Bilanciare sicurezza, privacy e utilizzabilità è uno dei primi incarichi più difficili che affronterai, nel percorso verso la tua privacy. Tutto è un compromesso: più qualcosa è sicuro, più limitante o scomodo è, in generale, etc. Spesso, le persone scoprono che il problema con gli strumenti che vedono consigliati, è che sono semplicemente troppo difficili da utilizzare!
Se tu volessi utilizzare gli strumenti più sicuri disponibili, dovresti sacrificare molta utilizzabilità. E, anche allora, nulla è mai completamente sicuro. L'alta sicurezza esiste, ma mai una sicurezza completa. Ecco perché i modelli di minaccia sono importanti.
Ma quindi, quali sono questi modelli di minaccia?
Un modello di minaccia è un elenco delle minacce più probabili secondo i tuoi sforzi di sicurezza e privacy. Poiché è impossibile proteggerti da ogni attacco o utente malintenzionato, dovresti incentrarti sulle minacce più probabili. Nella sicurezza informatica, una minaccia è un evento che potrebbe minare i tuoi sforzi di rimanere privato e sicuro.
Concentrarsi sulle minacce che contano per te, restringe il tuo pensiero alla protezione necessaria, così che tu possa scegliere gli strumenti adatti per il lavoro.
Creare il tuo modello di minaccia¶
Per identificare cosa potrebbe accadere alle cose che valorizzi e determinare da chi devi proteggerle, dovresti rispondere a queste cinque domande:
- Cosa voglio proteggere?
- Da chi voglio proteggerle?
- Quanto è probabile che io debba proteggerle?
- Quanto sono catastrofiche le conseguenze se fallisco?
- Quanti problemi sono disposto ad affrontare per provare a prevenire le potenziali conseguenze?
Cosa voglio proteggere?¶
Una "risorsa" è qualcosa che valorizzi e desideri proteggere. Nel contesto della sicurezza digitale, una risorsa è solitamente qualche tipo di informazione. Ad esempio, le tue email, rubriche, messaggi istantanei, posizioni e file, sono tutti possibili risorse. Anche gli stessi dispositivi potrebbero essere considerati tali.
Stila un elenco delle tue risorse: dati che conservi, dove li mantieni, chi vi ha accesso e cosa impedisce ad altri di accedervi.
Da chi voglio proteggerle?¶
Per rispondere a questa domanda, è importante identificare chi potrebbe voler prendere di mira te o le tue informazioni. Una persona o entità rappresentante una minaccia per le tue risorse è un "avversario". Esempi di potenziali avversari sono il tuo capo, il tuo ex collega, la tua competizione aziendale, il tuo governo o un hacker su una rete pubblica.
Crea un elenco dei tuoi avversari o di coloro che potrebbero voler entrare in possesso delle tue risorse. Il tuo elenco può includere individui, agenzie governative o aziende.
A seconda di chi sono i tuoi avversari, questo elenco potrebbe essere qualcosa che vorrai distruggere dopo aver finito di sviluppare il tuo modello di minaccia.
Quanto è probabile che io debba proteggerle?¶
Il rischio è la probabilità che una minaccia particolare contro una particolare risorsa si verificherà realmente. Va di pari passo con la capacità. Sebbene il tuo fornitore telefonico sia capace di accedere a tutti i tuoi dati, il rischio che pubblichi i tuoi dati privati online per danneggiare la tua reputazione è basso.
È importante distinguere tra ciò che potrebbe verificarsi e la probabilità che si verifichi. Ad esempio, esiste il rischio che il tuo edificio crolli, ma il rischio che si verifichi è molto maggiore a San Francisco (dove i terremoti sono comuni), piuttosto che a Stoccolma (dove non lo sono).
La valutazione dei rischi è un procedimento personale e soggettivo. Molte persone trovano inaccettabili alcune minacce, indipendentemente dalla probabilità che si possano verificare, poiché la mera presenza della minaccia non vale il costo. In altri casi, le persone ignorano rischi elevati perché non considerano la minaccia come un problema.
Annota quali minacce prenderai sul serio e quali potrebbero essere troppo rare o innocue (o troppo difficili da combattere) per preoccuparsene.
Quanto sono catastrofiche le conseguenze se fallisco?¶
Esistono molti modi in cui un avversario potrebbe ottenere l'accesso ai tuoi dati. Ad esempio, un avversario può leggere le tue comunicazioni private mentre passano per la rete, o può eliminare o corrompere i tuoi dati.
Le motivazioni degli avversari sono molto diverse, così come le loro tattiche. Un governo che cerca di impedire la diffusione di un video che mostra la violenza della polizia può accontentarsi di cancellare o ridurre la disponibilità di quel video. Al contrario, un rivale politico potrebbe desiderare di ottenere accesso al contenuto segreto e pubblicarlo senza che tu lo sappia.
La pianificazione della sicurezza comporta la comprensione di quanto negative potrebbero essere le conseguenze, se un avversario ottenesse l'accesso a una delle tue risorse. Per determinarle, dovresti considerare le capacità del tuo avversario. Ad esempio, il tuo fornitore di telefonia mobile ha accesso a tutti i tuoi registri telefonici. Un hacker su una rete Wi-Fi può accedere alle tue comunicazioni non crittografate. Il tuo governo potrebbe avere capacità maggiori.
Annota ciò che il tuo avversario potrebbe voler fare con i tuoi dati privati.
Quanti problemi sono disposto ad affrontare per provare a prevenire le potenziali conseguenze?¶
Non esiste un'opzione perfetta per la sicurezza. Non tutti hanno le stesse priorità, preoccupazioni o accesso alle risorse. La valutazione dei tuoi rischi ti consentirà di pianificare la strategia corretta per te, bilanciando convenienza, costi e privacy.
Ad esempio, un procuratore rappresentante un cliente in un caso di sicurezza nazionale, potrebbe essere disposto a prendere più provvedimenti per proteggere le comunicazioni su quel caso, come utilizzando email crittografate, rispetto a una madre che invia regolarmente email contenenti video divertenti di gatti a sua figlia.
Annota quali opzioni ti sono disponibili, per aiutarti a mitigare le tue specifiche minacce. Annota se hai qualche vincolo finanziario, tecnico o sociale.
Prova tu stesso: Proteggere i propri beni¶
Queste domande possono applicarsi a un'ampia varietà di situazioni, online e offline. Come dimostrazione generica del funzionamento di queste domande, creiamo un piano per mantenere al sicuro la tua casa e i tuoi averi.
Cosa vuoi proteggere? (Oppure, cosa possiedi che valga la pena di proteggere?) :
I tuoi beni potrebbero includere gioielli, elettronica, documenti o foto importanti.
Da chi le vuoi proteggerle? :
I tuoi avversari potrebbero includere ladri, coinquilini od ospiti.
Quanto è probabile che necessiti di proteggerli? :
Nel tuo vicinato si sono verificati furti precedenti? Quanto sono affidabili i tuoi coinquilini od ospiti? Quali sono le capacità dei tuoi avversari? Quali rischi dovresti considerare?
Quanto sono catastrofiche le conseguenze se fallisci? :
In casa, hai qualcosa che non puoi sostituire? Hai il tempo o il denaro per sostituire quelle cose? Hai un'assicurazione che copre i beni rubati dalla tua abitazione?
Quanti problemi sei disposto ad affrontare per impedire tali conseguenze? :
Sei disposto ad acquistare una cassaforte per i documenti sensibili? Puoi permetterti di acquistare una serratura di alta qualità? Hai il tempo di aprire una cassetta di sicurezza presso la tua banca locale e mantenervi i tuoi oggetti preziosi?
Solo una volta esserti posto queste domande, potrai valutare quali misure adottare. Se i tuoi possedimenti sono preziosi, ma la probabilità di un furto è bassa, potresti non voler investire troppi soldi in una serratura. Ma, se la probabilità di un furto è elevata, vorrai dotarti della migliore serratura sul mercato e considerare di aggiungere un sistema di sicurezza.
Creare un piano di sicurezza ti aiuterà a comprendere le minacce uniche per te e a valutare le tue risorse, i tuoi avversari e le loro capacità, insieme alla probabilità dei rischi che affronti.
Ulteriori Letture¶
Per coloro che cercano di incrementare la propria privacy e sicurezza online, abbiamo compilato un elenco delle minacce più comuni affrontate dai nostri visitatori o degli obiettivi dei nostri visitatori, per ispirarti e dimostrare le basi dei nostri consigli.