Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Mauro Montineri : 5 Settembre 2022 08:00
Autore: Mauro Montineri
Sappiamo che il rischio può essere definito come incertezza del futuro mancando qualsiasi elemento che permetta di studiare e valutare eventi futuri ancorché essi possano essere verosimili o probabili. Questo è ancor più vero quando parliamo di metaverso dove un’incertezza ulteriore è rappresentata da come evolveranno le tecnologie abilitanti, i contesti, le piattaforme operative, e lo studio del rischio potrà dipendere da diversi approcci e dalle diverse metodologie e standard che potranno affermarsi.
Possiamo però stabilire, come già ci siamo detti in precedenti occasioni, che l’attenzione si rivolgerà anche e forse in via prioritaria alla gestione delle metaidentità e ai profili ad esse connesse.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ci stiamo accingendo ad analizzare uno scenario dove molti elementi sono quindi ancora in fase di definizione ed altri addirittura ancora totalmente indefiniti, è facile pertanto comprendere come lo stesso studio del rischio abbia livelli di complessità maggiori rispetto a quelli di scenari noti e definiti da tempo.
Tutto ciò premesso, ci si pone ora una domanda precisa: “per lo studio del rischio di questo scenario metaversale possiamo comunque prendere a riferimento lo standard ISO/IEC 27001:2013 (e la sua evoluzione in ISO/IEC 27001:2022 di prossima emanazione)?”.
Lo standard, nella sua clausola 6.1, prevede che l’organizzazione definisca ed applichi un processo di valutazione del rischio relativo alla sicurezza delle informazioni. Tale processo, tra le altre cose, richiede che vengano “stabiliti e mantenuti i criteri di rischio relativi alla sicurezza delle informazioni” e identificati i rischi “applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni”.
Per tale processo di valutazione del rischio si può ricorrere (anche e non solo) alla norma ISO/IEC 27005 che tratta specificatamente della gestione del rischio nel contesto della sicurezza dei sistemi informativi. Tale linea guida non indica però alcuna metodologia specifica per la gestione dei rischi per la sicurezza delle informazioni, ma piuttosto lascia libertà all’organizzazione di definire un proprio approccio, in base al contesto di gestione del rischio stesso, dando un chiaro riferimento ad un’altra importante linea guida in materia di rischi, la ISO 31010.
Dunque, sfruttando tale grado di libertà cerchiamo di definire un possibile approccio metodologico per la gestione del rischio che possa essere applicabile al metaverso.
Sappiamo che il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.
Sappiamo inoltre che per una valutazione che abbia un fondamento di ragionevolezza è necessario stimare, la probabilità che una minaccia raggiunga una vulnerabilità esposta. Per quanto riguarda la probabilità di accadimento delle minacce è importante sottolineare che, proprio perché stiamo analizzando un contesto completamente nuovo come il metaverso, non esiste una frequenza storica delle minacce stesse e quindi non possiamo legare il rischio alle probabilità di accadimento.
Pertanto, un possibile approccio alternativo per lo studio del rischio nella sua componente di probabilità di accadimento, potrebbe essere quello di legarlo non più alle probabilità che una minaccia raggiunga il suo “obiettivo” ma alle vulnerabilità (ossia le debolezze intrinseche di un processo, di un servizio o di un asset che, se sfruttate da una o più minacce, consentono una violazione della sicurezza delle informazioni), a loro volta correlabili ai comportamenti (behaviour) che le metaidentità possono avere nelle loro differenti possibili dimensioni spazio-temporali.
Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati (di cui sopra un timido esempio) questo nuovo contesto ci porta ad introdurne di nuovi. Uno di questi è sicuramente quello che possiamo definire impatto percettivo – non ancora analizzabile compiutamente in tutte le sue conseguenze – che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, una data disruption per una delle metaidentità che ne altera il normale scorrere del tempo, modifica l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure un danno derivante da qualcosa che altera i sensori utilizzati per trasmettere una sensazione tattile.
Da sottolineare infine che, nell’analisi del rischio applicata al metaverso, per gli impatti – analogamente a quanto dovremo fare quando tratteremo le minacce – sarà utile distinguere tra impatti diretti, ossia riguardanti il gestore delle metaidentità, e indiretti, ossia riguardanti le metaidentità stesse.
Il viaggio continua…stay tuned!
Mauro MontineriNegli ultimi giorni, il panorama della cybersecurity italiana è stato scosso da una serie di massicci data leak che hanno esposto centinaia di migliaia di informazioni sensibili di cittadini e az...
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessle...
Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi...
Negli ultimi giorni, un utente del forum underground “BreachForums” ha pubblicato un annuncio riguardante la presunta vendita di accessi a caselle di posta elettronica appartenenti al Mi...
Negli Stati Uniti è stata individuata una nuova frode: i criminali inviano false richieste di riscatto via posta per conto del gruppo BianLian. Le buste indicano che il mittente è “BI...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
