Mauro Montineri : 25 Maggio 2022 07:00
Autore: Mauro Montineri
Data Pubblicazione: 20/05/2022
Lo spostamento di parte della nostra vita e delle nostre interazioni sempre più verso il mondo digitale fa sì che il dato diventi sempre più pervasivo, si può pertanto senza alcun dubbio affermare che ormai il dato è tutto e tutto è dato.
Basti infatti pensare all’incremento di digitalizzazione che si è avuto nel quotidiano con la pandemia (smart working, didattica a distanza, maggiore uso delle piattaforme di intrattenimento, aumentata interazione con gli shop online) o a quello che si sta avendo con l’introduzione del 5G che permette, tra le altre cose, di gestire in un km2 fino ad 1 milione di dispositivi IoT in grado di raccogliere e gestire dati.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Una conseguenza di tutto ciò è l’aumento delle dimensioni della nostra impronta digitale da intendersi non tanto, e non solo, nell’accezione classica di quantità di dati ma piuttosto come le dimensioni della nostra identità digitale – ossia delle rappresentazioni digitali di noi stessi – che possono essere molteplici e mutare nello spazio e nel tempo, a seconda del momento e del servizio che stiamo utilizzando.
Tutto questo si può sintetizzare introducendo il concetto di metaidentità, intesa come multidimensionalità dell’identità digitale.
Un perfetto esempio di questa multidimensionalità è la virtualità del metaverso, che diventerà sempre più parte della nostra quotidianità (giusto dei primi di aprile l’apertura a Milano del primo metabar del mondo[1], di inizio maggio la prima partita al mondo trasmessa da Lega Serie A nel metaverso), popolato dai nostri gemelli virtuali e da avatar, con tutte le implicazioni e le problematiche non solo di cybersecurity o safety ma anche di natura etica che stanno pian piano emergendo.
Questa nuova forma di multidimensionalità, prendendo in prestito il concetto di network slicing[2] dal 5G, potrebbe essere rappresentata graficamente associando ogni identità ad una slice spazio-temporale dinamica che muta nello spazio e nel tempo. La metaidentità di ciascun individuo è quindi da intendersi come l’unione di tutte le slice ad esso associate.
In questo scenario, accanto alla formazione, diventa sempre più importante la consapevolezza, che in un contesto di multidimensionalità dell’identità digitale può essere assimilato alla consapevolezza del sé di Platone, affinché si sia edotti sulle opportunità, i rischi e le possibili contromisure applicabili ad ogni dimensione del sé.
Con queste premesse diventa facile comprendere perché il dato è tutto e tutto è dato. Infatti, lato utente tutto è dato, perché ogni oggetto o servizio che viene acquistato o utilizzato genera dati collegati ad una o più dimensioni dell’identità digitale; lato fornitori di servizi il dato è tutto, in quanto è l’asset di maggior valore per un’azienda, correlato alle identità digitali dei propri clienti e, come tale, deve essere protetto.
Per proteggere questo asset, al momento ci vengono sicuramente in aiuto i vari standard o le linee guida che si occupano della gestione della sicurezza delle informazioni, come appunto quelli della famiglia ISO/IEC 27K nelle sue varie declinazioni [telco (27011), cloud (27017), energy (27019), medical device (27779)] o anche la ISO/IEC 22301 (strettamente connessa alla ISO 55000 per l’asset management).
Poiché al variare della nostra identità digitale nel tempo e nello spazio variano i profili di rischio associati ed associabili, quindi varia la superficie di attacco, diventa fondamentale valutare se e quanto questi standard siano sufficienti o sia forse necessario integrarli o definirne di nuovi per colmare eventuali gap e così indirizzare le contromisure di sicurezza sulle nuove dimensioni associate all’identità dell’utente.
Alla metaidentità sono associabili nuove minacce, nuovi profili di rischio che portano ad una multidimensionalità delle superfici di attacco.
Per essere più chiari, in una dimensione del metaverso potrei avere un mio gemello digitale che possiede il dato del mio patrimonio genetico e partecipa a sperimentazioni mediche, mentre in un’altra potrei avere un altro gemello digitale che frequenta coffee shop.
Di sicuro entrambi hanno un senso qui ed ora, ossia sono dimensioni della mia identità delle quali, nel momento in cui le creo, ho volontà e consapevolezza ma che, proprio per la loro natura multiforme, devono essere assolutamente separate e protette in quanto potrebbero comportare dei problemi qualora queste dimensioni dovessero collidere o ci fosse una violazione nello spazio e nel tempo presente e/o futuro.
In questo mutato contesto di riferimento la Compliance ha il compito di definire nuove politiche, regole e modelli e verificare la conformità dei processi e delle tecnologie rispetto alle norme applicabili. A tale scopo verrà in aiuto la nuova ISO/IEC 27002 che raccoglie l’esigenza delle organizzazioni pubbliche e private di disporre, in un unico testo, di tutti i controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioni, protezione dei dati personali e cybersecurity.
Nel dettaglio, rispetto alla versione precedente, si passa da una suddivisione in 14 capitoli a una categorizzazione dei controlli in 4 gruppi (controlli relativi alle persone, controlli di tipo fisico, controlli di tipo tecnologico, controlli organizzativi) con associati 5 attributi (Tipo di controllo[3], Proprietà di sicurezza delle informazioni[4], Concetti del framework di cybersecurity – ISO/IEC 27110[5], Capacità operative[6], Domini di sicurezza[7]) tramite i quali è possibile filtrare, ordinare e presentare i controlli da diversi punti di osservazione a seconda degli interlocutori interessati alla loro analisi.
Questo approccio è ovviamente applicabile a quelle che sono le dimensioni spazio-temporali della nostra identità digitale finora conosciute. Per quelle che verranno introdotte nel medio e lungo orizzonte temporale si potrebbe cercare di anticiparle, sia in termini di minacce sia di possibili contromisure, facendo ricorso alle metodologie di horizon scanning e di analisi dei segnali deboli, ossia quelle metodologie che – attraverso un esame sistematico delle potenziali minacce ed opportunità – hanno come scopo quello di identificare fattori di rischio ed aspetti che saranno strategici ed importanti nel futuro (cfr. BS 11204:2014, in particolare fase 4.4 “Anticipate and assess”).
[1]http://www.ansa.it/canale_terraegusto/notizie/postit/Heineken/2022/03/17/a-milano-inaugurato-primo-metabar-del-mondo_83325cf0-ec76-4628-90b0-b368b0a93c73.html
[2] Tecnica per segmentare la rete in sottoreti logicamente separate tra loro, indipendenti e con misure di protezione specifiche
[3] preventivo, di rilevazione, correttivo
[4] confidenzialità, integrità, disponibilità
[5] Identificare, Proteggere, Rilevare, Rispondere, Ripristinare
[6] Governo, Gestione degli asset, Protezione delle informazioni, Sicurezza nelle risorse umane, Sicurezza fisica, Sicurezza di reti e sistemi, Sicurezza delle applicazioni, Configurazione sicura, Gestione delle identità e degli accessi, Gestione di minacce e vulnerabilità, Continuità, Sicurezza nelle relazioni con fornitori, Legale e Conformità, Gestione degli eventi di sicurezza delle informazioni e Garantire la sicurezza delle informazioni
[7] Governo e Ecosistema, Protezione, Difesa e Resilienza