire
con
chiarezza
se
tali
strumenti
possono
essere

collegati
alle
postazioni
e
alla
rete
aziendale.

• Trade
off
tra
esigenze
personali
e
lavorative:
dato
che
l’uso
dei
Social

Media
rappresenta
un
elemento
della
quotidianità
di
molti
utenti,


37

impedirne
completamente
l’uso
per
incentivare
la
produttività
potrebbe

essere
controproducente
(verrebbero
utilizzati
device
personali
o
gli

utenti
investirebbero
le
loro
energie
o
il
loro
tempo
per
tentare
di

superare
le
contromisure
adottate
dall’azienda).

• Integrazione
con
altre
policy
e
codici
interni:
è
necessario
specificare

che
qualora
i
dipendenti
non
tengano
separate
attività
personali
da
quelle

professionali
possono
applicarsi
ai
loro
account
le
policy
già
vigenti
in

azienda.
Qualora
infatti
il
dipendente
entri
in
relazione
con
colleghi,

dirigenti,
fornitori,
clienti
devono
essere
rispettate
le
disposizioni
già
in

essere
(ad
esempio
il
Codice
Eitco
aziendale).
Un
ulteriore
elemento
da

sottolineare
(qualora
non
sia
presente
una
mail
policy)
è
il
fatto
che
la

mail
aziendale
non
può
e
non
deve
essere
utilizzata
per
registrarsi
su

piattaforme
di
Social
Networking
e
in
generale
ai
Social
Media
e
che

devono
essere
usate
anche
password
diverse
da
quelle
in
uso
per
il

proprio
account
aziendale.

• Disclaimer:
anche
se
privi
di
valore
legale
è
necessario
predisporre
dei

disclaimer
che
i
dipendenti
devono
utilizzare
qualora
abbiano
dei
blog
o

commentino
servizi
o
prodotti
dell’azienda
(in
modo
da
evitare
accuse
di

astroturfing).
Oltre
alla
tutela
per
pubblicità
ingannevole,
l’uso
del

disclaimer
svolge
anche
una
funzione
di
awareness
dal
momento
che
il

solo
fatto
di
utilizzarlo
costringe
gli
utenti
a
prendere
consapevolezza

delle
proprie
responsabilità.

• Condivisione
di
informazioni
lavorative
e
di
documenti:
salvo
casi

specifici
(qualora
ad
esempio
vengano
sviluppate
attività
di

comunicazione
sui
Social
Media)
deve
essere
ribadito
che
materiali,

progetti
e
documenti
non
devono
essere
pubblicati,
condivisi
o
scambiati

attraverso
piattaforme
terze.
Uno
degli
elementi
fondamentali
da

associare
a
questo
punto
è
una
corretta
policy
documentale:
in
questo

modo
gli
utenti
possono
comprendere
un
maniera
immediata
gli
usi
che

possono
essere
fatti

di
determinate
informazioni.
Deve
comunque
essere

ribadito
il
fatto
che
le
informazioni
riservate
non
possono
e
non
devono

essere
condivise
sui
Social
Media:
diventa
quindi
importante
ribadire
un

concetto
fondamentale,
ovvero
che
all’interno
dei
Social
Media
la
privacy

è
un
concetto
quasi
del
tutto
assente
e
che
quello
che
viene
condiviso

deve
ritenersi
sempre
diffuso
e
pubblico.

• Riferimento
a
sistemi
di
monitoraggio
attivi:
onde
evitare
la
violazione

dello
statuto
dei
lavoratori
è
necessario
informare
i
dipendenti
qualora
si

usino
strumenti
di
monitoraggio.
Il
monitoraggio
non
deve
essere
fatto

sui
singoli
utenti,
ma
sul
brand
e
su
keyword
generiche
e
non
deve
essere

legato
a
comunicazioni
private.
Possono
essere
monitorate
e
controllate

le
discussioni
e
gli
update
diffusi
pubblicamente
e
indicizzati
dai
motori
di

ricerca.

• Uso
dei
loghi
e
del
nome
dell’azienda:
in
modo
da
limitare
i
danni
di

reputazione
e
d’immagine
dell’azienda
è
fondamentale
definire
in
quali

casi
può
essere
usato
il
logo
o
il
nome
dell’azienda
e
quali
possono
essere

le
eccezioni.
Vietare
completamente
l’uso
del
nome
o
del
logo
può
infatti

porre
al
riparo
da
alcuni
rischi
ma
ridurre
le
opportunità
aziendali
dato

che
avverrebbe
un
azzeramento
delle
attività
e
delle
iniziative
di
personal

I rischi dei Social Media in Ambito Aziendale

I rischi dei Social Media in Ambito Aziendale

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Destacado

Destacado (20)

Similar a I rischi dei Social Media in Ambito Aziendale

Similar a I rischi dei Social Media in Ambito Aziendale (20)

Más de Piero Tagliapietra

Más de Piero Tagliapietra (16)

I rischi dei Social Media in Ambito Aziendale