La sicurezza dei dati tra confidenzialità, disponibilità e integrità

05 giugno 2023 / Di Alessandro Piva / 0 Comments

Gestire la sicurezza dei dati di un privato, o di una pubblica amministrazione, vuol dire essenzialmente garantire la tutela del proprio patrimonio informativo e, quindi, la protezione dei dati informatici aziendali. Esistono tre principi che sono alla base di una corretta gestione della sicurezza dei dati informatici. Scopriamoli in questo articolo con l'aiuto dell'Osservatorio Cybersecurity e Data Protection del Politecnico di Milano.

I tre principi della sicurezza informatica

Abbiamo già definito cosa si intende per sicurezza informatica (o Cyber Security). Cerchiamo ora di comprendere cosa c'è alla base di questa disciplina e come assicurarsi una corretta e adeguata gestione dei dati. Strategie, attività, ruoli, competenze, possono essere diverse, ma ogni attività volta alla tutela delle informazioni aziendali si basa sempre su tre pilastri.

Quando si parla di protezione e sicurezza dei dati informatici, esistono tre principi fondamentali su cui focalizzare l'attenzione, in nome di una corretta gestione: vale a dire confidenzialità, integrità e disponibilità (detta anche triade CIA - Confidentiality, Integrity and Availability).

Tali principi devono essere ricercati in ogni soluzione di sicurezza, tenendo conto anche delle implicazioni introdotte dalle vulnerabilità e dai rischi.

Confidenzialità dei dati

Una strategia volta alla privacy informatica deve in prima battuta offrire confidenzialità, ovvero garantire che i dati e le risorse siano preservati dal possibile utilizzo o accesso da parte di soggetti non autorizzati. La confidenzialità deve essere assicurata lungo tutte le fasi di vita del dato, a partire dal suo immagazzinamento, durante il suo utilizzo o il suo transito lungo una rete di connessione.

Le cause di violazione della confidenzialità possono essere imputabili a un attacco malevolo oppure a un errore umano. Le modalità di attacco possono essere molteplici, e passare ad esempio dalla sottrazione di password (il consiglio qui è sempre quello di generare password sicure attraverso software appositi), dall’intercettazione di dati su una rete, oppure da azioni di social engineering solo per citarne alcune. Gli errori delle persone in grado di compromettere la confidenzialità delle informazioni riguardano ad esempio lo scorretto utilizzo di strumenti e regole di autenticazione e il libero accesso a dispositivi a terze parti non autorizzate.

Tutelare la confidenzialità di un sistema informatico

Vi sono svariati strumenti che possono essere utilizzati per garantire la confidenzialità delle informazioni: la criptazione delle comunicazioni, le procedure di autenticazione, la creazione di modelli di data governance ben definiti e le azioni di awareness sugli utenti.

Il concetto di confidenzialità non è univoco, essendo diversi gli elementi che devono essere presi in considerazione dalla singola organizzazione in relazione al proprio business, ad esempio il grado di sensibilità delle informazioni che vengono trattate e il livello di criticità e di segretezza che le caratterizzano.

Possiedi gli strumenti giusti per la gestione della Cyber Security?

Scopri il Programma

Integrità dei dati informatici

Un altro elemento alla base del concetto di sicurezza informatica riguarda l’integrità, o meglio la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. Parlare di integrità significa prendere in considerazione differenti scenari: prevenire modifiche non autorizzate a informazioni da parte degli utenti, ma anche garantire che le informazioni stesse siano univocamente identificabili e verificabili in tutti i contesti in cui vengono utilizzate.

Policy di autenticazione e minacce all'integrità

Per assicurare l’integrità è necessario mettere in atto policy di autenticazione chiare e monitorare costantemente l’effettivo accesso e utilizzo delle risorse, con strumenti in grado di creare log di controllo. Controllo degli accessi (per esempio tramite sistemi di Identity & Access Management), procedure di autenticazione, sistemi di Intrusion Detection, restrizioni di accesso e, ancora una volta, formazione degli utenti rappresentano soluzioni utili per rispettare questo principio.

Le violazioni all’integrità dei dati possono avvenire a diversi livelli, dal semplice utente fino agli amministratori e possono essere legate a un utilizzo non conforme alle policy definite o a un sistema di security progettato in modo scorretto; vi sono anche vulnerabilità insite nel codice stesso che espongono applicazioni e risorse a potenziali usi fraudolenti, mettendo a rischio l’integrità delle informazioni.

Disponibilità dei dati

Infine, la disponibilità si riferisce alla possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno bisogno per un tempo stabilito e in modo ininterrotto. Rendere un servizio disponibile significa essenzialmente due cose: impedire che durante l’intervallo di tempo definito avvengano interruzioni di servizio e garantire che le risorse infrastrutturali siano pronte per la corretta erogazione di quanto richiesto.

Devono quindi essere messi in atto meccanismi in grado di mantenere i livelli di servizio definiti, avvalendosi di strumenti di Disaster Recovery, back up e Business Continuity, in grado di limitare gli effetti di possibili indisponibilità di servizio o perdita di dati.

Tecniche e tecnologie per la protezione e sicurezza dei dati

Le minacce che mettono a rischio la disponibilità di un servizio possono riguardare errori software, rotture di device, fattori ambientali ed eventi catastrofici che mettono fuorigioco le infrastrutture, come interruzioni dell’erogazione dell’energia elettrica, inondazioni, terremoti. Vi sono anche azioni malevole finalizzate nello specifico a rendere irraggiungibili i servizi: è il caso degli attacchi DoS/DDos (Denial of Service/Distributed Denial of Service) o delle interruzioni di comunicazione. Accanto alle motivazioni imputabili a un’azione dolosa, esistono altre ragioni che possono generare una violazione di disponibilità, come il sovrautilizzo di componenti hardware e software o l’accidentale rimozione di dati.

Le contromisure che si possono mettere in atto in questo caso riguardano ad esempio il disegno di infrastrutture di rete in grado di garantire la ridondanza dei sistemi e di offrire i servizi richiesti anche in caso di guasto o incidente, sistemi firewall in grado di proteggere le reti interne e sistemi di monitoraggio continuo del traffico. Le policy di Business Continuity garantiscono inoltre l’implementazione di soluzioni in grado di limitare i possibili punti di attacco.

In conclusione

I concetti di confidenzialità, integrità e disponibilità sono strettamente correlati tra loro e il disegno di un sistema di gestione della sicurezza dati necessita che vengano tenuti in considerazione in modo unitario.

Vuoi essere sempre aggiornato sui temi dell’Osservatorio Cybersecurity & Data Protection?

Scopri gli abbonamenti

  • Autore

Direttore degli Osservatori Cyber Security & Data Protection, Artificial Intelligence e Cloud Transformation e Responsabile della Ricerca dell'Osservatorio Big Data & Business Analytics.