La sicurezza non riguarda solo gli strumenti che usi o il software che scarichi. La sicurezza, inizia con la comprensione delle minacce uniche che affronti e su come puoi contrastare tali minacce.

In sicurezza informatica, una minaccia è un evento potenziale che potrebbe compromettere i tuoi sforzi per difendere i tuoi dati. Puoi contrastare le minacce che affronti determinando ciò che devi proteggere e da chi devi proteggerlo.

Che aspetto ha un piano di sicurezza? Diciamo che vuoi mantenere la tua casa e le tue proprietà al sicuro. Ecco alcune domande che potresti porre:

Che cosa ho in casa che vale la pena proteggere?

Risorse potrebbe includere: gioielli, elettronica, documenti finanziari, passaporti o foto.

Da chi voglio proteggerlo?

Gli avversari potrebbero includere: ladri, compagni di stanza oppure ospiti occasionali.

Quanto è probabile che avrò bisogno di proteggerlo?

Il mio quartiere ha una storia di furti? Quanto sono affidabili i miei coinquilini / ospiti? Quali sono le capacità dei miei avversari? Quali sono i rischi che dovrei considerare?

Quanto sono cattive le conseguenze se fallisco?

Ho qualcosa in casa che non posso sostituire? Ho il tempo o i soldi per sostituire queste cose? Ho un'assicurazione che copre i beni rubati da casa mia?

Quanti problemi sono disposto a superare per prevenire queste conseguenze?

Sono disposto a comprare una cassaforte per documenti sensibili? Posso permettermi di comprare un lucchetto di alta qualità? Ho il tempo di aprire una cassetta di sicurezza presso la mia banca locale e di custodire i miei oggetti di valore?

Una volta che ti sei posto queste domande, sei in grado di valutare quali misure adottare. Se i tuoi beni sono preziosi, ma la probabilità di irruzione è bassa, potresti non voler investire troppi soldi in una serratura. Ma, se la probabilità di un furto è elevata, ti consigliamo di comprare il miglior porta blindata sul mercato e di prendere in considerazione l'aggiunta di un sistema di sicurezza.

Fare un piano di sicurezza ti aiuterà a comprendere le minacce che sono uniche per te e a valutare le tue risorse, i tuoi avversari e le capacità dei tuoi avversari, insieme alla probabilità di rischi che affronti.

Come posso creare il mio piano di sicurezza? Da dove comincio?

La pianificazione della sicurezza ti aiuta a identificare cosa potrebbe accadere alle cose che apprezzi e determinare da chi hai bisogno di proteggerle. Quando crei un piano di sicurezza, rispondi a queste cinque domande:

Cosa voglio proteggere?
Da chi voglio proteggerlo?
Quanto sono cattive le conseguenze se fallisco?
Quanto è probabile che avrò bisogno di proteggerlo?
Quanti problemi sono disposto a provare per evitare potenziali conseguenze?

Diamo uno sguardo più da vicino a ciascuna di queste domande.

1. Cosa voglio proteggere?

Un "bene" è qualcosa che apprezzi e vuoi proteggere. Nel contesto della sicurezza digitale, una risorsa è solitamente una sorta di informazione. Ad esempio, le tue e-mail, elenchi di contatti, messaggi istantanei, posizione e file sono tutte risorse possibili . I tuoi dispositivi potrebbero anche essere risorse.

1. Crea un elenco delle tue risorse: dati che tu mantieni, dove è tenuto, chi ha accesso ad esso e cosa impedisce agli altri di accedervi.

2. Da chi voglio proteggerlo?

Per rispondere a questa domanda, è importante identificare chi potrebbe essere interessato te o alle tue informazioni. Una persona o entità che rappresenta una minaccia alle tue risorse è un "avversario". "Esempi di potenziali avversari sono il tuo capo, il tuo ex partner, la tua avversario commerciale, il tuo governo o un hacker su una rete pubblica.

2. Fai una lista dei tuoi avversari, o di quelli che potrebbero voler ottenere i tuoi beni. La tua lista può includere individui, un'agenzia governativa o corporazioni.

A seconda di chi sono i tuoi avversari, in alcune circostanze questo elenco potrebbe essere qualcosa che a sua volta vuoi proteggere e/o distruggere dopo aver terminato la pianificazione della tua sicurezza!

3. Quanto sono cattive le conseguenze se fallisco?

Ci sono molti modi in cui un avversario può accedere ai tuoi dati. Ad esempio, un avversario può leggere le tue comunicazioni private mentre passano attraverso la rete, oppure possono cancellare o corrompere i tuoi dati.

I motivi degli avversari sono molto diversi, così come le loro tattiche. Un governo che cerca di impedire la diffusione di un video che mostra la violenza della polizia potrebbe accontentarsi semplicemente di eliminare o ridurre la disponibilità di quel video. Al contrario, un avversario politico potrebbe voler accedere a contenuti segreti e pubblicare tali contenuti senza che tu lo sappia.

La pianificazione della sicurezza comprende la comprensione di quanto gravi potrebbero essere le conseguenze se un avversario ottiene con successo l'accesso a una delle tue risorse. Per determinarlo, dovresti considerare la capacità del tuo avversario. Ad esempio, il tuo gestore di telefonia mobile ha accesso a tutti i tuoi record telefonici. Un hacker su una rete Wi-Fi aperta può accedere alle tue comunicazioni non crittografate. Il tuo governo potrebbe avere capacità più forti.

3. Annota ciò che il tuo avversario potrebbe voler fare con i tuoi dati privati.

4. Quanto è probabile che avrò bisogno di proteggerlo?

Rischio è la probabilità che si verifichi effettivamente una particolare minaccia contro un particolare asset (dispositivo, software etc.) e generalmente va di pari passo con le capacità. Mentre il tuo gestore di telefonia mobile ha la possibilità di accedere a tutti i tuoi dati, il rischio che pubblichino i tuoi dati privati online per danneggiare la tua reputazione è basso.

È importante distinguere tra ciò che potrebbe accadere e la probabilità che ciò accada. Ad esempio, vi è il rischio che il tuo edificio possa crollare, ma il rischio che ciò accada è molto maggiore a San Francisco (dove i terremoti sono comuni) rispetto a Stoccolma (dove non lo sono).

La valutazione dei rischi è sia un processo personale che un processo soggettivo. Molte persone ritengono inaccettabili alcune minacce, indipendentemente dalla probabilità che si verifichino perché la semplice presenza della minaccia con ogni probabilità non vale il costo. In altri casi, le persone ignorano i rischi elevati perché non considerano la minaccia come un problema.

3. Annota le minacce che prenderai sul serio e che potrebbero essere troppo rare o troppo innocue (o troppo difficili da combattere) per preoccuparti.

4. Cosa sei disposto a fare per evitare potenziali conseguenze?

Non esiste un'opzione unica e perfetta per la sicurezza. Infatti, non tutti hanno le stesse priorità, preoccupazioni o accesso alle risorse. E' la tua valutazione del rischio che ti consentirà di pianificare la strategia giusta per te, bilanciando convenienza, costi e privacy.

Ad esempio, un avvocato che rappresenta un cliente in un caso di sicurezza nazionale può essere disposto a fare di più per proteggere le comunicazioni su quel caso, come l'uso di e-mail crittografate, rispetto a una madre che invia regolarmente a sua figlia video divertenti di gatti.

4. Annota quali opzioni hai a disposizione per aiutare a mitigare le tue minacce uniche. Nota se hai vincoli finanziari, vincoli tecnici o vincoli sociali.

Pianificazione della sicurezza come pratica regolare

Tieni presente che il tuo piano di sicurezza può cambiare al variare della situazione. Pertanto, rivedere frequentemente il piano di sicurezza è una buona pratica.

Crea il tuo piano di sicurezza in base alla tua situazione unica. Quindi contrassegna il tuo calendario per una data futura. Questo ti aiuterà a ricordare di rivedere periodicamente il tuo piano a ricontrollarlo per verificare se è ancora rilevante per la tua situazione attuale.

RISORSE

LINEE GUIDA PER LA MODELLAZIONE DELLE MINACCE ED INDIVIDUAZIONE DELLE AZIONI DI MITIGAZIONE CONFORMI AI PRINCIPI DEL SECURE/PRIVACY BY DESIGN

<< UTILIZZO DEI GESTORI DI PASSWORD PER NAVIGARE SICURI

SICUREZZA

CREAZIONE DI PASSWORD COMPLESSE >>

Page updated

Report abuse