1. Piero Tagliapietra - Security Specialist - Project Work
1
POLITECNICO
DI
MILANO
–
CEFRIEL
MASTER
IN
ALTO
APPRENDISTATO
DI
I°
LIVELLO
“SECURITY
SPECIALIST”
I
rischi
dei
Social
Media
in
Ambito
Aziendale
Introduzione
alla
Social
Business
Security
Tutor:
Ing.
Giulio
Perin
Ing.
Enrico
Frumento
Presentata
da:
Piero
Tagliapietra
2012/2014
2. Piero Tagliapietra - Security Specialist - Project Work
2
SCENARIO
4
Social
Media
e
Social
Media
Business
4
Sicurezza
e
Social
Media
5
Analisi
dei
rischi
nel
dettaglio
10
Diffusione
Malware
10
Spam,
Phishing
e
frodi
11
Social
Engineering
e
Spear
Phishing
11
Diffusione
o
furto
di
dati
sensibili
o
d’identità
11
Diffusione
d’informazione
riservate
o
false
11
Danni
d’immagine
o
reputazione
11
OSINT
12
Diffamazione,
Ingiuria,
Stalking
12
Hacktivism
e
cracking
dei
profili
ufficiali
12
Violazione
dei
reati
presupposto
12
Violazione
dell’art.
4
l.
300/70
13
Diminuzione
della
produttività
dei
dipendenti
13
Tabella
di
sintesi
13
Aspetti
legali
15
MODELLIZZAZIONE
DELLE
MINACCE
17
Elementi
del
modello
17
Asset
17
Minacce
18
Informazioni
private
o
riservate
o
sensibili:
18
Asset
finanziari
18
Proprietà
intellettuale
18
Segreti
industriali
19
Sicurezza
fisica
19
Risorse
informatiche
e
rete
aziendale
19
Immagine
e
reputazione
personale
19
Immagine
e
reputazione
aziendale
19
Perdita
di
proprietà
intellettuale
20
Vulnerabilità
20
Estrinseche
20
Intrinseche
20
Exploit
21
Driven
by
download
21
Web
Exploit
22
Modello
22
RISK
TREE
25
Creazione
di
un
Dossier
Digitale
25
Pubblicazione
di
documenti
26
Danni
d’immagine
27
Attacco
ai
sistemi
aziendali
28
Interconnessione
dei
rischi
29
3. Piero Tagliapietra - Security Specialist - Project Work
3
DREAD
30
MITIGAZIONE
34
Formazione
35
Policy
35
Elementi
cardine
36
Guidelines
38
Elementi
cardine
39
Strumenti
tecnologici
40
Piattaforme
di
monitoraggio
40
Piattaforme
di
gestione
dei
Social
Media
40
IDS
e
DLP
40
Backup
e
data
retention
41
Monitoraggio
del
traffico
41
Aggiornamenti
automatici
41
BIBLIOGRAFIA
42
4. Piero Tagliapietra - Security Specialist - Project Work
4
Scenario
Social
Media
e
Social
Media
Business
I Social Media sono un insieme di tecnologie, piattaforme e strumenti online
che le persone utilizzano per scambiare opinioni, informazioni, esperienze e
contenuti multimediali e per stabilire relazioni. Possiamo dire quindi che i
Social Media facilitano le interazioni tra gruppi di persone.
Dovendo andare a identificare alcune delle specificità di questi strumenti
possiamo utilizzare quelle descritte da Bennato 1
ed elencare le quattro
peculiarità di questo media: replicabilità (per definizione ogni oggetto digitale
può essere duplicato), ricercabilità (qualunque testo, salvo alcune eccezioni
specifiche, è ricercabile), persistenza (una volta pubblicati online l’autore ne
perde il controllo e non può garantirne l’eliminazione) e scalabilità (i contenuti
possono essere diffusi in maniera virale in modo più o meno rapido). Tuttavia,
anche se in parte si tratta di un qualcosa di nuovo, sappiamo che tutti i media
si appoggiano su infrastrutture pre-esistenti e in molti casi possiamo ritrovare
questa tendenza nel fatto che gli utenti tendano a considerare come narrow
cast la comunicazione digitale (avendo una tradizione di media, anche digitali,
con una portata limitata) mentre utilizzano piattaforme di broadcasting e
parlando quindi con un numero estremamente alto di persone.
Il numero di utenti che utilizza i Social Media e partecipa su Social Network è
cresciuto enormemente negli ultimi anni in un trend che non ha riguardato
solamente gli USA, ma che ha investito tutto il mondo. Se prendiamo ad
esempio l’Italia vediamo che su una popolazione di circa 28 milioni di utenti
online2
oggi gli utenti attivi di Facebook, secondo i dati ufficiali sono quasi 22
milioni, il 78% della popolazione online. Se andiamo leggermente oltre
vediamo che 13 milioni di persone si connettono quotidianamente e 7 milioni
di utenti si collegano tramite telefono3
.
Anche se con numeri inferiori troviamo diversi milioni di utenti attivi anche su
Twitter, Linkedin, Google+ mentre migliaia di persone scrivono sul proprio
blog personale o si geolocalizzano su Foursquare. Vediamo quindi che
durante il giorno le persone raccontano la propria vita attraverso vari
dispositivi, in vari momenti, su diverse piattaforme. Da questo punto di vista
possiamo vedere come la fruizione dei media sia cambiata e come si possano
identificare due trend precisi da questo punto di vista: da un lato infatti
abbiamo una fruizione multi-device sequenziale, dove l’utente si sposta da un
oggetto all’altro fruendo però sempre dello stessa tipologia di contenuto,
dall’altra invece abbiamo una fruizione multi-device contemporanea durante la
1
Sociologia dei Media Digitali, Laterza, Roma-Bari 2011
2
Dati audiweb di luglio http://www.audiweb.it/cms/view.php?id=6&cms_pk=265
3
http://vincos.it/2012/05/11/nasce-losservatorio-social-media-in-italia-google-cresce-e-insidia-
linkedin/
5. Piero Tagliapietra - Security Specialist - Project Work
5
quale l’utente utilizza più strumenti contemporaneamente (ad esempio
twittando durante un evento televisivo).
Ovviamente un bacino di utenti così ampio non ha lasciato le aziende
indifferenti che hanno visto i Social Media come un nuovo territorio da
colonizzare e sfruttare per attività di tipo promozionale, commerciale e per
relazionarsi con i propri consumatori. Questo ha portato alla creazioni di
pagine su Facebook, ad account aziendali su Twitter e alla realizzazioni di
presidi su varie piattaforme: se prendiamo la lista delle Fortune 5004
vediamo
che il 23% di queste ha un blog aziendale, il 62% un account Twitter e il 58%
una pagina Facebook.
Ovviamente le numeriche degli utenti e le attività aziendali sui Social Media
mostrano a prima vista uno scenario apparentemente tranquillo, ma una
lettura più profonda e completa di questo fenomeno può aiutarci a
comprendere che queste piattaforme e tecnologie possono anche
rappresentare un rischio per le aziende
Sicurezza
e
Social
Media
In modo da comprendere in maniera esaustiva quali sono i rischi e i pericoli
che possono nascere per un’azienda dai Social Media dobbiamo approfondire
alcuni dei punti toccati in precedenza. Abbiamo detto che il numero di persone
che utilizzano i Social Media è sempre più elevato, ma questi soggetti non
sono semplicemente cittadini, sono anche dipendenti, manager e
amministratori delegati: sono quindi in possesso di informazioni sull’azienda
che non sempre possono essere rese pubbliche. Il fatto che,
inavvertitamente, queste informazioni vengano condivise online è ben più di
una possibilità: in alcuni casi infatti gli utenti sono convinti di agire secondo
logiche di narrowcasting e non si rendono conto della diffusione (e
dell’impatto) che possono avere i loro update. Oltretutto in molti casi il piano
personale e lavorativo tendono a sovrapporsi.
È infatti molto difficile per delle persone normali, per gli amici e i follower,
comprendere quando si passa da un registro ufficiale ad uno comune:
normalmente si tende a creare un unico insieme ibrido. Ovviamente questo
rappresenta un ulteriore problema dal momento che alcune dichiarazioni che
non rispecchiano necessariamente quelle dell’azienda possono essere lette
come ufficiali. Oltretutto, anche qualora si riuscisse a tenere separati i due
piani, qualunque messaggio ad opera dei dipendenti, dei manager e degli
dipendenti andrebbe a contribuire alla costruzione della corporate image.
Dobbiamo infatti ricordare che l’immagine aziendale (o corporate image
usando le parole di Ugo Volli5
) è un elemento semiotico frutto delle varie
4
http://econsultancy.com/it/blog/9607-fortune-500-social-media-statistics-infographic
5
Semiotica della Pubblicità, Laterza, 2002
6. Piero Tagliapietra - Security Specialist - Project Work
6
discussioni che si sviluppano intorno alla marca e che quindi comprende sia i
messaggi volontari (quelli ad esempio emessi in maniera ufficiale
dall’azienda), sia involontari (ad esempio quelli dei dipendenti) che percepiti
(discorsi fatti dagli utenti). Il grande passaggio verso il cosiddetto web 2.0 ha
quindi spostato gli equilibri riducendo di fatto il potere dei messaggi volontari
in favore di quelli involontari e recepiti: sempre più la marca è un elemento
costruito collettivamente secondo logiche dal basso e quindi, i dipendenti,
anche in maniera involontaria sono parte attiva della corporate image con i
propri account e i propri update. Oltretutto molti di questi messaggi sono
pubblicati durante l’orario di lavoro.
Abbiamo infatti detto che le persone utilizzano i Social Network e i Social
Media durante tutta la giornata e, se estendiamo il tutto all’impresa, questo
significa che anche i dipendenti, durante l’orario lavorativo, utilizzeranno
questi strumenti per interagire con i propri amici e condividere informazioni.
Queste attività non vengono necessariamente fatte tramite computer di
lavoro, uno strumento sul quale eventualmente è possibile esercitare una
forma di controllo e tutela, ma spesso tramite gli smartphone personali che in
un secondo momento vengono collegati al computer o alla rete interna. La
consumerizzazione dell IT e le pratiche di BYOD (Bing You Own Device) da
questo punto di vista complicano la gestione della sicurezza.
La presenza di strumenti personali del dipendente infatti può limitare il
controllo (e la protezione) da parte dell’azienda sui propri asset materiali e
immateriali. Inoltre possiamo dire che, normalmente, le persone tendono ad
attribuire uno scarso valore alle informazioni in loro possesso e,
conseguentemente, a condividerle in maniera più facile: così come una
password è condivisa più facilmente di un token o di una smart card, allo
stesso modo, condividere informazioni con i propri contatti online, non viene
percepito come attività rischiosa o dannosa. Questo porta in molti casi ad un
approccio ingenuo che può aumentare l’esposizione dell’azienda a dei rischi.
Oltre alla condivisione di informazioni, un approccio di tipo ingenuo espone
anche a tutta un’altra categoria di rischi: in molti casi infatti gli utenti, convinti
che l’ambiente dei Social Media sia sicuro (perché popolato da contenuti
prodotti da altri utenti e da materiali condivisi dai propri amici) rischiano di
premere con maggior frequenza su link poco sicuri e di immettere malware di
vario tipo all’interno della computer aziendali, e, di conseguenza, di
compromettere la rete aziendale.
Nonostante molti dipendenti non considerino i Social Media come sorgenti di
rischio, la loro pericolosità non è sfuggita a coloro che si occupano di
sicurezza e di gestione dei Social Media. Se andiamo a prendere i dati di una
recente analisi (pubblicata il 9 agosto) condotta da Altimeter6
vediamo che è
6
i dati originali sono disponibili a questo indirizzo http://www.web-
strategist.com/blog/2012/08/09/risk-management-guarding-the-gates-altimeter-report/ mentre
una loro elaborazione è disponibile al seguente
7. Piero Tagliapietra - Security Specialist - Project Work
7
inizia a farsi strada una certa consapevolezza.
http://www.emarketer.com/Article.aspx?R=1009309&ecid=a6506033675d47f881651943c21c
5ed4&goback=%2Egde_4417941_member_156431387
8. Piero Tagliapietra - Security Specialist - Project Work
8
Rischio Critico Significativo Moderato Debole Nessuno
Danni di reputazione o
all’immagine del brand
35% 31% 23% 4% 6%
Diffusione d’informazioni
confidenziali
15% 17% 31% 25% 10%
Perdita di Proprietà
Intellettuale (IP)
13% 15% 31% 25% 10%
Problemi di carattere
legale o di compliance
13% 17% 25% 27% 15%
Diffusione di dati personali
o sensibili
13% 21% 33% 15% 15%
Forto d’identità o Hijacking 12% 13% 29% 22% 21%
Interruzione della
Business Continuity
10% 12% 29% 21% 27%
Malware 8% 15% 33% 35% 8%
Attacchi di Social
Engineering
6% 12% 29% 35% 15%
Danni all’infrastruttura
informativa
6% 6% 31% 40% 15%
Riduzione della
produttività
4% 10% 31% 37% 17%
Diffamazione dei
dipendenti
2% 21% 27% 29% 19%
I problemi che possono essere innescati da Social Media sono di diverso tipo
e riguardano sia aspetti materiali (come la diffusione di materiale protetto) che
immateriali (danni alla reputazione o all’immagine del brand). Se andiamo
oltre possiamo osservare come la percezione del rischio cambi anche in
funzione delle piattaforme7
.
Sorgente di Rischio Significativo Moderato Basso Nessuno
Facebook 35% 30% 25% 10%
Twitter 25% 35% 33% 8%
YouTube e altre piattaforme video 15% 28% 43% 15%
Blog di altri utenti e commenti 10% 37% 44% 10%
Blog aziendale e commenti 8% 15% 43% 31%
Linkedin 8% 15% 43% 35%
Giudizi e valutazioni su piattaforme
dedicate
5% 18% 33% 45%
Pinterest 5% 15% 33% 48%
Piattaforme di condivisione delle
immagini
3% 25% 38% 35%
7
In questo caso le valutazione delle piattaforme sono soggettive e non parametrate sulla
presenza effettiva di rischi, vulnerabilità o exploit noti
9. Piero Tagliapietra - Security Specialist - Project Work
9
Foursquare 3% 20% 20% 58%
Intranet e Social Network Enterprise
(es. Yammer)
3% 15% 35% 48%
Google+ 0% 18% 49% 33%
YahooAnswer, Quora ed analoghi 0% 13% 43% 45%
Da questo primo breve elenco possiamo iniziare a distinguere tra due diverse
tipi di attività: da un lato abbiamo dipendenti che, senza distinzione d’orario,
pubblicano contenuti su piattaforme esterne (azione attiva) che possono
condurre o a danni d’immagine o alla fuoriuscita di informazioni riservate o
fungere da supporto per eventuali attacchi di Social Engineering e dall’altro
dipendenti che, utilizzando piattaforme esterne durante le ore di lavoro,
espongono i computer e la rete aziendali a dei rischi derivanti da attacchi
esterni di vario tipo.
Uno degli aspetti predominanti che emerge dalle tabelle prese in analisi in
precedenza, è come i rischi maggiori (percepiti) siano legati ai danni di
reputazione e all’immagine aziendale. Si tratta di timori fondati dal momento
che:
• Possono essere causate da una molteplicità di attori (dipendenti o
attaccanti)
• La diffusione di queste piattaforme e la naturale viralità dei contenuti
che su di esse transitano possono amplificare la portata degli attacchi
o dei danni
• Richiedono una gestione attenta (da parte del community manager in
molti casi) e una pianificazione accurata (da parte del management e
dei responsabili della comunicazione)
• Le persone non distinguono tra utenti e profili ufficiali e quindi, in molti
casi, anche gli update personali dei dipendenti possono avere ricadute
sulla corporate image.
10. Piero Tagliapietra - Security Specialist - Project Work
10
Analisi
dei
rischi
nel
dettaglio
Dopo questo primo e generico elenco necessario approfondire e dettagliare
questi elementi in modo da comprendere più a fondo quali siano gli elementi
che contraddistinguono i diversi rischi sui Social Media. In modo da
semplificare la lettura, alcuni rischi strettamente collegati, sono stati riassunti
in un'unica categoria.
A livello di rischi possiamo identificare
• Diffusione di Malware
• Spam,phishing e frodi
• Social Engineering e Spear Phishing
• Diffusione o furto di dati sensibili o d’identità
• Diffusione d’informazioni riservate o false
• Open Source Intelligence da parte dei concorrenti
• Diffamazione, Ingiuria, Stalking
• Danni d’immagine e di reputazione
• Hacktivism e hacking dei profili di comunicazione aziendale
• Violazione di reati presupposto (231/01)
• Violazione dell’art. 4 L.300/70
• Diminuzione della produttività da parte dei dipendenti
In modo da poter comprendere meglio le tipologie di rischio per ognuna di
queste categorie è stata fatto un approfondimento ulteriore e, i vari rischi,
sono stati valutati tramite un’analisi qualitativa analizzandone frequenza e
impatto e andando a considerare quindi tre macrocategorie (accettabile,
grave, inaccettabile). Ovviamente, la valutazione è parziale dal momento che
non sono stati selezionati target ed asset specifici da proteggere.
Impatto Basso Minore Moderato Alto Catastrofico
Frequenza 1 2 3 4 5
Raro 1 1 2 3 4 5
Improbabile 2 2 4 6 8 10
Possibile 3 3 6 9 12 15
Probabile 4 4 8 12 16 20
Certo 5 5 10 15 20 25
Uno degli aspetti principali da considerare è che questi rischi non sono
scollegati tra loro, ma che molto spesso assistiamo a una combinazione di
essi.
Diffusione
Malware
In questo caso si tratta principalmente di rischi la cui frequenza è molto
elevata (certa) e il cui impatto può andare da minore ad alto. Si tratta quindi di
rischi gravi o inaccettabili a seconda della realtà aziendale. Gli attacchi legati
al malware (trojans, worms, rootkit, etc.) sono tutti driven by download e
11. Piero Tagliapietra - Security Specialist - Project Work
11
prevedono la presenza di un attaccante esterno. Questi attacchi sono
particolarmente frequenti e sfruttano principalmente la credibilità,il senso di
sicurezza del gruppo e la prova sociale.
Spam,
Phishing
e
frodi
In questo caso il rischio è possibile con un impatto moderato-alto a seconda
della realtà aziendale. Questi rischi possono essere in preparazione ad
attacchi più mirati (ad esempio acquisizione di credenziali o informazioni per
attacchi di Social Engineering, OSINT o Spear Phishing)
Social
Engineering
e
Spear
Phishing
In questo caso il rischio è possibile con un impatto alto-catastrofico. Dato che
alla base degli attacchi basati su questi metodi ci sono la ricerca
d’informazioni o lo sviluppo di relazioni con la vittima, appare subito evidente
che i Social Media rappresentano un terreno particolarmente fertile. In molti
casi infatti non sono solo le vittime a rivelare informazioni su di sé, ma sono
anche i colleghi e amici. La possibilità di entrare in relazione online facilità
molto il compito e le attività degli ingegneri sociali.
Diffusione
o
furto
di
dati
sensibili
o
d’identità
In questo caso i rischi sono accettabili o gravi a seconda dell’attore coinvolto
e della tipologia d’informazioni diffuse. In questo caso infatti possiamo avere
due tipologie distinte di attori: da un lato un dipendente che, dando scarso
valore alle informazioni e percependo i Social Media come riservati e sicuri,
diffonde in maniera involontaria informazioni su di sé, sull’azienda o sui
colleghi; dall’altra abbiamo un attaccante (esterno o interno) il cui obiettivo è
la diffusione delle informazioni. Possiamo quindi distinguere tra atti passivi
(diffusione inconscia) e attivo (distribuzione conscia finalizzata ad uno scopo
preciso). A livello di frequenza, il primo rischio descritto (comportamento
naïve dei dipendenti) appare come più probabile e frequente.
Diffusione
d’informazione
riservate
o
false
Questo rischi sono gravi (possibili e con un impatto alto): come nel caso
precedente possiamo identificare un comportamento passivo ed uno attivo
data la presenza di due attori (dipendente inconsapevole e attaccante). La
diffusione di informazioni false rappresenta un elemento particolarmente
interessante e significativo dal momento che all’interno dei Social Media la
verifica delle fonti e dei contenuti avviene raramente. Se aggiungiamo a
questo la viralità delle condivisioni, vediamo che l’impatto di questo rischio è
decisamente elevata (soprattutto se vengono sfruttati meccanismi per creare
in maniera artificiosa credibilità nelle fonti).
Danni
d’immagine
o
reputazione
Come emerso dalla tabella questi rischi sono percepiti come i più probabili e
12. Piero Tagliapietra - Security Specialist - Project Work
12
con impatto maggiore: date anche le premesse sono da considerarsi come
gravi o inaccettabili. In questo caso i Social Media rappresentano uno dei
terreni che meglio si prestano a questi rischi: i dipendenti possono infatti
pubblicare informazioni false, riservate, sensibili in maniera inconsapevole sui
propri profili, sui presidi aziendali ufficiali o sulle pagine dei competitor mentre
degli attaccanti possono farlo in maniera consapevole. L’elevato numero di
utenti, la scalabilità dei contenuti e la loro persistenza rendono questo rischio
inaccettabile.
OSINT
Le operazioni di Open Source Intelligence da parte dei concorrenti
rappresentano uno dei nuovi grandi rischi introdotti dai Social Media. In
passato questo rischio era presente (andando ad analizzare i documenti
pubblici ad esempio) ma era un accettabile o grave: con la mole
d’informazioni pubbliche condivise dai dipendenti sulle varie piattaforme,
possiamo dire che questo rischio oggi è classificabile come grave o
inaccettabile a seconda della realtà. In questo caso troviamo una molteplicità
di attori coinvolti: da un lato abbiamo infatti i dipendenti che pubblicano in
maniera inconsapevole o consapevole le informazioni e dall’altro attaccanti
esterni.
Diffamazione,
Ingiuria,
Stalking
Si tratta di rischi al momento accettabili (rari e ad impatto moderato) ma che
stanno vedendo nell’ultimo anno una radicale crescita. In molti casi infatti gli
utenti non si rendono conto che, tramite i Social Media, comunicano ad un
pubblico (qualunque insieme di persone superiore a due secondo la
definizione giuridica) e che quindi si espongono facilmente ad una violazione
degli art. 594 e 595 c.p. In questo caso il rischio diretto per l’azienda è
relativamente basso (dato che la responsabilità penale è soggettiva), ma
rischia di avere ripercussioni sull’immagine o di perdere figure chiave
all’interno del management o dei progetti.
Hacktivism
e
cracking
dei
profili
ufficiali
In questo caso, a seconda della realtà aziendale, possiamo definire questo
rischio come grave (improbabile e con un impatto moderato-alto). Sono ormai
diversi i casi in cui presidi ufficiali sono stati obiettivo di minacce da parte di
hacktivisti: alcuni casi sono stati diffusi messaggi falsi (a seguito del furto delle
credenziali) o notizie potenzialmente diffamatorie o con pesanti ricadute
sull’immagine aziendale. In questo caso gli attori prevalenti sono attaccanti
esterni. Una delle nuove frontiere di questo fenomeno potrebbe essere il
ransomware applicato ai presidi ufficiali.
Violazione
dei
reati
presupposto
A seguito della legge 231/01 sono stati individuati diversi reati presupposto
molti dei quali possono essere commessi anche tramite Social Media. In
13. Piero Tagliapietra - Security Specialist - Project Work
13
questo caso, dato che si tratta comunque di piattaforme nuove, possiamo
definire questi rischi come gravi o inaccettabili a seconda della realtà
aziendale. La frequenza infatti che avvengano violazione dei reati
presupposto è possibile (devono infatti essere commessi da figure apicali) ma
in casi di aziende con forti legami con le PA l’impatto può essere catastrofico.
Così come per la violazione dell’art. 4 l.300/70 in questo caso gli attori
principali sono interni all’azienda.
Violazione
dell’art.
4
l.
300/70
Nonostante vi sia la necessità di controllo è necessario tener presente di
questo rischio che può comunque essere considerato accettabile. Qualora
infatti si mettano in campo strumenti di controllo e monitoraggio dei Social
Media è necessario infatti procedere con cautela onde evitare di andare oltre i
limiti del controllo a distanza del dipendente.
Diminuzione
della
produttività
dei
dipendenti
Questo rappresenta un rischio accettabile o grave la cui valutazione richiede
un’attenta analisi. In molti casi infatti, un’errata lettura può portare ad una
maggiore esposizione a rischi: i dipendenti che si vedono privati dell’accesso
ai Social Media possono infatti ricorrere a proxy o device personali poco
protetti. In questo caso gli attori coinvolti sono esclusivamente interni.
Tabella
di
sintesi
Tipologia Frequenza Impatto Rischio
Diffusione
Malware
Probabile Alto Inaccettabile
Spam,
Phishing
e
Frodi
Probabile Moderato Grave
Social
Engineering
e
Spear
Phishing
Possibile Catastrofico Inaccettabile
Diffusione
o
furto
di
dati
sensibili
o
d’identità
Probabile Alto Inaccettabile
Diffusione
di
informazioni
riservate
o
false
Possibile Alto Grave
Danni
d’immagine
o
di
reputazione
Probabile Alto Inaccettabile
OSINT
Certo Alto Inaccettabile
Diffamazione,
Ingiuria,
Stalking
Raro Moderato Accettabile
Hacktivism
e
cracking
dei
profili
ufficiali
Improbabile Moderato Grave
Violazione
dei
reati
presupposto
Possibile Alto Grave
Violazione
dell’art.
4
l.
300/70
Possibile Alto Grave
Diminuzione
della
produttività
dei
dipendenti
Probabile Basso Accettabile
14. Piero Tagliapietra - Security Specialist - Project Work
14
In
base
a
questa
prima
analisi
siamo
in
grado
di
definire
una
scala
dei
rischi
e
decidere
eventuali
interventi
di
carattere
generale:
sarà
poi
l’analisi
sulla
singola
realtà
aziendale
(in
base
a
target,
contesto
e
agli
altri
parametri)
a
definire
con
maggior
precisione
il
piano
d’azione,
le
priorità
e
le
modalità
di
mitigazione.
In
tutti
questi
casi
ci
troviamo
davanti
a
rischi
non
intrinsechi:
utilizzando
infatti
delle
soluzioni
di
varia
natura
(sia
tecnologiche
sia
a
livello
umano)
è
possibile
ridurre
i
valori
legati
alla
frequenza
e
in
alcuni
casi
anche
l’impatto.
15. Piero Tagliapietra - Security Specialist - Project Work
15
Aspetti
legali
La sicurezza dei Social Media comporta inoltre una profonda riflessione dal
punto di vista legale dal momento che vanno ad incrociarsi diversi elementi.
Prima di tutto il fatto che i dipendenti, sui Social Media, utilizzano i propri
account personali e spesso device personali: questo ovviamente limita le
possibilità di indirizzo e di controllo da parte dell’azienda.
Il datore di lavoro rischia infatti d’incorrere in problematiche legate alla
violazione dell’art. 4 l. 300/70 (controllo a distanza del dipendente) qualora
monitori in maniera poco trasparente e non dichiarata le attività dei dipendenti
esterne all’attività lavorativa. Dal momento che gli account usati dai dipendenti
sono personali (e non strumenti lavorativi) e che vengono usati al di fuori
dall’orario lavorativo è evidente come le azioni di controllo debbano essere
curate ed attente.
Tuttavia, per il datore di lavoro, il controllo è un elemento irrinunciabile dal
momento che alcuni dei reati presupposto della 231/01 (responsabilità
amministrativa dell’azienda). Possono infatti essere commessi i seguenti reati
• Turbata libertà dell’industria e del commercio (art. 513 c.p.)
• Illecita concorrenza con minaccia o violenza (art. 513 bis c.p.)
• Frode dell’esercizio del commercio (art. 515 c.p.)
• Abuso d’informazioni privilegiate (D. Lgs. 24.02.1998, n° 58, art. 184)
• Manipolazione del mercato (D. Lgs. 24.02.1998, n° 58, art. 185)
Questi reati possono infatti essere commessi sia da dipendenti che da figure
apicali o tramite l’utilizzo di un account personale o tramite l’uso di account
fasulli (che in molti casi possono comunque essere ricondotto all’azienda).
Oltre a questi elementi (consolidati ormai nella giurisprudenza) è necessario
tener presente che le normative legate al mondo digitale sono in rapida
evoluzione ed espongono ad ulteriori rischi. Al momento infatti, come
recentemente sancito da una sentenza della corte di cassazione (n° 44126)
non è configurabile la responsabilità dell’editore per omesso controllo (art. 57
c.p. e 57 bis c.p.) per quanto riguarda i prodotti editoriali digitali.
Tuttavia, oggi ogni azienda è potenzialmente configurabile un editore:
dopotutto le pagine ufficiali su Facebook possiedono alcune caratteristiche
(ad esempio il filtraggio preventivo per alcune parole chiave) che potrebbero
far sì che l’azienda risulti sanzionabile per omesso controllo (ovviamente
sempre a condizione di una modifica degli art. 57 e 57 bis. C.p.). Diventa però
quindi fondamentale un presidio costante sulle evoluzioni normative.
Oltre ai reati che possiamo identificare come direttamente collegabili alle
attività aziendali è opportuno anche ricordare come nel 2012 ci sia stato un
forte aumento delle cause per diffamazione e ingiuria tramite Social Media. Le
violazioni degli articoli 594 e 595 c.p. infatti ha visto affermarsi nel nostro
16. Piero Tagliapietra - Security Specialist - Project Work
16
ordinamento la consuetudine che vuole come foro competente quello in viene
reso noto alla vittima il fatto e questo, tramite gli smartphone portato ad una
notevole mobilità. Risulta infatti sempre più facile scegliere a priori il foro nel
quale si vuole essere giudicati e dichiarare che la notifica è avvenuto in quella
sede. La differenza tra diffamazione e ingiuria all’interno dei Social Media è
inoltre molto labile dal momento che basta “taggare” la vittima per ricadere
nell’ingiuria ed ometterla per ricadere invece nella diffamazione. Oltretutto,
essendo luoghi pubblici per definizione, vengono sempre applicate le
aggravanti.
La componente normativa, oltre che a problemi sul controllo dei dipendenti e
nella gestione delle proprie attività, nasconde diverse difficoltà per quanto
riguarda la dimensione trans-nazionale dei crimini che possono essere messi
in atto. Questa problematica in realtà accomuna tutti i reati informatici e non
solamente quelli commessi tramite i Social Media.
17. Piero Tagliapietra - Security Specialist - Project Work
17
Modellizzazione
delle
minacce
Elementi
del
modello
Prima di procedere con la modellizzazione è necessario definire gli elementi
che verranno utilizzati e lo scopo di tale attività. Per la modellazione verranno
quindi definiti termini piuttosto ampi dal momento che non si affronta un caso
specifico ma si vuole analizzare un fenomeno generale
• Asset: entità (materiale o immateriale) che hanno valore per l’azienda
• Minaccia: circostanza o evento in grado di arrecare dei danni a un
soggetto o ente
• Vulnerabilità: debolezza di un sistema che può essere impiegata per un
exploit
• Exploit: modalità di attacco che sfrutta una vulnerabilità
• Esposizione: vicinanza o contatto con una minaccia
• Rischio: in questo caso si considera solamente come prodotto di
frequenza per impatto (incertezza negativa sugli obiettivi)
• Contromisura: qualunque sistema, strumento, pratica in grado di ridurre
le vulnerabilità o le minacce di un dato sistema
• Attacco: l’atto (o il tentativo) di superare o violare le misure di controllo o
protezione di un determinato sistema
Asset
A livello macroscopico di modello possiamo dire che ci sono degli asset che
possono essere compromessi da minacce; queste sfruttano degli exploit
legati a delle vulnerabilità: l’esposizione alle minacce comporta un rischio che
può essere mitigato attraverso delle contromisure.
A livello generale possiamo dire che ogni azienda ha degli asset da tutelare e
proteggere legati al suo business specifico. L’uso errato o improprio dei Social
Media rischia di mettere in pericolo i seguenti asset, la cui distruzione,
sottrazione, danno possono impedire all’impresa di raggiungere i suoi
obiettivi.
Rimanendo sempre a livello generale, al fine della modellizzazione possiamo
identificare i seguenti asset da tutelare:
1. Informazioni private o riservate o sensibili: possono essere rubate,
sottratte o utilizzate contro il legittimo proprietario per realizzare
attacchi d’ingegneria sociale e sviluppare ATP (advanced persistent
threat)
2. Beni finanziari: possono essere sottratti attraverso delle frodi o essere
direttamente collegati a una diminuzione della produttività dei
dipendenti
3. Proprietà intellettuale: può essere rubata o sottratta e successivamente
diffusa (comportando un danno economico per l’impresa)
18. Piero Tagliapietra - Security Specialist - Project Work
18
4. Informazioni aziendali riservate: la cui diffusione può portare a
perdite economiche, diminuzione della competitività, danni di
reputazione e d’immagine
5. Sicurezza fisica: che può essere minacciata da criminali di vario tipo
6. Strumenti aziendali: che possono essere compromessi da malware di
vario tipo e portare a danni economici o a una diminuzione della
produttività
7. Reputazione/Immagine personale e aziendale: può essere danneggiata
da azioni di vario tipo e risultare irreparabilmente compromessa
8. Identità digitale: che può essere sottratta o manipolata (furto d’identità o
identity spoofing)
Possiamo quindi fare alcune distinzioni tra beni (asset) aziendali e personali,
tra materiali e immateriali, tra primari e secondari.
Minacce
Al
fine
di
realizzare
una
modellizzazione
completa
è
necessario
definire
in
maniera
puntale
le
minacce
legate
ai
Social
Media
collegati
ai
singoli
asset
Informazioni
private
o
riservate
o
sensibili:
• Creazione
di
un
Dossier
Digitale
utilizzando
le
informazioni
pubbliche
diffuse
sui
Social
Media
(DD)
• Raccolta
dati
secondari
informazioni
che
l’utente
concede
alla
piattaforma
e
che
vengono
rivendute
a
sua
insaputa
DS)
• Esposizione
dei
dati
a
seguito
di
una
cattiva
configurazione
dei
settaggi
di
privacy
(Es)
• Mancanza
di
controllo
sugli
update
e
sulle
informazioni
diffuse
da
altri
utenti
(EsS)
• Inferenze
predittive
di
dati
sensibili
basate
sui
comportamenti
dell’utente
e
su
quelle
dei
suoi
contatti
(anche
su
informazioni
non
diffuse)
(IF)
• Identificazione
di
tutti
gli
account
dell’utente
(anche
se
aperti
sotto
falso
nome
o
pseudonimo)
usando
immagini
o
email
di
registrazione
associate
all’identità
reale
(ReId)
Asset
finanziari
• Frodi
(FR)
• Perdita
di
produttività
a
seguito
del
tempo
speso
dai
dipendenti
sui
Social
Media
(TL)
Proprietà
intellettuale
• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)
• Sottrazione
e
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)
• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene
pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
una
errata
19. Piero Tagliapietra - Security Specialist - Project Work
19
valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma)
(IpPt)
Segreti
industriali
• La
pubblicazione
da
parte
dei
dipendenti
d’informazioni
sulle
procedure
e
sulle
modalità
di
lavoro
può
essere
usato
da
un
attaccante
per
creare
un
finto
profilo
aziendale
per
ottenere
l’accesso
ai
dati
e
alle
informazioni
aziendali
(FsDb)
• I
dipendenti
possono
pubblicare
in
maniera
accidentale
progetti
e
informazioni
confidenziali
a
causa
di
un’errata
valutazione
dell’importanza
dei
documenti
o
del
livello
di
confidenzialità
dei
Social
Media
(FsAc)
Sicurezza
fisica
• Diffusione
o
pubblicazione
accidentale
d’informazioni
che
possono
illustrare
a
un
attaccante
il
numero
di
persone
presenti,
le
funzioni
e
gli
orari
degli
uffici
(SFac)
• Pubblicazioni
di
immagini
che
possono
essere
usate
per
inferire
informazioni
sulle
attività
lavorative
(SFIm)
• Diffusione
di
informazioni
personali
che
possono
essere
usati
per
trovare,
identificare
e
minacciare
le
persone
(SFst)
Risorse
informatiche
e
rete
aziendale
• Diffusione
di
malware
nella
rete
aziendale
(MW)
Immagine
e
reputazione
personale
• Campagne
mirate
per
il
danneggiamento
della
reputazione
e
dell’immagine
personale
(IMs)
• Campagne
automatizzate
per
il
danneggiamento
della
reputazione
e
dell’immagine
personale
(IMa)
• Un
attaccante
può
entrare
in
possesso
d’informazioni
riservate
e
ricattare
il
soggetto
(ES.)
• Dato
che
i
processi
di
verifica
dell’identità
delle
piattaforme
sono
deboli
è
possibile
che
degli
attaccanti
creino
dei
profili
fasulli
con
conseguente
furto
d’identità
(FId.)
• Il
fatto
di
non
poter
dimostrare
con
sicurezza
l’identità
della
persona
rende
più
complessi
e
difficili
gli
atti
di
repudiation
qualora
vengano
diffuse
informazioni
false
o
diffamanti
(RP.)
Immagine
e
reputazione
aziendale
• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)
• Sottrazione
o
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)
• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene
pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
un’errata
20. Piero Tagliapietra - Security Specialist - Project Work
20
valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma
o
di
una
mancata
policy
documentale
interna)
(IpPt.)
Perdita
di
proprietà
intellettuale
• Atto
inconsapevole
(accidentale)
da
parte
del
dipendente
(IpAc)
• Sottrazione
o
pubblicazione
(deliberata)
da
parte
di
un
attaccante
(IpDb)
• Mancanza
o
perdita
di
controllo
da
parte
dell’azienda
su
quello
che
viene
pubblicato
sui
Social
Media
(in
alcuni
casi
dipende
da
un’errata
valutazione
delle
policy
d’uso
e
dei
Terms
of
Service
della
piattaforma)
(IpPt.)
Vulnerabilità
Estrinseche
Si
tratta
di
vulnerabilità
sulle
quali
l’azienda
può
esercitare
un
certo
grado
di
controllo
e
mettere
in
campo
alcune
strategie
di
mitigazione.
In
questo
caso
si
tratta
di
vulnerabilità
collegate
agli
elementi
direttamente
collegati
all’azienda
(software,
hardware,
middleware,
wetware)
inclusi
nei
vari
processi.
In
questo
caso
ci
concentreremo
sul
fattore
umano
(wetware).
Bias
cognitivi
propri
degli
esseri
umani
• Gli
attaccanti
conoscono
bene
alcune
degli
errori
cognitivi
che
inducono
le
persone
a
reputare
come
credibili
o
interessanti
link,
informazioni
e
update.
Scarsa
conoscenza
dei
mezzi
• L’uso
dei
social
media
viene
vissuto
come
naturale
dagli
utenti
e
soprattutto,
più
che
come
spazi
aperti,
questi
vengono
considerati
come
stanza
chiuse
e
sicure
nelle
quali
è
possibile
comunicare
solo
ed
esclusivamente
con
i
propri
contatti.
Poca
consapevolezza
degli
attacchi
• Associato
alla
scarsa
conoscenza
dei
mezzi
gli
utenti
trascurano
spesso
i
pericoli
legati
all’uso
della
tecnologia
e
in
particolare
dei
Social
Media.
Basso
valore
delle
informazioni
• Gli
asset
intangibili
vengono
valutati
e
trattati
in
maniera
molto
più
superficiale
rispetto
ai
beni
fisici.
Il
problema
principale
risiede
nel
fatto
che
il
valore
delle
informazioni
non
dipende
dal
singolo
elemento,
ma
dalla
connessione
di
tutti
i
dati
diffusi.
Appare
evidente
la
maggior
parte
delle
vulnerabilità
è
legato
a
una
scarsa
conoscenza.
Intrinseche
Alcune minacce sono legate non tanto a comportamenti degli utenti ma a
problemi delle piattaforme.
21. Piero Tagliapietra - Security Specialist - Project Work
21
Impossibilità
di
eliminare
i
contenuti
• A
causa
dell’eterogeneità
delle
policy
e
dei
TOS
delle
varie
piattaforme
e
della
loro
continua
evoluzione
è
possibile
che,
una
volta
caricato
del
materiale
su
un
Social
Media
l’azienda
ne
perda
il
controllo
rendendo
di
fatto
impossibile
la
cancellazione.
Questo
vale
anche
per
le
informazioni
personali.
In
molti
casi
oltretutto,
quando
una
persona
estranea
condivide
il
contenuto,
la
duplicazione
rende
impossibile
sia
la
cancellazione
che
l’eliminazione.
Metodi
di
autenticazione
deboli
• Le
modalità
di
autenticazione
sui
Social
Media
sono
estremamente
deboli:
a
causa
del
proliferare
delle
piattaforme
gli
utenti
tendono
a
replicare
le
stesse
combinazioni
nome/mail
e
password.
In
molti
casi
è
possibile
che
per
ragioni
di
semplicità
utilizzino
la
mail
di
lavoro.
Non
validazione
delle
informazioni
• L’unica
validazione
fatta
durante
la
registrazione
riguarda
l’email
che
deve
essere
attiva:
non
vi
sono
ulteriori
processi
e
questo
ovviamente
porta
alla
diffusione
di
profili
falsi.
Diffusione
dati
di
navigazione
• I
protocolli
di
comunicazione
possono
essere
usati
per
ottenere
diverse
informazioni
che
un
attaccante
può
sfruttare
per
identificare
delle
potenziali
vulnerabilità
del
sistema
usato
dal
target.
• La
“presence”
(presenza
segnalata
dai
sistemi
di
messaggistica
istantanea
e
chat)
fornisce
informazioni
rilevanti
a
un’attaccante
sulle
abitudini
della
vittima
e
rappresenta
un
ottimo
sistema
per
sfruttare
delle
vulnerabilità
mentre
la
vittima
è
lontana
dal
computer.
Diffusione
dati
d’informazioni
fatte
da
terzi
• In
alcuni
casi
gli
utenti
sono
attenti
alle
informazioni
che
condividono
e
alle
impostazioni
di
sicurezza
dei
propri
account
sui
Social
Media,
tuttavia
non
hanno
controllo
sui
propri
contatti
(amici
e
follower)
che
possono
condividere
informazioni
su
di
essi.
Exploit
Dato che si tratta di azioni che vengono innescate da comportamenti degli
utenti in questo caso possiamo identificare due metodologie di exploit
principali.
Driven
by
download
• In
questo
caso
l’utente
scarica
(in
maniera
consapevole
o
inavvertitamente)
il
malware.
22. Piero Tagliapietra - Security Specialist - Project Work
22
Web
Exploit
• L’utente
naviga
su
un
sito
(nella
maggior
parte
cliccando
su
link
malevoli
su
mail
di
phishing)
e
la
vulnerabilità
in
questo
caso
sono
legati
ai
browser,
ai
plugin
e
alle
varie
componenti.
In
entrambi
i
casi,
l’utente
preme
su
un
link
(o
su
un
eseguibile)
malevolo
o
ricevuto
tramite
posta
o
tramite
comunicazione
privata
o
visto
su
un
social
media.
Nella
maggior
parte
dei
casi
le
APT
(advanced
persistent
threat)
iniziano
proprio
con
una
mail
si
spear
phishing:
secondo
una
ricerca
di
TrendMicro
questo
avviene
nel
91%
dei
casi.8
Modello
Prima
di
passare
ad
analizzare
e
sviluppare
l’albero
dei
rischi
è
stato
delineato
un
modello
generale
dello
scenario
di
riferimento
In
questo
caso
il
modello
è
stato
volutamente
lasciato
molto
generale
e
con
lo
scopo
di
tratteggiare
quali
sono
gli
scambi
di
base
soprattutto
con
i
Social
Media:
le
interazioni
di
dettaglio
con
la
Intranet
e
con
un
ipotetico
servizio
in
Cloud
Computing
per
la
gestione
della
posta
non
è
stato
approfondito
in
quanto
al
momento
esterno
all’obiettivo
di
progetto.
In
questo
caso
appare
evidente
come
i
rischi
siano
presenti
soprattutto
nel
caso
in
cui
i
Social
Media
vengano
utilizzati
sulla
postazione
di
lavoro
(PC);
tuttavia,
anche
rimuovendo
il
collegamento
diretto
tra
PC
e
Social
Media,
dal
momento
che
la
fruizione
avviene
anche
tramite
device
mobili
(smartphone),
qualora
questi
strumenti
vengano
collegati
alle
postazioni
aziendali
il
rischio
non
viene
8
http://www.infosecurity-magazine.com/view/29562/91-of-apt-attacks-start-with-a-
spearphishing-email/
23. Piero Tagliapietra - Security Specialist - Project Work
23
eliminato,
ma
in
alcuni
casi
parzialmente
ridotto
o
addirittura
avviene
un
incremento
(spesso
i
dispositivi
degli
utenti
sono
privi
di
sistemi
di
protezione
e
quindi
più
esposti
ad
attacchi).
Nel
caso
in
cui
si
volesse
anche
rimuovere
il
collegamento
con
l’esterno
(DMZ
o
tramite
una
Dual-‐Zone
Arch)
questa
soluzione
non
permetterebbe
in
ogni
caso
di
eliminare
i
rischi
dal
momento
che
gli
utenti
continuerebbero
ad
interagire
e
ad
utilizzare
all’esterno
delle
aree
protette
i
Social
Media
e
quindi
la
loro
esposizione
rimarrebbe
costante.
Per
la
modellazione
iniziale
è
stata
scelta
la
metodologia
STRIDE
di
Microsoft
dove
l’acronimo
identifica
sei
macro-‐categorie
all’interno
delle
quali
possono
essere
posizionate
le
minacce
identificate:
• Spoofing
user
identity
−
si
applica
al
caso
in
cui
un
attaccante
riesce
ad
impersonare
un
altro
utente.
• Tampering
with
data
−
si
riferisce
al
fatto
che
un
attaccante,
con
modifiche
opportune
dei
dati,
riesca
ad
attaccare
un
sistema
con
lo
scopo
di
scalarne
i
diritti.
• Repudiation
−
rappresenta
il
rischio
che
una
transazione
legittimamente
svolta
non
venga
riconosciuta
da
parte
di
uno
degli
attori
coinvolti.
• Information
disclosure
−
si
riferisce
al
fatto
che
un
attaccante
possa
guadagnare
l’accesso
a
dati
che
il
legittimo
proprietario
non
vuole
esporre.
• DoS
Denial
of
Service
−
rendere
indisponibile
una
risorsa
del
sistema.
• Escalation
of
privilege
−
rappresenta
il
rischio
che
un
attaccante
possa
scalare
i
privilegi
di
un
sistema
e
guadagnare
maggiori
crediti
Dato
che
in
questo
caso
l’analisi
è
rimasta
ad
alto
livello,
anche
dal
punto
di
vista
della
modellazione
delle
minacce
e
il
ricorso
alla
metodologia
STRIDE
gli
elementi
identificati
sono
di
carattere
generale
24. Piero Tagliapietra - Security Specialist - Project Work
24
In
generale
la
minaccia
principale
è
legata
allo
Spoofing
user
identity:
i
sistemi
di
autenticazione
deboli
sui
Social
Media
e
le
informazioni
diffuse
sulle
varie
piattaforme
rendono
relativamente
semplice
per
un
attaccante
impersonificare
un’altra
persona.
In
molti
casi,
collegato
alla
user
identity
spoofing
troviamo
l’information
disclosure.
Abbiamo
infatti
situazioni
in
cui
la
diffusione
di
informazioni
private
avviene
in
maniera
inconsapevole
(le
policy
eterogenee
e
la
loro
evoluzione
continua,
la
scarsa
cura
degli
utenti
nell’impostazione
dei
livelli
di
privacy
sono
le
principali
cause),
ma
altre
nelle
quali
l’impersonificazione
di
un
altro
utente
rappresenta
la
soluzione
di
base
per
raccogliere
informazioni
sul
proprio
target.
Ovviamente,
una
volta
ottenute
informazioni
e
il
contatto
con
l’utente
è
possibile
usare
questa
conoscenza
(e
i
privilegi
ottenuti)
per
ridurre
la
disponibilità
di
servizi
o
lanciare
attacchi
avanzati.
A
livello
generale
è
necessario
considerare
anche
la
Repudiation
(collegata
con
la
user
identity
spoofing):
simulando
infatti
l’identità
di
una
persona
è
possibile
fare
in
modo
che
comunicazioni
non
ufficiali
o
non
legittime
vengano
ritenute
vere
o
credibili.
25. Piero Tagliapietra - Security Specialist - Project Work
25
RISK
TREE
Una
volta
definiti
asset,
minacce,
modello
generale
è
necessario
analizzare
i
vari
elementi
per
poter
comprendere
meglio
le
relazioni
esistenti
tra
di
essi
e
a
valutare
quali
possono
essere
le
soluzioni
ottimali
al
fine
di
ridurre
i
rischi
individuati.
A
livello
grafico
sono
stati
differenziati
i
nodi
AND
(segnalati
dalla
doppia
linea)
e
i
nodi
OR
(nessun
segno
grafico)
mentre
non
sono
stati
differenziati
a
livello
grafico
processi,
rami
e
foglie
(dato
che
si
tratta
di
una
overview).
Al
fine
dell’analisi,
dati
gli
obiettivi
di
progetto,
gli
alberi
dei
rischi
qui
disegnati
non
hanno
raggiunto
i
livelli
più
bassi
(con
identificazione
di
contromisure
da
implementare
a
livello
tecnologico),
ma,
come
nei
precedenti
casi,
si
è
mantenuta
un’analisi
di
alto
livello.
Creazione
di
un
Dossier
Digitale
Il
primo
elemento
da
considerare
(soprattutto
a
seguito
di
quanto
emerso
durante
l’analisi
STRIDE)
è
la
costruzione
di
un
dossier
digitale
da
parte
di
un
attaccante
dal
momento
che
può
rappresentare
il
punto
di
partenza
per
la
maggior
parte
degli
attacchi.
In
questo
caso
la
discriminante
principale
è
rappresentata
dalle
impostazioni
di
privacy
da
parte
dell’utente
(generalmente
l’opposizione
è
tra
profilo
aperto
e
chiuso).
A
livello
preliminare
possiamo
notare
immediatamente
che
è
possibile
agire
in
maniera
limitata
e
solamente
su
alcune
delle
cause:
essendo
gli
account
personali
l’azienda
ha
scarso
potere
d’indirizzo
(come
definito
inizialmente
nel
paragrafo
dedicato
ai
temi
legali)
e,
anche
qualora
gli
utenti
agiscano
in
maniera
26. Piero Tagliapietra - Security Specialist - Project Work
26
responsabile
non
possono
modificare
gli
update
e
i
contenuti
postati
e
pubblicati
dai
propri
amici/contatti.
Pubblicazione
di
documenti
La
pubblicazione
di
documenti
riservati
distingue
principalmente
tra
due
atti:
volontari
e
involontari.
In
questo
caso
non
c’è
distinzione
tra
atto
volontario
interno
o
di
un
attaccante:
qualora
infatti
un
dipendente
decida
di
compiere
questo
atto
in
maniera
consapevole
è
da
considerarsi
come
attaccante.
A
livello
generale
questo
tipo
di
albero
è
applicabile
anche
alla
diffusione
dei
dati
o
di
informazioni
sensibili:
nella
fase
di
definizione
delle
minacce
abbiamo
infatti
distinto
per
diverse
di
esse
la
pubblicazione
volontaria
o
involontaria
(accidentale).
Questo
stesso
albero
può
quindi
essere
considerato
valido
anche
per
le
minacce
legate
alla
proprietà
intellettuale,
segreti
industriali
e
più
in
generale
per
le
informazioni
riservate
o
sensibili.
27. Piero Tagliapietra - Security Specialist - Project Work
27
Danni
d’immagine
A
livello
generale
per
quanto
riguarda
i
danni
d’immagine
o
reputazione
non
è
stato
ritenuto
opportuno
distinguere
tra
comportamenti
eseguiti
dal
singolo
tramite
account
personale
o
aziendale:
la
responsabilità
penale
rimane
soggettiva
e
in
ogni
caso
gli
utenti
non
distinguono
tra
account
personali
e
aziendali
(come
citato
inizialmente
la
corporate
image
è
una
somma
di
discorsi
formata
anche
da
quello
che
i
dipendenti
dicono).
A
livello
generale
ritorna
un
elemento
già
incontrato
nei
precedenti
alberi:
l’errata
percezione
(o
configurazione).
In
molti
casi
infatti
molti
dei
comportamenti
che
espongono
a
dei
rischi
sono
legati
principalmente
a
una
scarsa
conoscenza
dei
mezzi
(una
sorta
di
digital
divide)
e
delle
conseguenze
(legal
divide).
28. Piero Tagliapietra - Security Specialist - Project Work
28
Attacco
ai
sistemi
aziendali
L’attacco
a
sistemi
aziendali
(compromissione
della
postazione
del
singolo
ed
eventuale
estensione
alla
rete
aziendale)
rappresenta
l’elemento
più
interessante
e
complesso
soprattutto
se
rapportato
al
modello
generale.
Emergono
chiaramente
come
le
modalità
di
exploit
principali
siano
quelle
driven
by
download
e
in
generale
i
web
exploit
che
possono
essere
impiegati
sulle
diverse
piattaforme.
In
questo
caso
l’attacco
sui
Social
Media
e
sugli
Smartphone
potrebbe
essere
ulteriormente
approfondito
andando
ad
analizzare
le
motivazioni
(soprattutto
cognitive)
che
spingono
un
utente
a
cliccare
su
un
determinato
link
o
a
eseguire
un
determinato
programma.
Da
questo
punto
di
vista
la
relazione
con
altri
utenti,
la
creazione
di
un
dossier
digitale
rappresentano
elementi
chiave
per
la
concretizzazione
di
questo
attacco.
Da
un
punto
di
vista
delle
contromisure
da
adottare
l’attenzione
sui
nodi
AND
è
quella
più
promettente
anche
se
può
risultare
complesso
(soprattutto
per
quanto
riguarda
gli
smartphone
e
il
divieto
di
attaccarli,
anche
solo
per
ricaricarli,
ai
computer
aziendali)
29. Piero Tagliapietra - Security Specialist - Project Work
29
Interconnessione
dei
rischi
Ovviamente
l’aspetto
più
interessante
è
rappresentato
dai
rapporti
che
collega
i
vari
alberi
sino
a
qui
delineati.
Vediamo
che
in
molti
casi
è
possibile
identificare
degli
elementi
di
base,
ma
che
alcune
delle
sorgenti
non
sono
strettamente
collegate
e
che
soprattutto
riguardano
il
comportamento
dell’utente
nella
sua
sfera
privata.
Appare
quindi
evidente
come
solo
in
alcuni
casi
sia
possibile
andare
ad
agire
utilizzando
anche
soluzioni
software
ed
hardware,
ma
che
nella
maggior
parte
dei
casi,
per
ridurre
i
rischi
sia
necessario
educare
le
persone
e
renderle
consapevoli
delle
minacce
e
dei
rischi.
30. Piero Tagliapietra - Security Specialist - Project Work
30
DREAD
In
modo
da
ordinare
le
minacce
in
ordine
di
priorità
è
stato
scelta
come
metodologia
la
DREAD
Analysis
con
la
classificazione
standard.
Nonostante
la
metodologia
DREAD
sia
in
parte
deprecata
per
l’eccessiva
soggettività
delle
valutazioni
(che
tendono
ad
essere
particolarmente
elevate
qualora
l’analisi
venga
fatta
da
un
esperto
di
sicurezza
e
particolarmente
bassa
se
svolta
da
persone
che
conoscono
poco
la
materia)
in
questo
caso
rappresenta
uno
strumento
ideale
per
definire
le
priorità
e
quali
sono
le
minacce
sulle
quali
è
fondamentale
agire.
Anche
se
il
Microsoft
Security
Response
Center
(MSRC)
ha
optato
per
una
revisione
delle
tipologie
di
impatto
(dismettendo
la
scala
a
tre
valori
in
favore
di
una
a
quattro
con
critical
–
important
–
moderate
–
low)
in
questo
caso,
in
modo
da
facilitare
la
prioritizzazione
si
è
scelto
di
usare
la
scala
tradizionale
attribuendo
diversi
punteggi
(high
6
–
medium
3
–
low
1)
e
di
usare
la
scala
a
quattro
per
la
classificazione
finale
(rating)
Questa
scelta
è
legata
alle
modalità
di
valutazione
normalmente
eseguite
dagli
utenti:
qualora
venga
data
una
scala
con
un
numero
elevato
di
valori
si
possono
osservare
alcuni
comportamenti
standard:
da
un
lato
la
polarizzazione
(verso
l’alto
o
il
basso)
qualora
il
numero
di
soggetti
sia
basso,
dall’altro,
qualora
il
numero
di
soggetti
sia
più
ampio,
si
osserva
un
appiattimento
sui
valori
intermedi
rendendo
quindi
più
complesso
l’attività
di
prioritizzazione.
Utilizzando
una
scala
composta
da
tre
valori
e
con
punteggi
diversi
(non
trasparenti
agli
utenti)
diminuisce
la
possibilità
di
un
appiattimento
anche
qualora
l’analisi
venga
svolta
da
più
soggetti:
diventa
quindi
un
modo
per
ridurre
la
soggettività
dell’analisi
e
arrivare
anche
a
valutazioni
condivise.
Rating
High
(6)
Medium
(3)
Low
(1)
D
Damage
potential
L’attaccante
è
in
grado
di
modificare
il
sistema
di
sicurezza;
ottiene
tutte
le
autorizzazioni;
agisce
come
amministratore
di
sistema;
carica
contenuti;
Diffusione
di
informazioni
confidenziali
Diffusione
di
informazioni
di
basso
livello
R
Reproducibility
L’attacco
può
essere
eseguito
in
qualunque
momento
senza
una
L’attacco
può
essere
replicato
ma
solo
qualora
si
verifichino
L’attacco
è
molto
difficile
da
riprodurre,
anche
31. Piero Tagliapietra - Security Specialist - Project Work
31
preparazione
specifica
o
che
si
verifichino
condizioni
particolari
determinate
condizioni
conoscendo
eventuali
falle
del
sistema
di
sicurezza
E
Exploitability
Un
programmatore
con
competenze
di
base
sarebbe
in
grado
di
effettuare
l’attacco.
Un
programmatore
competente
sarebbe
in
grado
di
effettuare
l’attacco
e
ripeterlo
L’attacco
sarebbe
possibile
solo
da
parte
di
persone
con
competenze
estremamente
elevate
A
Affected
users
Tutti
gli
utenti
con
configurazione
di
base
Alcuni
utenti
con
una
configurazione
personalizzata
Una
minima
parte
degli
utenti
D
Discoverability
Sono
disponibili
pubblicamente
informazioni
sull’attacco.
Le
vulnerabilità
sono
presenti
negli
strumenti
usati
quotidianamaente
ed
è
verificabile
La
vulnerabilità
è
collegata
solamente
a
una
feture
poco
usata
dagli
utenti.
Sono
necessarie
alcune
riflessioni
per
capire
come
sfruttare
tali
vulnerabilità
Il
baco
di
sicurezza
è
sconosciuto
ed
è
improbabile
che
un
utente
scopra
in
che
modo
sfruttarlo
32. Piero Tagliapietra - Security Specialist - Project Work
32
Tenendo
presente
quanto
definito
in
precedenza
andiamo
ora
ad
attribuire
un
punteggio
alle
varie
minacce.
Minaccia
D
R
E
A
D
Totale
Rating
Informazioni
personali
Creazione
di
un
dossier
digitale
6
6
6
3
6
27
Critical
Raccolta
di
dati
secondari
6
3
3
6
6
24
Important
Cattiva
configurazione
privacy
6
3
6
3
6
24
Important
Diffusione
informazioni
da
terzi
1
3
6
6
3
19
Inferenze
predittive
sui
dati
sensibili
6
1
1
3
3
14
Moderate
Riconciliation
Account
3
6
6
6
6
27
Critical
Furto
d’identità
6
1
3
1
3
14
Finanziari
Frodi
6
1
2
3
1
13
Moderate
Perdita
di
produttività
1
1
1
3
1
7
Low
Proprietà
intellettuale
Pubblicazione
accidentale
di
documenti
1
3
1
1
1
7
Low
Pubblicazione
volontaria
di
documenti
6
1
6
1
3
17
Important
Pubblicazione
volontaria
di
immagini
1
3
6
3
3
16
Pubblicazione
accidentale
di
SI
6
6
6
3
3
24
Pubblicazione
volontaria
di
SI
6
1
3
1
1
12
Diffusione
involontaria
di
informazioni
1
1
3
1
6
12
Moderate
Infrastrutture
Diffusione
di
malware
6
1
6
1
3
17
Important
Immagine
Campagna
mirata
per
il
danneggiamento
della
reputazione
3
3
3
3
3
15
Moderate
Campagna
automatizzata
per
il
danneggiamento
della
reputazione
6
1
6
1
3
17
Important
Ricatto
6
1
6
1
1
15
Moderate
Repudiation
3
1
3
1
3
11
Low
Legali
Violazione
di
leggi
o
regolamenti
6
1
6
1
1
15
Tipologia Frequenza Impatto Rischio
Diffusione
Malware
Probabile Alto Inaccettabile
Spam,
Phishing
e
Frodi
Probabile Moderato Grave
Social
Engineering
e
Spear
Possibile Catastrofico Inaccettabile
33. Piero Tagliapietra - Security Specialist - Project Work
33
Phishing
Diffusione
o
furto
di
dati
sensibili
o
d’identità
Probabile Alto Inaccettabile
Diffusione
di
informazioni
riservate
o
false
Possibile Alto Grave
Danni
d’immagine
o
di
reputazione
Probabile Alto Inaccettabile
OSINT
Certo Alto Inaccettabile
Diffamazione,
Ingiuria,
Stalking
Raro Moderato Accettabile
Hacktivism
e
cracking
dei
profili
ufficiali
Improbabile Moderato Grave
Violazione
dei
reati
presupposto
Possibile Alto Grave
Violazione
dell’art.
4
l.
300/70
Possibile Alto Grave
Diminuzione
della
produttività
dei
dipendenti
Probabile Basso Accettabile
Andiamo
ora
ad
ordinare
le
varie
minacce
in
modo
da
definire
all’interno
dei
sistemi
di
mitigazione
quali
saranno
le
contromisure
principali.
• Creazione
di
un
dossier
digitale
–
27
–
critical
• Identificazione
di
tutti
gli
account
dell’utente
–
27
–
critical
• Raccolta
dati
secondari
–
24
–
important
• Esposizione
su
Social
Media
per
cattiva
configurazione
–
24
–
important
• Pubblicazione
volontaria
dei
documenti
–
17
–
important
• Diffusione
di
Malware
–
17
–
important
• Campagne
automatizzate
per
il
danneggiamento
della
reputazione
–
17
–
important
• Campagna
mirata
per
il
danneggiamento
della
reputazione
–
15
-‐
moderate
• Ricatto
-‐
15
–
moderate
• Inferenze
sui
dati
sensibili
–
14
–
moderate
• Frodi
–
13
–
moderate
• Diffusione
involontaria
di
informazioni
–
12
–
moderate
• Repudiation
–
11
–
low
• Perdita
di
produttività
–
7
–
low
• Pubblicazione
accidentale
di
documenti
–
7
–low
• Analisi
non
solo
esterna
ma
anche
interna
sui
processi
e
sull’uso
dei
Social
Media
34. Piero Tagliapietra - Security Specialist - Project Work
34
Mitigazione
I
Social
Media,
in
base
a
quanto
analizzato
in
precedenza,
rappresentano
un‘importante
fonte
di
rischio
per
le
aziende
e,
collegati
ad
essi,
abbiamo
individuato
alcuni
rischi,
minacce
e
vulnerabilità.
In
questo
caso
l’analisi
condotta
è
legata
principalmente
a
un
uso
passivo
di
questi
strumenti,
ma
non
bisogna
dimenticare
che
sempre
più
le
aziende
usano
questi
strumenti
per
condurre
le
proprie
attività
(Social
Business).
A
livello
generale
dobbiamo
infatti
rilevare
che
parlare
di
Social
Media
impatta
sempre
più
l’organizzazione
nel
suo
insieme
e
diventa
sempre
più
complesso
delineare
chiaramente
un
singolo
uso
o
una
dimensione
specifica
nell’uso
dei
Social
Media.
Possiamo
infatti
distinguere
quattro
vettori
di
comunicazione
che
possono
essere
sviluppati
da
un’azienda
attraverso
queste
piattaforme:
• Interno
–
interno:
strumenti
di
collaborazione
tra
i
dipendenti
(ad
esempio
i
Social
Network
Aziendali)
• Interno
–
Esterno:
comunicazione
con
l’esterno
per
dare
visibilità
alle
iniziative
ad
ai
progetti
(principalmente
Personal
Branding,
Marketing
e
Comunicazione)
• Esterno
–
Interno:
raccolta
di
informazioni
sui
prodotti,
sui
servizi
e
sul
brand
(attività
di
intelligence
e
monitoraggio)
• Esterno
–
Esterno:
discussioni
tra
gli
utenti
che
avvengono
al
di
fuori
dei
presidi
aziendali
(monitoraggio)
Viste
le
premesse
(e
che,
a
livello
generale,
un
incidente
è
una
questione
di
tempo)
è
critico
implementare
alcune
soluzioni
che
permettano
di
ridurre
i
rischi
mitigando
le
vulnerabilità.
Risulta
fondamentale,
da
questo
punto
di
vista,
adottare
un
approccio
integrato
ed
armonizzato
che
coinvolga
varie
funzioni.
I
vari
ambiti
aziendali
devono
necessariamente
coinvolti
dal
momento
che
i
rischi
trovati
non
riguardano
esclusivamente
un
ambito
singolo,
ma
principalmente
l’ambito
legale
(e
di
compliance),
operativi
e
reputazionali.
I
quindi
i
Social
media
non
sono
un
problema
solamente
IT
e
di
pertinenza
esclusiva
dell’area
comunicazione
e
marketing.
Per
riuscire
quindi
a
prevenire,
mitigare
e
rispondere
in
maniera
efficace
è
fondamentale
una
collaborazione
tra
Marketing,
IT,
Legal,
HR
e
IT
in
modo
da
valutare
in
maniera
completa
e
integrata
le
attività.
La
multidisciplinarietà
del
team
è
fondamentale
poiché
quello
che
abbiamo
delineato
è
uno
scenario
ibrido
che
riguarda
sia
le
pratiche
interne
dell’azienda
(principalmente
uso
attivo
dei
Social
Media)
sia
le
pratiche
esterne
(attività
del
singolo
al
di
fuori
degli
spazi
aziendali):
diventa
quindi
fondamentale
integrare
strumenti
tecnologici,
formazione,
policy
e
guidelines.
35. Piero Tagliapietra - Security Specialist - Project Work
35
Formazione
Dato
che
uno
dei
problemi
rilevanti
nell’analisi
è
legato
alla
scarsa
consapevolezza
da
parte
degli
utenti
dei
rischi
e
del
funzionamento
dei
Social
Media
è
opportuno
predisporre
delle
sessioni
di
formazione.
A
seconda
del
livello
e
del
ruolo
è
importante
sottolineare
quali
sono
gli
aspetti
da
tenere
in
considerazione
e
quali
possono
essere
i
rischi
principali.
I
due
elementi
principali
da
illustrare
sono
collegati
agli
aspetti
normativi
/legali
e
al
funzionamento/minacce.
Qualora
in
azienda
venga
fatto
un
uso
attivo
dei
Social
Media
è
fondamentale
predisporre
una
sorta
di
certificazione
interna
in
modo
da
essere
sicuri
le
persone
che
gestiscono
la
presenza
dell’azienda
abbiano
ben
chiari
i
limiti
e
i
rischi
delle
piattaforme
che
utilizzano.
Un
ulteriore
elemento,
più
semplice
da
implementare
all’interno
dell’azienda,
è
una
raccolta
di
domande
frequenti
che
illustrino
funzionamento,
tematiche
principali
e
rischi
connessi
con
i
Social
Media.
Sia
nelle
attività
di
formazione
che
nelle
FAQ
dovranno
essere
illustrate
con
precisione
i
rischi
legati
alla
diffusione
di
informazioni
personali
spiegando
come,
un
attaccante,
potrebbe
usare
anche
informazioni
apparentemente
innocue
per
compiere
altre
tipologie
di
attacchi.
A
livello
di
formazione
è
possibile
anche
misurare
in
parte
i
risultati
conseguiti
dall’attività
valutando
il
numero
di
utenti
che
partecipano
alle
sessioni
(qualora
siano
facoltative),
il
tasso
di
successo
(o
la
media)
all’interno
della
certificazione
interna
sull’uso
dei
Social
Media,
il
numero
di
views
(rapportate
agli
utenti
unici
e
di
ritorno)
della
pagina
delle
FAQ.
Policy
Uno
dei
principali
strumenti
per
la
mitigazione
dei
rischi
è
rappresentato
dalle
Policy.
Questa
è
l’unico
strumento
para-‐giuridico
che
permette
al
datore
di
lavoro
di
disciplinare
le
attività
aziendali
e
indirizzare
le
azioni
svolte
con
strumenti
di
lavoro.
Diversamente
dalle
linee
guida
le
policy
hanno
alcune
caratteristiche
specifiche.
Si
tratta
infatti
di
un
documento
che
deve
essere:
• Specifico
• Chiuso
• Prescrittivo
• Non
Interpretabile
Oltre
a
questi
punti
nella
policy
devono
essere
definite
delle
sanzioni
e,
soprattutto
deve
essere
previsto
un
controllo
che
le
misure
definite
nelle
policy
vengano
realmente
rispettate.
36. Piero Tagliapietra - Security Specialist - Project Work
36
L’aspetto
di
controllo
è
quello
più
delicato
da
gestire:
all’interno
dei
paragrafi
introduttivi
(aspetti
legali)
il
tema
del
controllo
a
distanza
del
lavoratore
(art.
4
l.
300/70)
emerge
con
forza
per
quanto
riguarda
il
monitoraggio.
Tuttavia
senza
monitoraggio
si
corre
il
rischio
di
svuotare
la
policy
di
significato
e
di
venire
meno
ad
alcune
delle
prescrizione
del
dlgs
231/01
(funzione
di
controllo).
A
seconda
poi
della
realtà
aziendale
dovranno
poi
essere
sviluppate
delle
policy
specifiche:
all’interno
di
questa
analisi
abbiamo
definito
un
caso
generico,
ma
questo
documento
deve
essere
calato
sulla
singola
realtà
aziendale.
A
seconda
infatti
dell’azienda
cambiano
il
contesto,
gli
asset
e
i
rischi.
Oltre
alla
Social
Media
Policy
dovranno
essere
presenti
all’interno
dell’azienda
anche
altri
documenti
che
regolamentino
altre
aspetti
(ad
esempio
mail
policy,
policy
documentale,
password
policy)
e
che
i
vari
documenti
siano
collegati
tra
loro
con
diversi
rimandi.
Elementi
cardine
A
livello
generale
è
possibile
individuare
i
seguenti
elementi
che
dovranno
essere
presenti
in
ogni
policy
che
voglia
regolamentare
l’uso
dei
Social
Media
in
azienda:
• Semplicità:
dato
che
tutti
i
dipendenti
utilizzano
questi
strumenti
è
necessario
redigere
un
documento
che
venga
letto
e
compreso
da
tutti
e
che
illustri
nell’introduzione
lo
scopo
di
adozione
della
policy
e
i
rischi
per
i
dipendenti
e
per
l’azienda.
Nell’introduzione
può
esserci
spazio
anche
per
spiegare
ai
dipendenti
il
fatto
che
anche
informazioni
apparentemente
innocenti
o
banali
possono
essere
usati
da
un
terzi
per
sviluppare
attacchi
informatici
più
pericolosi
(sia
per
il
singolo
che
per
l’azienda).
• Disciplina
sull’uso
dei
Social
Media
sui
computer
aziendali:
a
seconda
dell’azienda
specifica
dovrà
essere
definito
se
i
dipendenti
possono
o
meno
utilizzare
i
Social
Media
sulle
postazioni
di
lavoro.
È
fondamentale
illustrare
rapidamente
quali
sono
i
rischi
principali
e
le
minacce
che
possono
derivare
dall’uso
dei
Social
Media
(con
alcune
case
history
per
dare
maggior
forza
alla
narrazione)
• Disciplina
sull’uso
e
collegamento
dei
device
personali
ai
computer
aziendali:
dal
momento
che
le
persone
utilizzano
i
Social
Media
soprattutto
dai
propri
device
mobili
è
importante
considerare
questo
aspetto
durante
la
redazione
della
policy.
Qualora
infatti
si
decida
di
impedire
completamente
l’accesso
dalla
postazione
personale
è
possibile
che
gli
utenti
accedano
attraverso
i
propri
device.
Questi
strumenti,
come
sottolineato
in
precedenza,
sono
maggiormente
esposti
e
per
questo
è
necessario
definire
con
chiarezza
se
tali
strumenti
possono
essere
collegati
alle
postazioni
e
alla
rete
aziendale.
• Trade
off
tra
esigenze
personali
e
lavorative:
dato
che
l’uso
dei
Social
Media
rappresenta
un
elemento
della
quotidianità
di
molti
utenti,
37. Piero Tagliapietra - Security Specialist - Project Work
37
impedirne
completamente
l’uso
per
incentivare
la
produttività
potrebbe
essere
controproducente
(verrebbero
utilizzati
device
personali
o
gli
utenti
investirebbero
le
loro
energie
o
il
loro
tempo
per
tentare
di
superare
le
contromisure
adottate
dall’azienda).
• Integrazione
con
altre
policy
e
codici
interni:
è
necessario
specificare
che
qualora
i
dipendenti
non
tengano
separate
attività
personali
da
quelle
professionali
possono
applicarsi
ai
loro
account
le
policy
già
vigenti
in
azienda.
Qualora
infatti
il
dipendente
entri
in
relazione
con
colleghi,
dirigenti,
fornitori,
clienti
devono
essere
rispettate
le
disposizioni
già
in
essere
(ad
esempio
il
Codice
Eitco
aziendale).
Un
ulteriore
elemento
da
sottolineare
(qualora
non
sia
presente
una
mail
policy)
è
il
fatto
che
la
mail
aziendale
non
può
e
non
deve
essere
utilizzata
per
registrarsi
su
piattaforme
di
Social
Networking
e
in
generale
ai
Social
Media
e
che
devono
essere
usate
anche
password
diverse
da
quelle
in
uso
per
il
proprio
account
aziendale.
• Disclaimer:
anche
se
privi
di
valore
legale
è
necessario
predisporre
dei
disclaimer
che
i
dipendenti
devono
utilizzare
qualora
abbiano
dei
blog
o
commentino
servizi
o
prodotti
dell’azienda
(in
modo
da
evitare
accuse
di
astroturfing).
Oltre
alla
tutela
per
pubblicità
ingannevole,
l’uso
del
disclaimer
svolge
anche
una
funzione
di
awareness
dal
momento
che
il
solo
fatto
di
utilizzarlo
costringe
gli
utenti
a
prendere
consapevolezza
delle
proprie
responsabilità.
• Condivisione
di
informazioni
lavorative
e
di
documenti:
salvo
casi
specifici
(qualora
ad
esempio
vengano
sviluppate
attività
di
comunicazione
sui
Social
Media)
deve
essere
ribadito
che
materiali,
progetti
e
documenti
non
devono
essere
pubblicati,
condivisi
o
scambiati
attraverso
piattaforme
terze.
Uno
degli
elementi
fondamentali
da
associare
a
questo
punto
è
una
corretta
policy
documentale:
in
questo
modo
gli
utenti
possono
comprendere
un
maniera
immediata
gli
usi
che
possono
essere
fatti
di
determinate
informazioni.
Deve
comunque
essere
ribadito
il
fatto
che
le
informazioni
riservate
non
possono
e
non
devono
essere
condivise
sui
Social
Media:
diventa
quindi
importante
ribadire
un
concetto
fondamentale,
ovvero
che
all’interno
dei
Social
Media
la
privacy
è
un
concetto
quasi
del
tutto
assente
e
che
quello
che
viene
condiviso
deve
ritenersi
sempre
diffuso
e
pubblico.
• Riferimento
a
sistemi
di
monitoraggio
attivi:
onde
evitare
la
violazione
dello
statuto
dei
lavoratori
è
necessario
informare
i
dipendenti
qualora
si
usino
strumenti
di
monitoraggio.
Il
monitoraggio
non
deve
essere
fatto
sui
singoli
utenti,
ma
sul
brand
e
su
keyword
generiche
e
non
deve
essere
legato
a
comunicazioni
private.
Possono
essere
monitorate
e
controllate
le
discussioni
e
gli
update
diffusi
pubblicamente
e
indicizzati
dai
motori
di
ricerca.
• Uso
dei
loghi
e
del
nome
dell’azienda:
in
modo
da
limitare
i
danni
di
reputazione
e
d’immagine
dell’azienda
è
fondamentale
definire
in
quali
casi
può
essere
usato
il
logo
o
il
nome
dell’azienda
e
quali
possono
essere
le
eccezioni.
Vietare
completamente
l’uso
del
nome
o
del
logo
può
infatti
porre
al
riparo
da
alcuni
rischi
ma
ridurre
le
opportunità
aziendali
dato
che
avverrebbe
un
azzeramento
delle
attività
e
delle
iniziative
di
personal