Mauro Montineri : 5 Settembre 2022 08:00
Autore: Mauro Montineri
Sappiamo che il rischio può essere definito come incertezza del futuro mancando qualsiasi elemento che permetta di studiare e valutare eventi futuri ancorché essi possano essere verosimili o probabili. Questo è ancor più vero quando parliamo di metaverso dove un’incertezza ulteriore è rappresentata da come evolveranno le tecnologie abilitanti, i contesti, le piattaforme operative, e lo studio del rischio potrà dipendere da diversi approcci e dalle diverse metodologie e standard che potranno affermarsi.
Possiamo però stabilire, come già ci siamo detti in precedenti occasioni, che l’attenzione si rivolgerà anche e forse in via prioritaria alla gestione delle metaidentità e ai profili ad esse connesse.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ci stiamo accingendo ad analizzare uno scenario dove molti elementi sono quindi ancora in fase di definizione ed altri addirittura ancora totalmente indefiniti, è facile pertanto comprendere come lo stesso studio del rischio abbia livelli di complessità maggiori rispetto a quelli di scenari noti e definiti da tempo.
Tutto ciò premesso, ci si pone ora una domanda precisa: “per lo studio del rischio di questo scenario metaversale possiamo comunque prendere a riferimento lo standard ISO/IEC 27001:2013 (e la sua evoluzione in ISO/IEC 27001:2022 di prossima emanazione)?”.
Lo standard, nella sua clausola 6.1, prevede che l’organizzazione definisca ed applichi un processo di valutazione del rischio relativo alla sicurezza delle informazioni. Tale processo, tra le altre cose, richiede che vengano “stabiliti e mantenuti i criteri di rischio relativi alla sicurezza delle informazioni” e identificati i rischi “applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni”.
Per tale processo di valutazione del rischio si può ricorrere (anche e non solo) alla norma ISO/IEC 27005 che tratta specificatamente della gestione del rischio nel contesto della sicurezza dei sistemi informativi. Tale linea guida non indica però alcuna metodologia specifica per la gestione dei rischi per la sicurezza delle informazioni, ma piuttosto lascia libertà all’organizzazione di definire un proprio approccio, in base al contesto di gestione del rischio stesso, dando un chiaro riferimento ad un’altra importante linea guida in materia di rischi, la ISO 31010.
Dunque, sfruttando tale grado di libertà cerchiamo di definire un possibile approccio metodologico per la gestione del rischio che possa essere applicabile al metaverso.
Sappiamo che il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.
Sappiamo inoltre che per una valutazione che abbia un fondamento di ragionevolezza è necessario stimare, la probabilità che una minaccia raggiunga una vulnerabilità esposta. Per quanto riguarda la probabilità di accadimento delle minacce è importante sottolineare che, proprio perché stiamo analizzando un contesto completamente nuovo come il metaverso, non esiste una frequenza storica delle minacce stesse e quindi non possiamo legare il rischio alle probabilità di accadimento.
Pertanto, un possibile approccio alternativo per lo studio del rischio nella sua componente di probabilità di accadimento, potrebbe essere quello di legarlo non più alle probabilità che una minaccia raggiunga il suo “obiettivo” ma alle vulnerabilità (ossia le debolezze intrinseche di un processo, di un servizio o di un asset che, se sfruttate da una o più minacce, consentono una violazione della sicurezza delle informazioni), a loro volta correlabili ai comportamenti (behaviour) che le metaidentità possono avere nelle loro differenti possibili dimensioni spazio-temporali.
Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati (di cui sopra un timido esempio) questo nuovo contesto ci porta ad introdurne di nuovi. Uno di questi è sicuramente quello che possiamo definire impatto percettivo – non ancora analizzabile compiutamente in tutte le sue conseguenze – che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, una data disruption per una delle metaidentità che ne altera il normale scorrere del tempo, modifica l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure un danno derivante da qualcosa che altera i sensori utilizzati per trasmettere una sensazione tattile.
Da sottolineare infine che, nell’analisi del rischio applicata al metaverso, per gli impatti – analogamente a quanto dovremo fare quando tratteremo le minacce – sarà utile distinguere tra impatti diretti, ossia riguardanti il gestore delle metaidentità, e indiretti, ossia riguardanti le metaidentità stesse.
Il viaggio continua…stay tuned!
Mauro MontineriNegli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...
Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
