Nel 2016 si è registrata un’escalation di attacchi informatici senza precedenti e le piattaforme di condivisione, ormai imprescindibili anche per le aziende, non sono immuni. Ecco un’analisi e alcuni suggerimenti.
Il fenomeno dei social media ha sicuramente stravolto la società, con un impatto prevalentemente positivo su di essa, sugli utenti connessi alla rete e sul business delle aziende. Non sono da sottovalutare però i relativi rischi informatici, che a giudicare dai rapporti più recenti, autorizzano a lanciare un “allarme rosso” diffuso e crescente. L’adozione dei Social Media è certamente raccomandata alle imprese italiane per finalità di brand awareness e business growth, ma è necessario farlo in modo intelligente e competente, smettendo di credere che i “social sono gratis” e assegnando adeguate risorse di budget e strumenti a professionisti preparati.
Come dicevamo, è allarme rosso! Lo dicono i numeri: il rapporto Clusit sulla sicurezza ICT in Italia nel 2016, evidenzia una situazione seriamente preoccupante. Un risultato dovuto all’aumento costante della superficie di attacco esposta dalla nostra società digitale: si pensi non solo alla penetrazione crescente dello smart working realizzato tramite un mix di strumenti mobile, Cloud e social, spesso utilizzati in modo promiscuo (mescolando senza criterio la vita digitale personale con quella lavorativa), ma anche alla diffusione di device IoT, tipicamente privi delle più elementari misure di sicurezza, non più solo in ambito consumer ma anche in contesti produttivi. A questi fenomeni corrisponde la crescente aggressività dei criminali informatici che approfittando delle numerose vulnerabilità del sistema.
Nel dettaglio:
Possiamo quindi affermare che il 2016 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce cyber.
Fonte: Rapporto Clusit 2017
Le principali minacce derivanti dall’uso dei Social Media si possono riassumere in:
Le minacce specifiche derivanti dall’uso dei Social Media in ambito business si possono riassumere in:
Allargando il focus, la classificazione dei rischi si può riassumere in tre macro aree:
Relazionali: il verificarsi di eventi dannosi può incidere sull’immagine e sulla credibilità dell’azienda nei confronti di clienti, partner e fornitori determinando possibili perdite economiche. Si potrebbero verificare attacchi di tipo hijacking tramite l’esposizione fraudolenta del brand su portali di Social Media. Potrebbero essere pubblicate pagine ad-hoc con lo scopo di apportare un danno reputazionale alla società stessa. Un dipendente della società potrebbe, infine, utilizzare il proprio account personale per la comunicazione di informazioni concernenti la sfera lavorativa.
Operativi: attività dei dipendenti condizionata dalla commistione tra dati personali e aziendali. Diffusione di malware. L’infezione su un dispositivo potrebbe estendersi all’intera rete aziendale con conseguenti possibili perdite/furti di informazioni confidenziali e rallentamenti dei sistemi. Potrebbero verificarsi dei furti d’identità: la condivisione di informazioni tra i membri di una stessa community, infatti, rende possibile ad un malintenzionato di sottrarre informazioni potenzialmente critiche. Inoltre le tecniche di Phishing e Social Engineering risultano essere utilizzate sempre più spesso per circuire le persone ed ottenere informazioni che dovrebbero invece rimanere riservate.
Conformità: il trattamento dei dati non conforme alla policy aziendale (quando esiste). Un trattamento dei dati non conforme alla normativa vigente, ad esempio al d.lgs. 196/03 relativo alla Privacy, potrebbe essere causato dalla diffusione di informazioni personali/sensibili a personale non autorizzato al trattamento dei dati dell’interessato. Analogamente potrebbero essere considerati casi relativi all’applicazione del d.lgs. 231/2001 sulla responsabilità amministrativa d’impresa. Inoltre l’eventuale utilizzo dei Social Media per scopi sia personali sia professionali aumenta il rischio di utilizzare un account aziendale per comunicazioni personali o per esprimere opinioni personali.
Una strategia per affrontare i rischi relativi ai Social Media deve concentrarsi, innanzitutto, sugli aspetti organizzativi connessi alla gestione della presenza dell’azienda sulle piattaforme Social Media, sia con un ruolo passivo che attivo. L’accesso alle pagine aziendali sui Social Media da parte dei dipendenti, dei collaboratori o dei partner deve essere regolato da apposite policy. La formazione dovrebbe essere effettuata regolarmente, focalizzata su benefici, opportunità e potenziali rischi connessi all'utilizzo dei Social Media. Particolare enfasi dovrebbe essere posta sui metodi di Social Engineering, sugli exploit più comuni e sulle minacce alla privacy che presentano i Social Media, in modo di aumentare la consapevolezza dei rischi. Infine devono essere sfruttate soluzioni tecnologiche atte a prevenire, individuare ed eventualmente bloccare potenziali incidenti. In tal senso i sistemi di content filtering e antivirus ed altre soluzioni per la protezione dei sistemi operativi sono particolarmente indicate.
Le Social Media Policy per essere davvero efficaci e assunte come un valore aziendale devono essere condivise dai diversi reparti anche al fine di accrescere il senso di appartenenza all’organizzazione. Una pratica inclusiva, per condividere informazioni non troppo tecniche e complesse. La parola d’ordine è “coinvolgimento”: reparti IT, sicurezza, marketing e legale con attività di formazione e aggiornamento, per definire regole chiare e condivise. Creare una struttura multidisciplinare per la gestione della Social Media Strategy che includa ed integri competenze di Marketing, Legali, di HR, di Risk Management e di Information Security Management. Nominare un unico responsabile per la Social Media Strategy che abbia una visione globale dei problemi e delle opportunità e impiegare persone competenti, eventualmente avvalendosi anche di consulenti esterni.
Vuoi altri suggerimenti su come proteggerti dai crimini informatici? Visita la nostra sezione Cyber Security o contattaci!