La triade della Sicurezza Informatica. Riservatezza, Integrità e Disponibilità

Non è cosa semplice fornire una definizione esauriente di Computer Security.
Il NIST Computer Security Handbook [1] definisce la Sicurezza Informatica come la protezione offerta da un sistema informativo automatizzato al fine di preservare la confidenzialità, l’integrità e la disponibilità delle risorse informative trattate.

Secondo la ISO/IEC 27000 [2] la Sicurezza delle Informazioni (Information Security) è l’insieme delle attività volte a preservare la riservatezza, l’integrità e la disponibilità delle informazioni.
Notiamo come le definizioni offerte da queste fonti autorevoli siano abbastanza simili e ruotino intorno a tre importanti proprietà.
La triade, conosciuta in letteratura con l’acronimo R.I.D., identifica, quindi, tre obiettivi chiave nell’ambito della sicurezza informatica.
Ma cosa intendiamo per riservatezza (o confidenzialità), integrità o disponibilità? Nel seguito dell’articolo cercherò di chiarire e mettere in relazione questi tre importanti concetti.

Riservatezza

La riservatezza, anche chiamata confidenzialità, è la capacità dell’informazione di essere disponibile in un dato momento solo ad individui, ad entità o a processi autorizzati [3]. In altri termini, questa proprietà assicura che le informazioni riservate non siano comunicate o addirittura divulgate a soggetti non legittimati ad accedervi.

Integrità

L’integrità implica la garanzia che le informazioni non possano essere modificate o addirittura cancellate per azioni non autorizzate, volontarie o involontarie, ma anche per danni o malfunzionamenti dei sistemi [3].

Disponibilità

La disponibilità è la proprietà che rende l’informazione immediatamente accessibile ed utilizzabile, entro i termini stabiliti, su richiesta di un’entità autorizzata [3].

Altre proprietà di sicurezza

Autenticità, completezza e non ripudiabilità rappresentano altre importanti proprietà connesse alla sicurezza delle informazioni, annoverabili come casi particolari di integrità.
Le informazioni sono: autentiche, se è provabile la certezza della sorgente, della destinazione e del contenuto del messaggio; complete, se non presentano carenze dovute ad una cancellazione non autorizzata, anche parziale; non ripudiabili, se complete di firma (o di un suo equivalente) offrendo certezza che chi trasmette/riceve i dati non neghi di averli trasmessi/ricevuti [3].

Conclusione

I seguenti concetti incarnano gli obiettivi di sicurezza fondamentali sia per le informazioni che per i sistemi che le trattano [4].  Purtroppo, un sistema informativo sarà difficilmente “perfettamente sicuro”.
Eugene Spafford, docente della Purdue University (USA), esperto nel settore dell’informatica, ha affermato che “l’unico vero sistema sicuro è un sistema spento, chiuso in una gettata di cemento, sigillato in una stanza rivestita di piombo, protetta da guardie armate”, ma anche in quel caso avrebbe nutrito dubbi sulla sicurezza.
La triade R.I.D. è difficilmente raggiungibile, forse “utopica” e la sicurezza informatica è un compromesso tra garantire la necessità di trattare le risorse informative e la protezione assoluta che, per definizione, negherebbe le informazioni anche ai soggetti legittimati all’accesso.

[1] NIST, S. P. (1995). 800-12-An Introduction to Computer Security: The NIST Handbook
[2] Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for information security management
[3] Gallotti, C. (2019). Sicurezza delle informazioni: valutazione del rischio; i sistemi di gestione per la sicurezza delle informazioni; la norma ISO/IEC 27001. Lulu.com
[4] Radack, S. M. (2004). Federal Information Processing Standard (FIPS) 199, standards for security

Photo by Glenn Carstens-Peters on Unsplash