Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Metasicurezza: likelihood o behaviour nell’analisi del rischio?

Mauro Montineri : 5 Settembre 2022 08:00

Autore: Mauro Montineri

Sappiamo che il rischio può essere definito come incertezza del futuro mancando qualsiasi elemento che permetta di studiare e valutare eventi futuri ancorché essi possano essere verosimili o probabili. Questo è ancor più vero quando parliamo di metaverso dove un’incertezza ulteriore è rappresentata da come evolveranno le tecnologie abilitanti, i contesti, le piattaforme operative, e lo studio del rischio potrà dipendere da diversi approcci e dalle diverse metodologie e standard che potranno affermarsi.

Possiamo però stabilire, come già ci siamo detti in precedenti occasioni, che l’attenzione si rivolgerà anche e forse in via prioritaria alla gestione delle metaidentità e ai profili ad esse connesse.


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


Ci stiamo accingendo ad analizzare uno scenario dove molti elementi sono quindi ancora in fase di definizione ed altri addirittura ancora totalmente indefiniti, è facile pertanto comprendere come lo stesso studio del rischio abbia livelli di complessità maggiori rispetto a quelli di scenari noti e definiti da tempo.

Tutto ciò premesso, ci si pone ora una domanda precisa: “per lo studio del rischio di questo scenario metaversale possiamo comunque prendere a riferimento lo standard ISO/IEC 27001:2013 (e la sua evoluzione in ISO/IEC 27001:2022 di prossima emanazione)?”.

Lo standard, nella sua clausola 6.1, prevede che l’organizzazione definisca ed applichi un processo di valutazione del rischio relativo alla sicurezza delle informazioni. Tale processo, tra le altre cose, richiede che vengano “stabiliti e mantenuti i criteri di rischio relativi alla sicurezza delle informazioni” e identificati i rischi “applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni”.

Per tale processo di valutazione del rischio si può ricorrere (anche e non solo) alla norma ISO/IEC 27005 che tratta specificatamente della gestione del rischio nel contesto della sicurezza dei sistemi informativi. Tale linea guida non indica però alcuna metodologia specifica per la gestione dei rischi per la sicurezza delle informazioni, ma piuttosto lascia libertà all’organizzazione di definire un proprio approccio, in base al contesto di gestione del rischio stesso, dando un chiaro riferimento ad un’altra importante linea guida in materia di rischi, la ISO 31010.

Dunque, sfruttando tale grado di libertà cerchiamo di definire un possibile approccio metodologico per la gestione del rischio che possa essere applicabile al metaverso.

Sappiamo che il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.

Sappiamo inoltre che per una valutazione che abbia un fondamento di ragionevolezza è necessario stimare, la probabilità che una minaccia raggiunga una vulnerabilità esposta. Per quanto riguarda la probabilità di accadimento delle minacce è importante sottolineare che, proprio perché stiamo analizzando un contesto completamente nuovo come il metaverso, non esiste una frequenza storica delle minacce stesse e quindi non possiamo legare il rischio alle probabilità di accadimento.

Pertanto, un possibile approccio alternativo per lo studio del rischio nella sua componente di probabilità di accadimento, potrebbe essere quello di legarlo non più alle probabilità che una minaccia raggiunga il suo “obiettivo” ma alle vulnerabilità (ossia le debolezze intrinseche di un processo, di un servizio o di un asset che, se sfruttate da una o più minacce, consentono una violazione della sicurezza delle informazioni), a loro volta correlabili ai comportamenti (behaviour) che le metaidentità possono avere nelle loro differenti possibili dimensioni spazio-temporali.

Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati (di cui sopra un timido esempio) questo nuovo contesto ci porta ad introdurne di nuovi. Uno di questi è sicuramente quello che possiamo definire impatto percettivo – non ancora analizzabile compiutamente in tutte le sue conseguenze – che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, una data disruption per una delle metaidentità che ne altera il normale scorrere del tempo, modifica l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure un danno derivante da qualcosa che altera i sensori utilizzati per trasmettere una sensazione tattile.

Da sottolineare infine che, nell’analisi del rischio applicata al metaverso, per gli impatti – analogamente a quanto dovremo fare quando tratteremo le minacce – sarà utile distinguere tra impatti diretti, ossia riguardanti il gestore delle metaidentità, e indiretti, ossia riguardanti le metaidentità stesse.

Il viaggio continua…stay tuned!

Mauro Montineri
Ingegnere elettronico, Executive master in Privacy e Cyber Security, ha iniziato il proprio percorso professionale sviluppando codice per elicotteri per atterrare poi nel mondo delle telecomunicazioni occupandosi prima di ingegneria del software e di governance ed ora di audit di sicurezza e compliance

Lista degli articoli

Articoli in evidenza

In Nepal si muore per i Social Network! In 19 hanno perso la vita per riavere Facebook
Di Redazione RHC - 09/09/2025

Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...

Le Aziende italiane dei call center lasciano online tutte le registrazioni audio
Di Redazione RHC - 09/09/2025

Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadi...

Tasting the Exploit: HackerHood testa l’exploit di WINRAR CVE-2025-8088
Di Redazione RHC - 09/09/2025

Manuel Roccon, leader del team etico HackerHood di Red Hot Cyber, ha realizzato una dettagliata dimostrazione video su YouTube che espone in modo pratico come funziona CVE-2025-8088 di WinRAR. Il vide...

L’ambizione di Xi Jinping e degli APT Cinesi
Di Alessio Stefan - 08/09/2025

I macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...

Minaccia Houthi o incidente misterioso? Il Mar Rosso paralizza Asia e Medio Oriente
Di Redazione RHC - 07/09/2025

Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...