Chi si avvicina al mondo della sicurezza informatica sentirà presto parlare della triade. Non si tratta della famigerata mafia cinese ma di tre concetti tra essi collegati e che sono il fondamento della cyber: Confidentiality, Integrity e Availability, ovvero Riservatezza (o confidenzialità), Integrità e Disponibilità.
Vediamo di capire di che si tratta.
Riservatezza: dati e informazioni, trattati, trasmessi o conservati su dispositivi elettronici (ma in generale anche dati su dispositivi analogici, cartacei ecc) devono essere protetti da chi non ha alcun titolo a conoscerli, ovvero devono essere mantenuti confidenziali.
La riservatezza è dunque una caratteristica dei sistemi informativi e di comunicazione. Per ottenere e mantenere la confidenzialità si possono usare tecniche miste, tecnologiche, fisiche e organizzative. Per esempio una organizzazione potrebbe decidere che i dati più sensibili non vengano mai trasmessi su sistemi informatici ma debbano essere conservati su registri cartacei, ricopiati a mano ogni qualvolta necessario per preservarli dall'invecchiamento del supporto e dell'inchiostro, consultati solo in apposita stanza, sorvegliati a vista da una guardia armata. Voi direte che si tratta di procedure sorpassate. Forse, ma potrebbe esserci ancora qualcuno che fa così e magari ha le sue ragioni e queste ragioni sono legate probabilmente alla confidenzialità. In una società come la nostra, dipendente sempre più da sistemi e servizi digitali e da comunicazioni onnipresenti e in tempo reale, per garantire la confidenzialità si può optare per l'impiego di algoritmi di cifratura e di dispositivi di trattazione il cui accesso è garantito da sistemi di gestione dell'identità e da un sistema di autenticazione a due o tre livelli. Questioni organizzative, tecnologiche e di opportunità fanno si che chi gestisce i dati decida come questi vanno conservati e trattati per essere accessibili solo a chi ne ha titolo.
Integrità: dati e informazioni sono necessari per prendere decisioni. Che si tratti di un medico che deve visualizzare i dati pregressi del paziente per capire se un nuovo sintomo è indice di una nuova condizione, o di un'amministratore delegato di un'azienda quotata in borsa che deve decidere se investire in una nuova startup, ciò che è importante è essere sicuri che i dati a propria disposizione siano effettivamente quelli reali e che nessuno li abbia potuti modificare senza lasciare traccia.
Immaginate cosa può accadere se un malintenzionato avesse libero accesso ad un registro cartaceo o digitale e si divertisse a modificare i gruppi sanguigni dei pazienti di un ospedale? Oppure se qualcuno accedesse ai database di una banca e si divertisse a cambiare i nomi degli utenti di una banca?
Nella migliore delle ipotesi sarebbe il caos, nella peggiore si potrebbero avere delle vittime.
Ecco dunque che quando si parla di garantire l'integrità dei dati ci si riferisce ai sistemi che consentono di evitare cambiamenti ai dati da parte di individui non autorizzati. Tali sistemi sono, come visto in precedenza per la confidenzialità, un misto di procedure, tecnologia e di opportunità di business.
Disponibilità: avere dati e informazioni e non potervi accedere, quale che sia il motivo, converrete con me che è poco utile. Ecco dunque che interviene il concetto di availability, disponibilità, secondo cui è necessario che i dati siano sempre disponibili a chi ne ha la necessità ed è autorizzato ad accedervi, in tempi congrui alle operazioni che devono essere compiute.
Ecco dunque che fino a qualche anno fa esisteva la pratica di salvare un file in pdf, memorizzarlo su un dispositivo di memorizzazione e poi fare una fotocopia o una stampa del documento e conservarla nella propria raccolta degli atti di frequente consultazione. Questo accadeva in parte per poca dimestichezza coi computer e in parte perchè non essendo pratici di archiviazione spesso si perdevano i file archiviati o ancora perchè i file, archiviati "in rete" non erano sempre "disponibili" quando necessario. Le ragioni cambiano, ma talvolta, ancor oggi, si continuano a fare le fococopie.
Ecco dunque spiegata, in breve e con esempi pratici, cosa si intende con il termine "triade" in sicurezza informatica.
Leggi anche: "Cos'é la Cybersecurity? Una guida introduttiva"
Per approfondire:
- https://www.checkpoint.com/it/cyber-hub/cyber-security/what-is-it-securi...
- https://www.stationx.net/what-is-the-cia-triad/
- Pensiero Sicuro di Alessandro Oteri: Che cosa è un'informazione e...