" /> BLOCKCHAIN Cybersecurity - INTEROPERABILITY BLOCKCHAIN CENTER
  • Ven. Set 18th, 2020

INTEROPERABILITY BLOCKCHAIN CENTER

#INNOVAZIONE #COCREAZIONE #OLARCHIE

BLOCKCHAIN Cybersecurity

  • Home
  • BLOCKCHAIN Cybersecurity

Panoramica

Mentre prendono decisioni tecnologiche, i leader in questi giorni sono bombardati da titoli costanti su costosi hack aziendali, ransomware e dati utente rubati. Pertanto, qualsiasi nuova implementazione tecnologica deve includere adeguate garanzie contro tali scenari da incubo.

Sebbene la tecnologia blockchain sia in rapida evoluzione, ci sono alcuni concetti fondamentali di sicurezza che possono essere applicati efficacemente allo spazio blockchain. Dopo aver trattato queste aree di interesse, questo modulo offre un quadro di gestione dei rischi e un piano di implementazione sicura in 10 fasi che dovrebbe essere utile in una vasta gamma di progetti della catena di approvvigionamento.

Lettura consigliata – Implementazione inclusiva di Blockchain per catene di approvvigionamento Parte 5 – Un framework per Blockchain Cybersecurity [103]

Concetti fondamentali

Quali sono le basi della sicurezza blockchain, inclusi i fattori unici di questa nuova tecnologia e i concetti che si applicano anche ad altre aree dell’IT?

È importante tenere presente che una soluzione blockchain fa parte di sistemi tecnologici, aziendali e umani più ampi. Le soluzioni Blockchain non si distinguono da sole; ad esempio, richiedono connettività, utenti e solidi processi aziendali. Quindi la sicurezza di una blockchain è direttamente correlata alla sicurezza di altri sistemi con cui è integrata.

La campagna pubblicitaria sulla tecnologia blockchain ha anche portato a un dibattito polarizzato sulla sicurezza. A un’estremità dello spettro sono quelli che considerano una blockchain intrinsecamente insicura e inadatta per casi d’uso che richiederebbero solide protezioni della privacy per i singoli utenti. All’estremità opposta ci sono quelli che vedono la blockchain come un modulo computazionale nativo della crittografia, “incrollabile”, o addirittura una soluzione incrollabile in generale.

La verità sta da qualche parte nel mezzo.

Una blockchain richiede una gestione proattiva della sicurezza, come qualsiasi altra tecnologia. Esistono considerazioni sulla sicurezza delle informazioni che attraversano tecnologie che incidono sulla blockchain; ci sono anche problemi di sicurezza specifici della blockchain.

Per apprezzare meglio sia le esigenze generali sia le considerazioni specifiche sulla blockchain, è necessario comprendere alcune basi di sicurezza informatica. Una volta che hai capito bene le basi della sicurezza informatica, il tuo team sarà in una posizione molto migliore per affrontare le sfumature relative alla blockchain. (Figura 11.1 – Nozioni di base sulla sicurezza informatica e sfumature di blockchain).

Nozioni di base sulla sicurezza informatica e sfumature di blockchain
Figura 11.1 – Nozioni di base sulla sicurezza informatica e sfumature di blockchain

Nozioni di base sulla sicurezza:

Spesso mi trovo in situazioni in cui ho bisogno di educare il cliente sulla sicurezza, dal momento che non lo avrebbero sollevato. È interessante notare che gli investitori spesso chiedono anche il nostro approccio alla sicurezza.

Hanns-Christian Hanebeck , fondatore e amministratore delegato, Truckl.io

  • Sicurezza come processo : non esiste un proiettile d’argento per la sicurezza. Invece, è un gioco di gatto e topo in cui attaccanti e difensori tentano continuamente di sorpassarsi a vicenda. Nessuna soluzione software, inclusa quella basata su blockchain, è mai “protetta” con finalità. La sicurezza è costantemente migliorata, non raggiunta.
  • La triade della CIA (riservatezza, integrità e disponibilità) : gli obiettivi di sicurezza sono definiti da tre proprietà: riservatezza, integrità dei dati e disponibilità. Tuttavia, vale la pena notare che perseguire tutte e tre le proprietà contemporaneamente non è di solito possibile. Blockchain è progettato per garantire l’integrità dei dati in particolare. Ma gli obiettivi di riservatezza e disponibilità saranno in conflitto tra loro, per esempio. Mentre i controlli di sicurezza possono essere d’aiuto, quelli che implementano soluzioni blockchain dovranno solitamente fare dei compromessi su uno degli altri due obiettivi.

Integrità e immutabilità dei dati:

Nella sicurezza informatica, la terminologia “integrità dei dati” è preferita per trasmettere l’idea che i dati non siano stati alterati o distrutti in modo non autorizzato. “Immutabilità” significa perfezione dell’integrità dei dati in alcuni contesti professionali.

In un contesto più commerciale, questi termini possono essere usati in un modo un po ‘diverso. Ma in questo modulo usiamo la terminologia come è consuetudine tra gli esperti di sicurezza informatica, per motivi di coerenza.

C’è una tendenza emergente in tutta la professione della sicurezza informatica a trattare tutte le reti, gli utenti e gli endpoint come a rischio zero. In quel quadro, qualsiasi lavoro di sicurezza informatica è analogo alla pittura del Golden Gate Bridge di San Francisco: il lavoro è sempre in corso in più aree, utilizzando più tecniche e con un’innovazione senza fine. Gli sviluppatori di blockchain devono anche pensare e agire in questo modo.

Andrew Borene , JD, CISSP, Amministratore delegato, Cipherloc Corporation e Fellow presso il Center for Security Studies della Georgetown University

  • Difesa in profondità : un principio di progettazione del sistema che ruota attorno all’idea di introdurre più livelli di difesa in modo che gli attaccanti possano essere rilevati prima che raggiungano i nuclei critici. Per la blockchain, questo suggerisce controlli di sicurezza in più punti di controllo, ad esempio, utilizzando cloud privati ​​virtualizzati per proteggere i nodi blockchain, aprendo solo le porte richieste e utilizzando elenchi di controllo di accesso per limitare l’accesso a contratti intelligenti.
  • Sicurezza semplice : le migliori misure di sicurezza sono trasparenti e semplici. L’idea che nascondere qualcosa o renderlo complesso lo renderà sicuro è stata smentita più volte. Nella blockchain, ciò significa utilizzare algoritmi hash collaudati o meccanismi di consenso piuttosto che cercare di innovare.

Nuance Blockchain:

Esempio
Seguendo la logica che la blockchain si basa sulla tradizionale tecnologia informatica, TradeLens, una piattaforma industriale sviluppata da Maersk e IBM, ha ottenuto la certificazione di sicurezza delle informazioni contro gli standard ISO / IEC 27000, gestita da un comitato tecnico congiunto dell’Organizzazione internazionale per la standardizzazione (ISO) e la Commissione elettrotecnica internazionale (IEC).

La sicurezza delle informazioni tradizionali è necessaria per proteggere lo stack di sviluppo che supporta blockchain, dalla rete via cavo a quella di comunicazione e alla sicurezza del software. Oltre a ciò, ci sono cinque caratteristiche chiave della blockchain che richiedono misure di sicurezza specifiche:

  • Decentralizzazione : qualunque sia il tipo di blockchain, l’essenza della tecnologia è offrire un certo grado di decentralizzazione. Ciò ha profondi impatti sulla governance della sicurezza, una disciplina che è stata per lo più centralizzata in passato.
  • Meccanismi di consenso : l’integrità dei dati di una blockchain è direttamente collegata alla sicurezza dei meccanismi di consenso. Per i blockchain pubblici, mentre Proof-of-Work e Proof-of-Stake sono i meccanismi di consenso più consolidati fino ad oggi, esistono diversi modi in cui questi sono implementati, con vari gradi di sicurezza e diversi prerequisiti per l’implementazione. Per le blockchain private, un team può selezionare il meccanismo di consenso che si allinea meglio con la natura della soluzione desiderata. In entrambi i casi, è fondamentale selezionare il giusto meccanismo di consenso e implementarlo in modo sicuro.
  • Contratti intelligenti : un’arma a doppio taglio, alla luce della loro integrità dei dati. Mentre l’aspetto di integrità è una buona cosa per fornire la durezza di modificare qualcosa che è concordato da più parti, è anche importante notare che la correzione di contratti intelligenti non è banale. Questo sarà rischioso soprattutto quando c’è trasparenza per tutti gli utenti della blockchain in cui vengono creati contratti intelligenti. Pertanto, anche il controllo intelligente del codice sarà fondamentale da includere.
  • Sicurezza degli endpoint : sebbene ciò non sia strettamente limitato alla blockchain, l’assenza di entità centrali spinge molte responsabilità di sicurezza a sviluppatori e utenti della soluzione. Poiché è molto difficile proteggere i punti di accesso digitali, i fornitori di soluzioni non devono solo sensibilizzare gli utenti. Devono inoltre chiarire in anticipo le responsabilità dei singoli utenti agli endpoint.
  • Chiavi crittografiche : queste sono le basi della sicurezza nelle blockchain. È della massima importanza generare, utilizzare e archiviare in modo sicuro queste chiavi crittografiche.

Per un più ampio ambito di discussione sul decentramento e le sue sfide, fare riferimento ai moduli Ecosistema , Governance del consorzio e area di controllo Lista di controllo per l’ identificazione dei rischi nel modulo Fattori di rischio . Più in generale, tali questioni sono anche trattate a lungo nel libro bianco designato sulla sicurezza informatica della blockchain che il Forum ha pubblicato. [104]

Principali rischi per la sicurezza della blockchain

Quali sono i principali rischi per la sicurezza della blockchain, come possono essere mitigati e come possono essere confrontati con i database tradizionali o altre tecnologie familiari?

Come accennato in precedenza, uno degli obiettivi del design blockchain è raggiungere l’integrità dei dati. Mentre vari tipi di blockchain hanno vari gradi di tolleranza agli errori, la maggior parte sono considerati migliori alternative rispetto ai database tradizionali, dal punto di vista dell’integrità dei dati. A causa della chiara forza dell’integrità dei dati inerente alle blockchain pubbliche, i principali rischi di cibersicurezza relativi alle blockchain pubbliche tendono ad essere correlati agli obiettivi di riservatezza e disponibilità. (Vedi la triade della CIA introdotta in precedenza). Nelle blockchain private, tuttavia, la riservatezza sarà un rischio meno impegnativo mentre il livello di integrità dei dati potrebbe essere inferiore a quello di una blockchain pubblica. È importante che i leader esperti e i responsabili delle politiche non tecnici sappiano che impostazioni e configurazioni diverse possono cambiare il panorama dei rischi nella soluzione blockchain distribuita; non esiste una risposta “taglia unica”. Inoltre, l’integrità dei dati può comportare rischi propri in relazione all’origine e alla qualità dei dati registrati.

Principali rischi per la sicurezza della blockchain
Figura 11.2 – Principali rischi per la sicurezza della blockchain

Per ulteriori riferimenti nel toolkit, ci sono suggerimenti alla fine della sezione precedente sui concetti fondamentali . La riservatezza è l’argomento principale discusso nel modulo di protezione dei dati del toolkit . E la disponibilità, che comporta alcuni rischi relativi alle prestazioni, è discussa nel modulo Fattori di rischio .

Blockchain cybersecurity risk management

Quali passi specifici possono adottare i team di progetto per gestire i rischi di sicurezza della blockchain, inclusa la valutazione iniziale di potenziali insidie ​​e la gestione in corso?

Un rischio è definito come la probabilità che una minaccia utilizzi una vulnerabilità e che ciò comporti un determinato impatto. Alla luce dei rischi presentati nell’area di rischio Principali rischi per la sicurezza della blockchain in questo modulo, le organizzazioni che implementano una soluzione blockchain devono eseguire una valutazione del rischio. Questo è un passaggio essenziale nel processo di distribuzione sicura della blockchain presentato di seguito nell’area di interesse Distribuzione sicura della blockchain di questo modulo. Per ulteriori letture, si consiglia ai team di progetto blockchain di seguire lo stesso framework utilizzato dalle organizzazioni per altre distribuzioni di tecnologia dell’informazione, come l’Istituto nazionale americano di standard e tecnologia, “Guida per condurre valutazioni del rischio, 2012” (NIST SP 800-30) . [105]

Approccio in cinque fasi alla gestione del rischio di cybersecurity blockchain
Figura 11.3 – Approccio in cinque fasi alla gestione del rischio di cybersecurity blockchain

La valutazione del rischio generalmente segue un approccio in cinque fasi (Figura 11.3 – Approccio in cinque fasi per la gestione del rischio di cybersecurity blockchain):

Passaggio 1: definire gli obiettivi di sicurezza

Questo è il fondamento della valutazione del rischio in quanto tale, informa tutte le fasi seguenti. Alla luce del modello di business che sarà supportato dalla blockchain, quali sono gli obiettivi chiave di sicurezza da promuovere? La riservatezza sarebbe più o meno importante della disponibilità? L’anonimato dovrebbe essere garantito? Inoltre, tali funzioni di sicurezza devono essere sostenute da una soluzione olistica. Quali parti del sistema devono preservare l’integrità dei dati oltre a una piattaforma blockchain?

Passaggio 2: eseguire una valutazione della minaccia

Una valutazione delle minacce aiuta l’organizzazione a capire da cosa dovrà proteggere la soluzione blockchain, che va dagli incidenti umani alle catastrofi naturali e agli attacchi informatici deliberati. Differenziare le minacce classificandole in base alle capacità e alle intenzioni è un buon modo per misurare il potenziale di interruzione. Ad esempio, un’agenzia governativa può avere capacità ma nessuna intenzione di attaccare una particolare blockchain. Gli hacktivisti, al contrario, potrebbero essere interessati a danneggiare la reputazione di una particolare organizzazione ma non hanno la capacità di superare determinate barriere di sicurezza.

Passaggio 3: eseguire una valutazione della vulnerabilità

Una valutazione della vulnerabilità aiuta il team di progetto ad apprezzare meglio la parte della soluzione blockchain che verrà divulgata agli aggressori e quali punti deboli potrebbero portare a esiti negativi lungo la linea. Identificare le vulnerabilità è difficile e tutte le organizzazioni dovrebbero eseguire regolarmente test di penetrazione su tutti gli aspetti delle soluzioni blockchain che implementano. In particolare, occorre prestare attenzione al collaudo di contratti intelligenti. La definizione iniziale di un processo per proteggere il codice del contratto intelligente è fondamentale per ridurre le vulnerabilità.

Passaggio 4: definire le probabilità di rischio

La definizione delle probabilità di rischio consente la loro definizione delle priorità. I rischi emergono dall’intersezione di vulnerabilità e minacce come definito nei passaggi precedenti. Dare la priorità ai rischi determinando la probabilità di vulnerabilità particolari che si intersecano con minacce particolari e, in tal caso, determinare la criticità dell’impatto. Un rischio altamente impattante che è molto improbabile che si verifichi sarà gestito in modo diverso da un rischio piuttosto impattante che è probabile che si verifichi regolarmente. La matrice illustrata nella Figura 11.4 può essere utilizzata per definire le priorità dei rischi associati alle soluzioni di implementazione della blockchain.

Stime di criticità per probabilità e impatto
Figura 11.4 – Stime di criticità per probabilità e impatto

Passaggio 5: decidere cosa fare con ciascun rischio

Dopo aver identificato i rischi specifici che possono sorgere nel progetto, è tempo di affrontarli singolarmente. Esistono quattro strategie per gestire qualsiasi rischio particolare. (Vedi figura 11.5 – Strategie per la gestione di specifici rischi per la sicurezza di un progetto):

  • Mitigare o ridurre il rischio . Affronta la minaccia e / o la vulnerabilità direttamente per contenere il suo impatto. Nella blockchain, il contenimento dell’impatto è forse più impegnativo rispetto ad altre tecnologie e probabilmente si dovrebbe porre l’accento sulla riduzione delle vulnerabilità e sulla dissuasione delle minacce. Questa strategia offre il miglior controllo del rischio ma è generalmente costosa. È consigliato per rischi elevati e critici.
  • Accetta il rischio . Riconoscere la sua esistenza e il budget per esso dovrebbe materializzarsi. Questo approccio è consigliato per rischi medio-bassi.
  • Evita il rischio . Rielaborare l’approccio sistemico per eliminare completamente la specifica sfida di sicurezza. In genere, ciò comporta compromessi e l’accettazione della rimozione di determinate funzionalità o utenti della soluzione.
  • Trasferisci il rischio . Coinvolgere una terza parte, come una compagnia assicurativa o un fornitore di servizi esterno, per far fronte al rischio.

A causa della complessità della blockchain, è altamente raccomandato l’uso di competenze esterne per sviluppare una soluzione e un’altra entità per rivedere e controllare i suoi risultati.

Strategie per gestire specifici rischi per la sicurezza di un progetto
Figura 11.5 – Strategie per gestire specifici rischi per la sicurezza di un progetto

A seconda del livello di impegno in ingegneria della sicurezza, si raccomanda che il lettore si riferiscono agli argomenti in altri moduli, come ad esempio la protezione dei dati , integrità dei dati e gestione dei dati personali . Inoltre, la gestione del rischio di cibersicurezza dovrebbe essere trattata come parte della gestione del rischio globale, come spiegato nel modulo Fattori di rischio .

Distribuzione sicura della blockchain

Quali sono i passaggi chiave per mantenere la sicurezza di una nuova soluzione blockchain mentre passa dalla pianificazione e dallo sviluppo all’uso quotidiano da parte degli utenti finali?

Questa area di interesse introduce un processo di distribuzione sicura della blockchain in dieci passaggi (Figura 11.6 – Processo di distribuzione sicura della blockchain in dieci passaggi). È importante integrare questi passaggi nella progettazione e nell’implementazione di un sistema per una soluzione blockchain. Si tratta di un processo complesso, quindi si consiglia vivamente di utilizzare e fare riferimento a documenti più completi sull’integrazione dell’ingegneria della sicurezza nei cicli di vita dello sviluppo del software, come uno nell’Istituto nazionale americano di standard e tecnologia, pubblicazione speciale. [106]

Processo di distribuzione sicura della blockchain in dieci passaggi
Figura 11.6 – Processo di distribuzione sicura della blockchain in dieci passaggi

Passaggio 1: acquisire competenze sulla blockchain

A seconda delle risorse dell’organizzazione, della criticità e degli obiettivi del caso d’uso della blockchain, questo può variare dall’outsourcing a una terza parte di fiducia all’assunzione o alla formazione del personale con le competenze necessarie per supervisionare una distribuzione sicura. Per quanto riguarda le competenze sulla sicurezza della blockchain, potrebbe essere più efficace ed efficiente per i team di progetto mantenere esperti qualificati di sicurezza informatica e formarli nella tecnologia blockchain piuttosto che assumere sostenitori della blockchain e formarli come esperti di sicurezza. Per assistere i leader di progetto nella valutazione delle credenziali, esistono diversi organismi internazionali di accreditamento per la sicurezza delle informazioni. [107]

Passaggio 2: definire gli obiettivi di sicurezza

Definire quali obiettivi di sicurezza saranno prioritari per l’organizzazione nella triade della CIA è un prerequisito. Questi obiettivi devono allinearsi con la strategia dell’organizzazione, la gestione delle crisi e le politiche di continuità aziendale.

Esempio
Il porto di Valencia ha recentemente commissionato una soluzione blockchain per consentire a diverse entità che lavorano nel porto di condividere i dati in modo più efficiente. Prima di sviluppare una prova di concetto, il gruppo dirigente ha definito, tra gli altri, i seguenti obiettivi di sicurezza di alto livello:

  • La riservatezza dei dati è fondamentale.
  • La disponibilità della soluzione blockchain deve essere migliore di quella attualmente in atto
  • Capacità di identificare tutte le entità partecipanti al consorzio.

La rete blockchain deve essere conforme al Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea.

Passaggio 3: configura blockchain

A seconda degli obiettivi di business e degli obiettivi di sicurezza, scegli quale tipo di blockchain fornirebbe la migliore piattaforma. Prestare attenzione anche ad altre configurazioni di base, ad esempio se verranno utilizzati contratti intelligenti e quale meccanismo di consenso verificherà le transazioni. È abbastanza probabile che la logica aziendale e le specifiche funzionali informino queste decisioni. Anche se questo non è un vero progetto di sicurezza, è il mezzo con cui inizierà la maggior parte delle implementazioni nel mondo reale.

Passaggio 4: eseguire una valutazione del rischio

Determinare quali rischi specifici sono associati a una particolare blockchain è la chiave per poterlo implementare in modo sicuro. Fare riferimento all’area di interesse Principali rischi per la sicurezza della blockchain e Gestione dei rischi per la sicurezza informatica della Blockchain in questo modulo per ulteriori dettagli su come eseguire una valutazione del rischio.

Esempio

Per comprendere meglio i rischi della soluzione blockchain pianificata, il Porto di Valencia ha avuto l’opportunità di valutare i rischi per la sicurezza di una soluzione blockchain durante un’implementazione di proof-of-concept. Esempi delle principali vulnerabilità potenziali identificate:

  • Lo scenario in cui un utente malintenzionato riscrive il libro mastro compromettendo un numero sufficiente di nodi. Ciò metterà seriamente a rischio la comunità (in questo caso un consorzio).
  • La chiave segreta dell’amministratore diventa accessibile ad altre parti, che possono quindi impersonare l’amministratore e persino modificare i contratti intelligenti.
  • Gli amministratori dei nodi sono in grado di accedere ai dati riservati memorizzati nel nodo.
  • L’amministratore lascia l’organizzazione.

Esempi delle principali minacce potenziali:

  • Un concorrente del consorzio con diritti amministrativi sul nodo potrebbe accedere ai dati riservati di altre organizzazioni nel libro mastro.
  • Qualcuno con diritti di amministrazione può accedere ai dati memorizzati in un database esterno collegato ai dati trovati sulla blockchain.
  • Gli hacktivisti potrebbero essere attratti dalla rete blockchain.

Passaggio 5: definire i controlli di sicurezza

I controlli di sicurezza possono essere in grado di ridurre i rischi mediante contromisure tecniche prima che i rischi residui vengano trasferiti, evitati o accettati. Ulteriori dettagli sulle strategie di mitigazione sono delineati nell’area di interesse Gestione del rischio di cibersicurezza Blockchain .

Passaggio 6: progettare la governance della sicurezza

È fondamentale definire un modello di governance e i processi relativi alla sicurezza prima del calcio d’inizio dello sviluppo. Una volta avviato lo sviluppo, anche una versione di prova del caso d’uso può essere una fonte di minacce alla sicurezza. I processi di governance dipenderanno in gran parte dai rischi da monitorare. Più rischi ci sono da gestire, più accurato dovrà essere il processo di governance.

Passaggio 7: scegliere un fornitore di sicurezza

Scegli i giusti prodotti e servizi di sicurezza, quindi valuta i fornitori. Esistono diverse soluzioni aziendali consolidate, tutte dotate di ampi livelli di servizio di sicurezza. Inoltre, le boutique e le piccole società di consulenza possono aiutare con esigenze di nicchia.

Passaggio 8: sviluppo sicuro

Garantire che il team di sviluppo segua pratiche di sviluppo sicure, note anche come DevSecOps e, in particolare, una metodologia del ciclo di vita dello sviluppo di software sicuro (S-SDLC). S-SDLC garantisce che le attività di assicurazione della sicurezza come test di penetrazione, controllo del codice intelligente o analisi dell’architettura siano integrate nello sviluppo della soluzione blockchain.

Passaggio 9: monitorare e controllare la sicurezza

Blockchain è una tecnologia informatica come le altre, quindi è saggio integrare procedure e runbook riguardanti la soluzione blockchain nei piani di sicurezza globali esistenti dell’organizzazione. Inoltre, una soluzione blockchain richiederà ulteriori azioni di collaborazione con organizzazioni esterne, inclusi i proprietari dei nodi e i membri del consorzio. Oltre alle esercitazioni periodiche per testare il personale, è importante controllare la comunicazione esterna richiesta su un potenziale incidente e processi decisionali distribuiti. La risposta agli incidenti di sicurezza della Blockchain richiederà più stakeholder.

Per ulteriori riferimenti, la configurazione della blockchain principale su pubblica o privata è discussa nel modulo Struttura: pubblica / privata . Per gli obiettivi di sicurezza, i moduli, come la protezione dei dati , integrità dei dati e gestione dei dati personali sono più rilevanti. La progettazione della governance sull’aspetto della sicurezza fa parte degli argomenti del modulo Governance del consorzio .

Modello di gestione dei rischi

La Tabella 11.1 è un esempio del foglio di lavoro per la valutazione del rischio che viene introdotto nell’area di gestione del rischio di cybersecurity Blockchain . La tabella è seguita da una guida illustrata con un esempio per riempire il foglio di lavoro per la valutazione del rischio (Tabella 11.2).

Foglio di lavoro per la valutazione del rischio con un esempio dimostrativo
Tabella 11.1 – Foglio di lavoro per la valutazione del rischio con un esempio dimostrativo

Di seguito sono riportate le istruzioni per la compilazione della tabella sopra. Nel complesso, l’obiettivo di sicurezza e il tipo di informazioni specificheranno cosa proteggere. La vulnerabilità e la minaccia sono correlate al potenziale attacco alle informazioni. Da questi, vengono valutate la probabilità e l’impatto del rischio. Dopo aver effettuato il confronto tra le righe, si dà la priorità e si assegnano le risorse e si definiscono la strategia di mitigazione e il controllo di sicurezza per ciascuna voce.

Guida ed esempio per compilare il foglio di lavoro per la valutazione del rischio
Tabella 11.2 – Guida ed esempio per compilare il foglio di lavoro per la valutazione del rischio

Processo di distribuzione sicuro

La Tabella 11.3 riassume il processo di distribuzione sicura della blockchain che è descritto nell’area di messa a fuoco della distribuzione sicura della Blockchain . Fare riferimento all’area di messa a fuoco per i dettagli relativi a ciascun passaggio.

Processo in dieci passaggi per la distribuzione sicura
Tabella 11.3 – Processo in dieci passaggi per la distribuzione sicura

Domande chiave per proteggere la soluzione blockchain

Di seguito è riportato un elenco di controllo destinato ad aiutare le organizzazioni a strutturare i loro pensieri sulle domande chiave a cui rispondere per garantire la soluzione blockchain.

  • Una soluzione blockchain migliora la postura di sicurezza complessiva dello sforzo del progetto?
  • Quali sfumature comporta la sicurezza della blockchain e in che modo il team di progetto raggiungerà un livello soddisfacente di sicurezza?
  • Quali sono le specifiche considerazioni sulla sicurezza informatica da tenere a mente prima di sviluppare una soluzione blockchain?
  • Quali sono i compromessi di sicurezza nell’uso di un particolare tipo di blockchain rispetto a un altro?
  • Cosa non dovresti assolutamente archiviare su una blockchain?
  • Quali sono i rischi di sicurezza delle informazioni più rilevanti che incidono specificamente sulle soluzioni blockchain?
  • Come dovrebbe essere gestita la sicurezza durante tutto il ciclo di vita di una soluzione blockchain, dall’ideazione all’inizio, allo sviluppo, implementazione e funzionamento?
  • Hai considerato la necessaria sicurezza informatica e la sicurezza della blockchain prima di sviluppare la soluzione blockchain?
  • Hai fatto riferimento ai più ampi obiettivi di sicurezza dell’organizzazione prima di sviluppare la soluzione blockchain?
  • Hai definito gli obiettivi di sicurezza che la soluzione blockchain dovrà soddisfare?
  • Quanto sei sicuro che l’infrastruttura di base della soluzione blockchain consenta all’organizzazione di raggiungere i suoi obiettivi di business e sicurezza?
  • Hai elencato, dato la priorità e agito in base ai diversi rischi di sicurezza delle informazioni che la soluzione blockchain dovrà affrontare?
  • Hai implementato controlli di sicurezza per i rischi residui?
  • Hai discusso con le altre parti coinvolte nel funzionamento della soluzione blockchain come si svolgerà la governance della sicurezza?
  • Hai fatto ricerche su vari fornitori di sicurezza e sei sicuro che gli sviluppatori di blockchain seguiranno un processo di ciclo di vita dello sviluppo sicuro?
  • Cosa farai per monitorare la sicurezza della soluzione blockchain nel tempo?
  • Hai aggiornato le procedure di gestione delle crisi e di continuità operativa alla luce della soluzione blockchain?
  • Hai identificato le risorse di Security Operations Center per monitorare e rispondere agli incidenti blockchain?
  • Sei impegnato in continui test di penetrazione, monitoraggio e innovazione nella sicurezza della blockchain per tutta la durata del progetto?