I social network rappresentano un aspetto cruciale del nostro vissuto digitale al punto da diventare dei canali di comunicazione privilegiati nelle relazioni umane. Di questo, ormai, ne sono consapevoli anche le aziende e, ciascuna a modo suo, ha iniziato ad inserire i social nelle proprie strategie di comunicazione e marketing. Che sia per curare la propria reputazione online, per mantenere vivo il contatto con i clienti o per vendere nuovi prodotti, i social network sono degli strumenti indispensabili nella cassetta degli attrezzi di un’azienda. Tuttavia, se da un lato il corretto utilizzo di questi canali può portare ad un ritorno positivo in termini di reputation o di vendite, dall’altro vanno considerati seriamente gli aspetti legati alla sicurezza.
Secondo il Content Marketing Institute, ogni azienda utilizza in media sette piattaforme diverse per rimanere in contatto con i propri clienti: da quelle basate principalmente su messaggi di testo come Linkedin e Twitter, a piattaforme video come Youtube, fino ai servizi per pubblicare foto come Instagram. E ovviamente diamo per scontato l’utilizzo di Facebook. Insomma, la finestra attraverso la quale un malintenzionato può spiarci diventa sempre più ampia.
Secondo il 2015 Cyberthreat Defense Report – una ricerca effettuata tra professionisti IT di aziende in Europa e Nord America – i social media vengono percepiti come una delle principali vulnerabilità per la sicurezza aziendale, secondi solo ai dispositivi mobili. Le aziende del settore IT, infatti, sembrano essere quelle che fanno più gola ai malintenzionati. Il motivo è semplice, i dipendenti sono mediamente più giovani rispetto ad altri settori, quindi più inclini all’uso dei social.
Quali sono i rischi per un’azienda derivanti dai social network?
Iniziamo col dire che i rischi possono derivare dai controlli molto blandi da parte le aziende verso i loro canali: un post scritto male o fuori luogo può far trasparire l’inesperienza dell’azienda nell’utilizzo di tali strumenti oppure rivelare informazioni importanti sui dipendenti e le loro funzioni. Questi sono tutti dati che i malintenzionati possono sfruttare per portare avanti attacchi di social engineering.
Sono, infatti, varie e subdole le tecniche per trafugare dati o rubare un’identità tramite i social, una di queste è lo spear phishing, una minaccia che prende di mira chirurgicamente una platea specifica di utenti. In sostanza, l’hacker prova a “familiarizzare” con la vittima, studiandone la presenza online. Comincia, così, a scandagliare i profili social, le email utilizzate, i post recenti. Uno status banale, ad esempio, in cui si manifesta la gioia per l’acquisto di uno smartphone nuovo, può diventare un ottimo argomento da utilizzare per entrare in contatto con il target. La differenza dal phishing tradizionale, sta proprio nel modus operandi, gli attacchi spear phishing hanno come obiettivo un numero ridotto di vittime, di cui l’attaccante ha disegnato un profilo e conosce gli argomenti sui quali far leva nelle email per essere credibile e indurle a cliccare su un link malevolo.
I danni derivanti da un attacco del genere, per un azienda possono tradursi in:
- diffusione di malware all’interno della rete aziendale con conseguente data leak
- uso non autorizzato degli account social aziendali
- condivisione di contenuti non autorizzati
- furto di informazioni riservate
- furto dei dati sensibili dei clienti
- violazione della privacy
- danno di reputazione.
L’importanza di una social media security policy
E’ comunque possibile ridurre il rischio di questo tipo di attacchi definendo in azienda una chiara social media security policy.
I punti possono essere tanti ma eccone alcuni dai quali prendere spunto:
- Educare i dipendenti all’uso dei social network.
E’ difficile evitare che i dipendenti pubblichino contenuti relativi al loro lavoro sui loro profili e, a dire il vero, non avrebbe molto senso. E’ bene, però, definire delle linee guida che stabiliscano quali informazioni, per il bene della sicurezza aziendale, possono essere condivise e quali invece devono restare riservate. - Impostazione corretta della privacy
Molte persone utilizzano i social network, lasciando le impostazioni di privacy di default. Spiegare ai propri dipendenti come impostare la privacy dei loro profili, diventa importante, chiarendo che con i settaggi di default i loro profili sono praticamente “aperti”. - Scrivere una social media policy aziendale relativa ai contenuti
E’ bene chiarire quali sono i contenuti che possono essere condivisi sulle pagine aziendali, quali vanno assolutamente evitate e quale tono-of-voice utilizzare. - Non vietare i social media in ufficio
Ci sarà sempre qualche dipendete che ignorerà questo divieto. A questo punto, può essere preferibile avere delle regole chiare su come utilizzare i social in presenza di contenuti che si riferiscono all’azienda. - Formare i responsabili IT
I responsabili IT devono essere sempre aggiornati sui rischi per la sicurezza derivanti dai social network.
Insomma, gli hacker amano le aziende che usano i social perché potenzialmente offrono una superficie d’attacco più ampia. Come abbiamo appena visto, però, diminuire il rischio di trovarsi in situazioni spiacevoli è possibile e, come spesso accade, più delle soluzione tecnologiche, sono il fattore umano e il buon senso ad essere decisivi.
Facebook Comments