Come creare il tuo piano di sicurezza e fare la tua valutazione dei rischi

Il tuo piano di sicurezza

Cercare di proteggere tutti i tuoi dati da tutto e da tutti è una pratica impraticabile ed estenuante che non porta buoni risultati. Ma non aver paura! La sicurezza è un processo e, attraverso una pianificazione ponderata, puoi mettere insieme un piano adatto a te. La sicurezza non riguarda solo gli strumenti che usi o il software che scarichi e poi utilizzi. Essa inizia con la comprensione delle minacce uniche che affronti e su come puoi contrastarle.

Nel gergo della sicurezza informatica, una minaccia  è un evento potenziale che potrebbe compromettere i tuoi sforzi per difendere i tuoi dati. Puoi contrastare le minacce che affronti determinando ciò che devi proteggere e da chi devi proteggerlo. Questo è il processo di pianificazione della sicurezza, spesso anche definito come "modellazione della minaccia".

Questa guida ti insegnerà come creare un piano di sicurezza per le tue informazioni digitali e come determinare quali soluzioni sono le migliori per te

Che aspetto ha un piano di sicurezza? 

Diciamo che vuoi mantenere la tua casa e le tue proprietà al sicuro. Ecco alcune domande che ti potresti porre:

Che cosa ho in casa che vale la pena proteggere?

• Risorse che potresti includere potrebbero essere: gioielli, dispositivi elettronici, documenti finanziari, passaporti o foto

Da chi voglio proteggermi?

• Gli avversari potrebbero includere: ladri, compagni di stanza o ospiti etc.

Quanto è probabile che avrò bisogno di proteggerlo?

• Il mio quartiere ha una storia di furti? Quanto sono affidabili i miei coinquilini/ospiti? Quali sono le capacità dei miei avversari? Quali sono i rischi che dovrei considerare?

Quanto sono brutte le conseguenze se fallisco?

• Ho qualcosa in casa che non posso sostituire? Ho il tempo o i soldi per sostituire queste cose? Ho un'assicurazione che copre i beni rubati da casa mia?

Quanti problemi sono disposto a superare per prevenire queste conseguenze?

• Sono disposto a comprare una cassaforte per documenti sensibili? Posso permettermi di comprare un lucchetto di alta qualità? Ho il tempo di aprire una cassetta di sicurezza presso la mia banca locale e di custodire i miei oggetti di valore?

Una volta che ti sei posto queste domande, sei in grado di valutare quali misure adottare. Se i tuoi beni sono preziosi, ma la probabilità di irruzione è bassa, potresti non voler investire troppi soldi in una serratura. Ma, se la probabilità di una infrazione è elevata, ti consigliamo di acquistare il miglior lucchetto sul mercato e di prendere in considerazione l'aggiunta di un sistema di allarme.

Fare un piano di sicurezza ti aiuterà a comprendere le minacce che sono uniche per te e a valutare le tue risorse, i tuoi avversari e le capacità dei tuoi avversari, insieme alla probabilità dei rischi che affronti.

Come posso creare il mio piano di sicurezza? Da dove comincio?

La pianificazione della sicurezza ti aiuta a identificare cosa potrebbe accadere alle cose che apprezzi maggiormente e determinare da chi hai bisogno di proteggerle. Quando crei un piano di sicurezza, rispondi a queste cinque domande:

1. Cosa voglio proteggere?

2. Da chi voglio proteggerlo?

3. Quanto sono brutte le conseguenze se fallisco?

4. Quanto è probabile che avrò bisogno di proteggerlo?

5. Quanti problemi sono disposto a sopportare per evitare potenziali conseguenze?

Diamo uno sguardo più da vicino a ciascuna di queste domande.

Cosa voglio proteggere?

Un "bene" è per te una risorsa, un qualcosa che apprezzi e vuoi proteggere. Nel contesto della sicurezza digitale, una risorsa è solitamente una sorta di informazione. Ad esempio, le tue e-mail, elenchi di contatti, messaggi istantanei, posizione e file sono tutte risorse possibili. I tuoi dispositivi elettronici potrebbero essi stessi anche essere delle risorse.

Crea un elenco delle tue risorse: dati e informazioni che tu mantieni, dove sono custoditi, chi ha accesso ad essi e cosa impedisce agli altri di accedervi.

Da chi voglio proteggerlo?

Per rispondere a questa domanda, è importante identificare chi potrebbe volere accesso alle tue informazioni. Una persona o entità che rappresenta una minaccia alle tue risorse è un "avversario". "Esempi di potenziali avversari passivi sono il tuo capo, mentre come avversari attivi potremmo citare il tuo ex-partner, colleghi, professionisti con cui hai una competizione commerciale, il tuo governo o un hacker su una rete pubblica.

Fai una lista dei tuoi avversari, o di quelli che potrebbero voler ottenere i tuoi beni, coloro che potrebbero ottenere vantaggi da essi. La tua lista può includere individui, aziende private, un'agenzia governativa e multinazionali.

A seconda di chi sono i tuoi avversari, in alcune circostanze questo elenco potrebbe essere qualcosa che esso stesso vorresti poi distruggere una volta terminata la pianificazione della sicurezza.

Quanto sono brutte le conseguenze se fallisco?

Ci sono molti modi in cui un avversario può accedere ai tuoi dati. Ad esempio, un avversario può leggere le tue comunicazioni private mentre passano attraverso la rete, oppure, possono cancellare o corrompere i tuoi dati.

I motivi degli avversari sono molto diversi, così come le loro tattiche. Un governo che cerca di impedire la diffusione di un video che mostra la violenza della polizia potrebbe accontentarsi semplicemente di eliminare o ridurre la disponibilità di quel video. Al contrario, un avversario politico potrebbe voler accedere a contenuti segreti e pubblicare tali contenuti senza che tu lo sappia.

La pianificazione della sicurezza comprende la comprensione di quanto gravi potrebbero essere le conseguenze se un avversario ottiene con successo l'accesso a una delle tue risorse. Per determinarlo, dovresti considerare la capacità  del tuo avversario. Ad esempio, il tuo gestore di telefonia mobile ha accesso a tutti i tuoi record telefonici. Un hacker su una rete Wi-Fi aperta può accedere alle tue comunicazioni non crittate. Il tuo governo potrebbe avere capacità ancora più forti.

Annota ciò che il tuo avversario potrebbe voler fare con i tuoi dati privati.

Quanto è probabile che avrò bisogno di proteggerlo?

Rischio è la probabilità che si verifichi effettivamente una particolare minaccia contro un particolare risorsa (asset/bene). Questa probabilità va di pari passo con le capacità dell'avversario. Mentre il tuo gestore di telefonia mobile ha la possibilità di accedere a tutti i tuoi dati, il rischio che pubblichino i tuoi dati privati ​​online per danneggiare la tua reputazione è basso.

È importante distinguere tra ciò che potrebbe accadere e la probabilità che ciò accada. Ad esempio, vi è il rischio che il tuo edificio possa crollare, ma il rischio che ciò accada è molto maggiore a San Francisco (dove i terremoti sono comuni) rispetto a Stoccolma (dove non lo sono).

La valutazione dei rischi è sia un processo personale che un processo soggettivo. Molte persone ritengono inaccettabili alcune minacce, indipendentemente dalla probabilità che si verifichino perché la semplice presenza della minaccia con ogni probabilità non vale il costo. In altri casi, le persone ignorano i rischi elevati perché non considerano la minaccia come un problema.

Annota le minacce che prenderai sul serio e che potrebbero essere troppo rare o troppo innocue (o troppo difficili da combattere) per preoccuparti.

Quanti problemi sono disposto a provare per evitare potenziali conseguenze?

Non esiste un'opzione perfetta per la sicurezza. Non tutti hanno le stesse priorità, preoccupazioni o accesso alle risorse. La tua valutazione del rischio ti consentirà di pianificare la strategia giusta per te, bilanciando convenienza, costi e privacy.

Ad esempio, un avvocato che rappresenta un cliente in un caso di sicurezza nazionale può essere disposto a fare di più per proteggere le comunicazioni su quel caso, come l'uso di e-mail criptate, rispetto a una madre che invia regolarmente a sua figlia video divertenti di gatti.

Annota quali opzioni hai a disposizione per aiutare a mitigare le tue minacce. Nota se hai vincoli finanziari, vincoli tecnici o vincoli sociali.

Pianificazione della sicurezza come pratica regolare

Tieni presente che il tuo piano di sicurezza può cambiare al variare della situazione. Pertanto, rivedere frequentemente il piano di sicurezza è una buona pratica.

Crea il tuo piano di sicurezza in base alla tua situazione unica. Quindi contrassegna il tuo calendario su una data futura. Questo ti aiuterà a ricordare di rivedere il tuo piano e ricontrollarlo per determinare se è ancora rilevante per la tua situazione.