Mauro Montineri : 25 Maggio 2022 07:00
Autore: Mauro Montineri
Data Pubblicazione: 20/05/2022
Lo spostamento di parte della nostra vita e delle nostre interazioni sempre più verso il mondo digitale fa sì che il dato diventi sempre più pervasivo, si può pertanto senza alcun dubbio affermare che ormai il dato è tutto e tutto è dato.
Basti infatti pensare all’incremento di digitalizzazione che si è avuto nel quotidiano con la pandemia (smart working, didattica a distanza, maggiore uso delle piattaforme di intrattenimento, aumentata interazione con gli shop online) o a quello che si sta avendo con l’introduzione del 5G che permette, tra le altre cose, di gestire in un km2 fino ad 1 milione di dispositivi IoT in grado di raccogliere e gestire dati.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una conseguenza di tutto ciò è l’aumento delle dimensioni della nostra impronta digitale da intendersi non tanto, e non solo, nell’accezione classica di quantità di dati ma piuttosto come le dimensioni della nostra identità digitale – ossia delle rappresentazioni digitali di noi stessi – che possono essere molteplici e mutare nello spazio e nel tempo, a seconda del momento e del servizio che stiamo utilizzando.
Tutto questo si può sintetizzare introducendo il concetto di metaidentità, intesa come multidimensionalità dell’identità digitale.
Un perfetto esempio di questa multidimensionalità è la virtualità del metaverso, che diventerà sempre più parte della nostra quotidianità (giusto dei primi di aprile l’apertura a Milano del primo metabar del mondo[1], di inizio maggio la prima partita al mondo trasmessa da Lega Serie A nel metaverso), popolato dai nostri gemelli virtuali e da avatar, con tutte le implicazioni e le problematiche non solo di cybersecurity o safety ma anche di natura etica che stanno pian piano emergendo.
Questa nuova forma di multidimensionalità, prendendo in prestito il concetto di network slicing[2] dal 5G, potrebbe essere rappresentata graficamente associando ogni identità ad una slice spazio-temporale dinamica che muta nello spazio e nel tempo. La metaidentità di ciascun individuo è quindi da intendersi come l’unione di tutte le slice ad esso associate.
In questo scenario, accanto alla formazione, diventa sempre più importante la consapevolezza, che in un contesto di multidimensionalità dell’identità digitale può essere assimilato alla consapevolezza del sé di Platone, affinché si sia edotti sulle opportunità, i rischi e le possibili contromisure applicabili ad ogni dimensione del sé.
Con queste premesse diventa facile comprendere perché il dato è tutto e tutto è dato. Infatti, lato utente tutto è dato, perché ogni oggetto o servizio che viene acquistato o utilizzato genera dati collegati ad una o più dimensioni dell’identità digitale; lato fornitori di servizi il dato è tutto, in quanto è l’asset di maggior valore per un’azienda, correlato alle identità digitali dei propri clienti e, come tale, deve essere protetto.
Per proteggere questo asset, al momento ci vengono sicuramente in aiuto i vari standard o le linee guida che si occupano della gestione della sicurezza delle informazioni, come appunto quelli della famiglia ISO/IEC 27K nelle sue varie declinazioni [telco (27011), cloud (27017), energy (27019), medical device (27779)] o anche la ISO/IEC 22301 (strettamente connessa alla ISO 55000 per l’asset management).
Poiché al variare della nostra identità digitale nel tempo e nello spazio variano i profili di rischio associati ed associabili, quindi varia la superficie di attacco, diventa fondamentale valutare se e quanto questi standard siano sufficienti o sia forse necessario integrarli o definirne di nuovi per colmare eventuali gap e così indirizzare le contromisure di sicurezza sulle nuove dimensioni associate all’identità dell’utente.
Alla metaidentità sono associabili nuove minacce, nuovi profili di rischio che portano ad una multidimensionalità delle superfici di attacco.
Per essere più chiari, in una dimensione del metaverso potrei avere un mio gemello digitale che possiede il dato del mio patrimonio genetico e partecipa a sperimentazioni mediche, mentre in un’altra potrei avere un altro gemello digitale che frequenta coffee shop.
Di sicuro entrambi hanno un senso qui ed ora, ossia sono dimensioni della mia identità delle quali, nel momento in cui le creo, ho volontà e consapevolezza ma che, proprio per la loro natura multiforme, devono essere assolutamente separate e protette in quanto potrebbero comportare dei problemi qualora queste dimensioni dovessero collidere o ci fosse una violazione nello spazio e nel tempo presente e/o futuro.
In questo mutato contesto di riferimento la Compliance ha il compito di definire nuove politiche, regole e modelli e verificare la conformità dei processi e delle tecnologie rispetto alle norme applicabili. A tale scopo verrà in aiuto la nuova ISO/IEC 27002 che raccoglie l’esigenza delle organizzazioni pubbliche e private di disporre, in un unico testo, di tutti i controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioni, protezione dei dati personali e cybersecurity.
Nel dettaglio, rispetto alla versione precedente, si passa da una suddivisione in 14 capitoli a una categorizzazione dei controlli in 4 gruppi (controlli relativi alle persone, controlli di tipo fisico, controlli di tipo tecnologico, controlli organizzativi) con associati 5 attributi (Tipo di controllo[3], Proprietà di sicurezza delle informazioni[4], Concetti del framework di cybersecurity – ISO/IEC 27110[5], Capacità operative[6], Domini di sicurezza[7]) tramite i quali è possibile filtrare, ordinare e presentare i controlli da diversi punti di osservazione a seconda degli interlocutori interessati alla loro analisi.
Questo approccio è ovviamente applicabile a quelle che sono le dimensioni spazio-temporali della nostra identità digitale finora conosciute. Per quelle che verranno introdotte nel medio e lungo orizzonte temporale si potrebbe cercare di anticiparle, sia in termini di minacce sia di possibili contromisure, facendo ricorso alle metodologie di horizon scanning e di analisi dei segnali deboli, ossia quelle metodologie che – attraverso un esame sistematico delle potenziali minacce ed opportunità – hanno come scopo quello di identificare fattori di rischio ed aspetti che saranno strategici ed importanti nel futuro (cfr. BS 11204:2014, in particolare fase 4.4 “Anticipate and assess”).
[1]http://www.ansa.it/canale_terraegusto/notizie/postit/Heineken/2022/03/17/a-milano-inaugurato-primo-metabar-del-mondo_83325cf0-ec76-4628-90b0-b368b0a93c73.html
[2] Tecnica per segmentare la rete in sottoreti logicamente separate tra loro, indipendenti e con misure di protezione specifiche
[3] preventivo, di rilevazione, correttivo
[4] confidenzialità, integrità, disponibilità
[5] Identificare, Proteggere, Rilevare, Rispondere, Ripristinare
[6] Governo, Gestione degli asset, Protezione delle informazioni, Sicurezza nelle risorse umane, Sicurezza fisica, Sicurezza di reti e sistemi, Sicurezza delle applicazioni, Configurazione sicura, Gestione delle identità e degli accessi, Gestione di minacce e vulnerabilità, Continuità, Sicurezza nelle relazioni con fornitori, Legale e Conformità, Gestione degli eventi di sicurezza delle informazioni e Garantire la sicurezza delle informazioni
[7] Governo e Ecosistema, Protezione, Difesa e Resilienza
Mauro MontineriQualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...
Il Dipartimento di Giustizia degli Stati Uniti ha ricevuto l’autorizzazione del tribunale per condurre un’ispezione a distanza dei server di Telegram nell’ambito di un’indagine sullo sfruttame...
Le principali agenzie di tutto il mondo, hanno lanciato l’allarme per una minaccia critica all’infrastruttura di rete: le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA) e F...
Sei stanco dei noiosi corsi di formazione in e-learning? Vuoi davvero far comprendere ai dipendenti della tua azienda i comportamenti sbagliati ed errati per poterla mettere al sicuro? Bene! E’ arri...
Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un ...
