Information Security & Privacy

La sicurezza informatica tra confidenzialità, disponibilità e integrità dei dati

16 maggio 2018 / Di Alessandro Piva / Nessun commento

Gestire la sicurezza informatica di un privato, o di una pubblica amministrazione, vuol dire essenzialmente garantire la protezione del proprio patrimonio informativo e, quindi, la sicurezza dei dati informatici aziendali.

I 3 principi della sicurezza informatica

Ma come assicurarsi una corretta e adeguata gestione dei dati? Strategie, attività, ruoli, competenze, possono essere diverse, ma ogni attività volta alla tutela delle informazioni aziendali si basa sempre su tre pilastri.

Quando si parla di sicurezza informatica o Cyber Security, sono tre infatti i principi fondamentali su cui focalizzare l'attenzione, in nome di una corretta gestione e protezione dei dati informatici: confidenzialità, integrità e disponibilità (detta anche triade CIA - Confidentiality, Integrity and Availability).

Tali principi devono essere ricercati in ogni soluzione di sicurezza, tenendo conto anche delle implicazioni introdotte dalle vulnerabilità e dai rischi.

1) Sicurezza informatica e confidenzialità

Un strategia di information security deve in prima battuta offrire confidenzialità, ovvero garantire che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati. La confidenzialità deve essere assicurata lungo tutte le fasi di vita del dato, a partire dal suo immagazzinamento, durante il suo utilizzo o il suo transito lungo una rete di connessione.

Le cause di violazione della confidenzialità possono essere imputabili ad un attacco malevolo oppure ad un errore umano. Le modalità di attacco possono essere molteplici, e passare ad esempio dalla sottrazione di password, dall’intercettazione di dati su una rete, oppure da azioni di social engineering solo per citarne alcune. Gli errori delle persone in grado di compromettere la confidenzialità delle informazioni riguardano ad esempio lo scorretto utilizzo di strumenti e regole di autenticazione e il libero accesso a dispositivi a terze parti non autorizzate.

Tutelare la confidenzialità di un sistema informatico

Vi sono svariati strumenti che possono essere utilizzati per garantire la confidenzialità delle informazioni: la criptazione delle comunicazioni, le procedure di autenticazione, la creazione di modelli di data governance ben definiti e le azioni di awareness sugli utenti.

Il concetto di confidenzialità non è univoco, essendo diversi gli elementi che devono essere presi in considerazione dalla singola organizzazione in relazione al proprio business, ad esempio il grado di sensibilità delle informazioni che vengono trattate e il livello di criticità e di segretezza che le caratterizzano.

2) Integrità dei dati informatici

Un altro elemento alla base del concetto di sicurezza informatica riguarda l’integrità, o meglio la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. Parlare di integrità significa prendere in considerazione differenti scenari: prevenire modifiche non autorizzate ad informazioni da parte degli utenti, ma anche garantire che le informazioni stesse siano univocamente identificabili e verificabili in tutti i contesti in cui vengono utilizzate.

Policy di autenticazione e minacce all'integrità

Per assicurare l’integrità è necessario mettere in atto policy di autenticazione chiare e monitorare costantemente l’effettivo accesso ed utilizzo delle risorse, con strumenti in grado di creare log di controllo. Controllo degli accessi (per esempio tramite sistemi di Identity & Access Management), procedure di autenticazione, sistemi di Intrusion Detection, restrizioni di accesso e, ancora una volta, formazione degli utenti rappresentano soluzioni utili per rispettare questo principio.

Le violazioni all’integrità dei dati possono avvenire a diversi livelli, dal semplice utente fino agli amministratori e possono essere legate ad un utilizzo non conforme alle policy definite o ad un sistema di security progettato in modo scorretto; vi sono anche vulnerabilità insite nel codice stesso che espongono applicazioni e risorse a potenziali usi fraudolenti, mettendo a rischio l’integrità delle informazioni. 

integrità dei dati informatici

3) Disponibilità dei dati

Infine, la disponibilità si riferisce alla possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito ed in modo ininterrotto. Rendere un servizio disponibile significa essenzialmente due cose: impedire che durante l’intervallo di tempo definito avvengano interruzioni di servizio e garantire che le risorse infrastrutturali siano pronte per la corretta erogazione di quanto richiesto.

Devono quindi essere messi in atto meccanismi in grado di mantenere i livelli di servizio definiti, avvalendosi di strumenti di Disaster Recovery, back up e Business Continuity, in grado di limitare gli effetti di possibili indisponibilità di servizio o perdita di dati.

Tecniche e tecnologie per la protezione dei dati 

Le minacce che mettono a rischio la disponibilità di un servizio possono riguardare errori software, rotture di device, fattori ambientali ed eventi catastrofici che mettono fuorigioco le infrastrutture, come ad esempio interruzioni dell’erogazione dell’energia elettrica, inondazioni, terremoti. Vi sono anche azioni malevole finalizzate nello specifico a rendere irraggiungibili i servizi: è il caso degli attacchi DoS/DDos (Denial of Service/Distributed Denial of Service) o delle interruzioni di comunicazione. Accanto alle motivazioni imputabili ad un’azione dolosa, esistono altre ragioni che possono generare una violazione di disponibilità, come ad esempio il sovrautilizzo di componenti hardware e software o l’accidentale rimozione di dati.

Le contromisure che si possono mettere in atto in questo caso riguardano ad esempio il disegno di infrastrutture di rete in grado di garantire la ridondanza dei sistemi e di offrire i servizi richiesti anche in caso di guasto o incidente, sistemi firewall in grado di proteggere le reti interne e sistemi di monitoraggio continuo del traffico. Le policy di Business Continuity garantiscono inoltre l’implementazione di soluzioni in grado di limitare i possibili punti di attacco.


I concetti di confidenzialità, integrità e disponibilità sono strettamente correlati tra loro ed il disegno di un sistema di gestione della sicurezza informatica necessita che vengano tenuti in considerazione in modo unitario.

Security e aziende: quali sono i numeri in Italia?   Scarica Infografica

Alessandro Piva

Alessandro Piva

Ricercatore alla School of Management del Politecnico di Milano, dove è responsabile della Ricerca degli Osservatori Information Security & Privacy, Big Data Analytics & BI e Cloud Transformation. All’interno delle sue aree di riferimento conduce attività di ricerca e consulenza per imprese e Pubbliche amministrazioni italiane

Articoli più letti