Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Mauro Montineri : 5 Settembre 2022 08:00
Autore: Mauro Montineri
Sappiamo che il rischio può essere definito come incertezza del futuro mancando qualsiasi elemento che permetta di studiare e valutare eventi futuri ancorché essi possano essere verosimili o probabili. Questo è ancor più vero quando parliamo di metaverso dove un’incertezza ulteriore è rappresentata da come evolveranno le tecnologie abilitanti, i contesti, le piattaforme operative, e lo studio del rischio potrà dipendere da diversi approcci e dalle diverse metodologie e standard che potranno affermarsi.
Possiamo però stabilire, come già ci siamo detti in precedenti occasioni, che l’attenzione si rivolgerà anche e forse in via prioritaria alla gestione delle metaidentità e ai profili ad esse connesse.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ci stiamo accingendo ad analizzare uno scenario dove molti elementi sono quindi ancora in fase di definizione ed altri addirittura ancora totalmente indefiniti, è facile pertanto comprendere come lo stesso studio del rischio abbia livelli di complessità maggiori rispetto a quelli di scenari noti e definiti da tempo.
Tutto ciò premesso, ci si pone ora una domanda precisa: “per lo studio del rischio di questo scenario metaversale possiamo comunque prendere a riferimento lo standard ISO/IEC 27001:2013 (e la sua evoluzione in ISO/IEC 27001:2022 di prossima emanazione)?”.
Lo standard, nella sua clausola 6.1, prevede che l’organizzazione definisca ed applichi un processo di valutazione del rischio relativo alla sicurezza delle informazioni. Tale processo, tra le altre cose, richiede che vengano “stabiliti e mantenuti i criteri di rischio relativi alla sicurezza delle informazioni” e identificati i rischi “applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni”.
Per tale processo di valutazione del rischio si può ricorrere (anche e non solo) alla norma ISO/IEC 27005 che tratta specificatamente della gestione del rischio nel contesto della sicurezza dei sistemi informativi. Tale linea guida non indica però alcuna metodologia specifica per la gestione dei rischi per la sicurezza delle informazioni, ma piuttosto lascia libertà all’organizzazione di definire un proprio approccio, in base al contesto di gestione del rischio stesso, dando un chiaro riferimento ad un’altra importante linea guida in materia di rischi, la ISO 31010.
Dunque, sfruttando tale grado di libertà cerchiamo di definire un possibile approccio metodologico per la gestione del rischio che possa essere applicabile al metaverso.
Sappiamo che il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.
Sappiamo inoltre che per una valutazione che abbia un fondamento di ragionevolezza è necessario stimare, la probabilità che una minaccia raggiunga una vulnerabilità esposta. Per quanto riguarda la probabilità di accadimento delle minacce è importante sottolineare che, proprio perché stiamo analizzando un contesto completamente nuovo come il metaverso, non esiste una frequenza storica delle minacce stesse e quindi non possiamo legare il rischio alle probabilità di accadimento.
Pertanto, un possibile approccio alternativo per lo studio del rischio nella sua componente di probabilità di accadimento, potrebbe essere quello di legarlo non più alle probabilità che una minaccia raggiunga il suo “obiettivo” ma alle vulnerabilità (ossia le debolezze intrinseche di un processo, di un servizio o di un asset che, se sfruttate da una o più minacce, consentono una violazione della sicurezza delle informazioni), a loro volta correlabili ai comportamenti (behaviour) che le metaidentità possono avere nelle loro differenti possibili dimensioni spazio-temporali.
Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati (di cui sopra un timido esempio) questo nuovo contesto ci porta ad introdurne di nuovi. Uno di questi è sicuramente quello che possiamo definire impatto percettivo – non ancora analizzabile compiutamente in tutte le sue conseguenze – che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, una data disruption per una delle metaidentità che ne altera il normale scorrere del tempo, modifica l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure un danno derivante da qualcosa che altera i sensori utilizzati per trasmettere una sensazione tattile.
Da sottolineare infine che, nell’analisi del rischio applicata al metaverso, per gli impatti – analogamente a quanto dovremo fare quando tratteremo le minacce – sarà utile distinguere tra impatti diretti, ossia riguardanti il gestore delle metaidentità, e indiretti, ossia riguardanti le metaidentità stesse.
Il viaggio continua…stay tuned!
Mauro MontineriNel mondo digitale odierno, dove le minacce informatiche si evolvono a un ritmo vertiginoso, la gestione efficace del tempo è diventata un elemento imprescindibile per garantire la sicurezza dei ...
Molte persone ammettono di avere difficoltà a trovare il partner giusto, quindi non c’è da stupirsi che, con l’avanzamento della tecnologia, sempre più di loro si rivolgan...
Negli ultimi giorni, DeepSeek, l’innovativa piattaforma cinese di intelligenza artificiale, è diventata il bersaglio di attacchi informatici sempre più sofisticati e aggressivi. ...
Il gruppo di hacktivisti russi OverFlame ha sferrato un nuovo attacco DDoS (Distributed Denial of Service) contro il Ministero della Difesa italiano il 30 di gennaio, segnando la seconda offensiva in ...
La scorsa settimana, la società cinese DeepSeek ha rilasciato R1, il suo nuovo modello linguistico, scatenando un’ondata di reazioni nel settore dell’intelligenza artificiale. Non s...
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009
