Un decalogo per la sicurezza del Community Manager
Le aziende, i Social Media Manager e i Community Manager stanno scoprendo come i Social Media possano essere infidi ed essere causa di sorprese molto negative. Ormai gli attacchi e le sottrazioni delle pagine sono all’ordine del giorno: ecco perché ho preparato un breve decalogo di consigli legati alla sicurezza dei Social Media.
Si tratta di 10 suggerimenti da seguire per limitare la possibilità che le nostre pagine e i nostri account vengano compromessi. Si tratta di consigli non tanto legati alla tecnologia, ma ai comportamenti che i Community Manager (e in generale tutti gli utenti) dovrebbero seguire per ridurre i rischi 1.
- Succederà: preparati. Un attacco informatico, la sottrazione di un account o di una pagina non è una questione di “se” ma di “quando”: prima o poi avverrà. Partendo dall’assunto che succederà è necessario prepararsi a gestire i rischi, la crisi ed organizzare il tutto 2.
- Crea password robuste. “12345”, “qwerty”, “password” o variazioni sul tema sono da eliminare. Anche parole comuni, elementi noti (nomi e date importanti), maiuscole all’inizio e punti esclamativi alla fine sono da evitare 3 è da dimenticare. Una bella frase con qualche errore di grammatica è perfetta (ad esempio: L’attimo-fuggiente). Vale anche per il telefono: blocco dello schermo e password sono un obbligo. 4
- Usa password diverse. Mai usare la stessa password per piattaforme diverse: a un attaccante basta trovare quella di una piattaforma (che non usate più magari) per accedere a tutte le altre. Anche usare password ricorrenti (nomeservizio + password) non è una valida alternativa. Io uso un password manager: semplice, non devo ricordarle, sono tutte diverse e robuste. Importante: le password non si scambiano, non si condividono, non si conservano su un file di testo o su un excel.
- Impedisci la proliferazione degli admin. Più gestori dei canali ci sono, più persone hanno accesso, più diventa difficile proteggere il presidio (pagina Facebook, profilo Twitter, etc). Il numero di persone che può usare il canale deve essere limitato e bisogna sapere chi può accedere 5. Alcune piattaforme permettono di dare permessi diversi: fatelo 6
- Limita il numero di informazioni pubbliche. Avere un profilo completamente pubblico non è una buona idea, diffondere sempre e comunque tutte le proprie informazioni personali su varie piattaforme è una pessima idea. Se un attaccante, in 30 secondi, è in grado di capire quale agenzia gestisce una pagina, chi sono i community manager e ottenere tutti i loro dati è pericoloso. Bisogna limitare il numero di informazioni pubbliche: se però si vuole essere completamente trasparenti (possibile) bisogna essere particolarmente attenti (e lo devono essere anche i nostri collaboratori.
- Controlla il numero di app e di piattaforme. Più applicazioni per gestire, misurare, analizzare, tagliuzzare colleghiamo ai nostri account, più l’esposizione aumenta. Ogni tanto è bene fare una revisione delle applicazioni collegate con i nostri account e rimuovere quelle che non si usano. La stessa cosa vale per le piattaforme: a tutti noi piace esplorare le nuove piattaforme, ma quanti si ricordano a quali e quanti sono iscritti? Sono sicuro che avete ancora il vostro account plurk (e magari la password non è robusta). Anche per il telefono vale questo discorso: non installate qualunque cosa senza guardare.
- Fai attenzioni ai contatti. L’autenticazione sui Social Network è particolarmente debole, fingersi qualcuno è relativamente semplice, chiedere l’amicizia è banale. Una persona che entra nel nostra cerchia di amici può accedere a molte più informazioni (rendendo inutile il profilo chiuso) e tenderemo a fidarci di più quando ci manderà un link o ci farà una domanda (magari lavorativa che sembra ingenua, ma ha un doppio fine). Quindi amicizia, contatto, etc. vanno date con attenzione.
- Il phishing funziona. Qualcuno potrebbe cercare di sottrarvi le credenziali chiedendovele per posta, per telefono , con un messaggio privato . Questi messaggi vanno segnalati, finire direttamente nel cestino e i link non si devono aprire: in alcuni casi visitare un sito è più che sufficiente per compromettere un account. La stessa cosa vale per le app, per i video esclusivi su Facebook, sulle applicazioni che promettono miracoli: evitare, segnalare come spam, ignorare completamente 7.
- Ricordati di fare logout. Quando avete finito di lavorare o se non userete le piattaforme per un po’ di tempo uscite fa Facebook, Twitter etc. tanto, con il password manager bastano due click. È molto importante perché l’hijacking di sessione non è così complesso da realizzare, anzi, è piuttosto banale.
- Agisci consapevolmente. Il web, i Social Media e i Social Network sono meravigliosi, ma non sono l’eden. Così come nel mondo reale c’è qualcuno che proverà a usarli in maniera impropria, cercherà di rubare l’identità o gli account, di sottrarre le password e frodare il prossimo. Non bisogna nemmeno rinunciare completamente: bisogna lavorare e agire in maniera consapevole tenendo sempre a mente i pericoli e le opportunità. Formazione, studio e aggiornamento sono fondamentali 8
Se volete approfondire il tema su sicurezza e Social Media un piccolo consiglio*
*Disclaimer: lavoro al Cefriel e mi occupo di Social Media, Sicurezza e sono uno degli autori del paper linkato.
[hr]
Featured image Photo by pasukaru76 – http://flic.kr/p/75QQJP
Note:
- Le contromisure possono essere tecnologiche, di processo e di comportamento dei singoli. Personalmente ritengo il fattore umano centrale perché gli utenti tendono ad eludere processi e le contromisure tecnologiche se non capiscono il valore delle attività che fanno e i pericoli ai quali si espongono ↩
- se gestione del rischio e della crisi non fanno suonare dei campanelli, degli strumenti, dei processi e delle attività specifiche c’è un problema ↩
- Tutto quello che è nell’elenco delle 500 worst passord ↩
- Una persona che prende in mano il telefono di un community manager può accedere a tutte le vostre applicazioni, mail, etc. volete davvero correre questo rischio? No ↩
- Ci sono situazioni in cui ci sono più di 100 admin o persone con le credenziali di accesso: molto male. ↩
- è difficile dire di “no, non ti posso rendere admin” a un AD o al responsabile di progetto ed è altrettanto difficile dirgli di rendere sicuro il suo account: limitare i permessi è un’ottima soluzione. ↩
- Se volete guardare quel link fatelo in una virtual machine creata ad hoc per questo scopo. ↩
- un bell’assessment ogni tanto farebbe solo bene ↩
Strano che nell’elenco delle 500 password peggiori non ci sia ••••••••, la vedo sempre usare su tutti i Mac. 😀
LOL 😀