Metasicurezza: likelihood o behaviour nell’analisi del rischio?

Mauro Montineri : 5 Settembre 2022 08:00

Autore: Mauro Montineri

Sappiamo che il rischio può essere definito come incertezza del futuro mancando qualsiasi elemento che permetta di studiare e valutare eventi futuri ancorché essi possano essere verosimili o probabili. Questo è ancor più vero quando parliamo di metaverso dove un’incertezza ulteriore è rappresentata da come evolveranno le tecnologie abilitanti, i contesti, le piattaforme operative, e lo studio del rischio potrà dipendere da diversi approcci e dalle diverse metodologie e standard che potranno affermarsi.

Possiamo però stabilire, come già ci siamo detti in precedenti occasioni, che l’attenzione si rivolgerà anche e forse in via prioritaria alla gestione delle metaidentità e ai profili ad esse connesse.

Ci stiamo accingendo ad analizzare uno scenario dove molti elementi sono quindi ancora in fase di definizione ed altri addirittura ancora totalmente indefiniti, è facile pertanto comprendere come lo stesso studio del rischio abbia livelli di complessità maggiori rispetto a quelli di scenari noti e definiti da tempo.

Tutto ciò premesso, ci si pone ora una domanda precisa: “per lo studio del rischio di questo scenario metaversale possiamo comunque prendere a riferimento lo standard ISO/IEC 27001:2013 (e la sua evoluzione in ISO/IEC 27001:2022 di prossima emanazione)?”.

Lo standard, nella sua clausola 6.1, prevede che l’organizzazione definisca ed applichi un processo di valutazione del rischio relativo alla sicurezza delle informazioni. Tale processo, tra le altre cose, richiede che vengano “stabiliti e mantenuti i criteri di rischio relativi alla sicurezza delle informazioni” e identificati i rischi “applicando il processo di valutazione del rischio relativo alla sicurezza delle informazioni per identificare i rischi associati alla perdita di riservatezza, di integrità e di disponibilità delle informazioni incluse nel campo di applicazione del sistema di gestione per la sicurezza delle informazioni”.

Per tale processo di valutazione del rischio si può ricorrere (anche e non solo) alla norma ISO/IEC 27005 che tratta specificatamente della gestione del rischio nel contesto della sicurezza dei sistemi informativi. Tale linea guida non indica però alcuna metodologia specifica per la gestione dei rischi per la sicurezza delle informazioni, ma piuttosto lascia libertà all’organizzazione di definire un proprio approccio, in base al contesto di gestione del rischio stesso, dando un chiaro riferimento ad un’altra importante linea guida in materia di rischi, la ISO 31010.

Dunque, sfruttando tale grado di libertà cerchiamo di definire un possibile approccio metodologico per la gestione del rischio che possa essere applicabile al metaverso.

Sappiamo che il rischio è calcolato come una relazione della probabilità di accadimento della singola minaccia (likelihood) e dell’impatto – o meglio degli impatti – sotto diversi punti di vista (operativo, economico finanziario, ecc.) e dimensioni relativi, determinandone quella che tecnicamente si definisce “magnitudo”.

Sappiamo inoltre che per una valutazione che abbia un fondamento di ragionevolezza è necessario stimare, la probabilità che una minaccia raggiunga una vulnerabilità esposta. Per quanto riguarda la probabilità di accadimento delle minacce è importante sottolineare che, proprio perché stiamo analizzando un contesto completamente nuovo come il metaverso, non esiste una frequenza storica delle minacce stesse e quindi non possiamo legare il rischio alle probabilità di accadimento.

Pertanto, un possibile approccio alternativo per lo studio del rischio nella sua componente di probabilità di accadimento, potrebbe essere quello di legarlo non più alle probabilità che una minaccia raggiunga il suo “obiettivo” ma alle vulnerabilità (ossia le debolezze intrinseche di un processo, di un servizio o di un asset che, se sfruttate da una o più minacce, consentono una violazione della sicurezza delle informazioni), a loro volta correlabili ai comportamenti (behaviour) che le metaidentità possono avere nelle loro differenti possibili dimensioni spazio-temporali.

Per quanto invece riguarda gli impatti, oltre a quelli applicabili ai contesti finora utilizzati (di cui sopra un timido esempio) questo nuovo contesto ci porta ad introdurne di nuovi. Uno di questi è sicuramente quello che possiamo definire impatto percettivo – non ancora analizzabile compiutamente in tutte le sue conseguenze – che rappresenta il danno derivante da tutto ciò che può alterare la percezione di una metaidentità rispetto ad una – o più di una – delle sue dimensioni. Ad esempio, una data disruption per una delle metaidentità che ne altera il normale scorrere del tempo, modifica l’ambiente dove agisce l’identità facendolo apparire differente da quello “reale” iniziale, oppure un danno derivante da qualcosa che altera i sensori utilizzati per trasmettere una sensazione tattile.

Da sottolineare infine che, nell’analisi del rischio applicata al metaverso, per gli impatti – analogamente a quanto dovremo fare quando tratteremo le minacce – sarà utile distinguere tra impatti diretti, ossia riguardanti il gestore delle metaidentità, e indiretti, ossia riguardanti le metaidentità stesse.

Il viaggio continua…stay tuned!

Mauro Montineri
Ingegnere elettronico, Executive master in Privacy e Cyber Security, ha iniziato il proprio percorso professionale sviluppando codice per elicotteri per atterrare poi nel mondo delle telecomunicazioni occupandosi prima di ingegneria del software e di governance ed ora di audit di sicurezza e compliance