Differenza tra disponibilità, integrità, riservatezza e autenticità in informatica

La sicurezza è da sempre legata al concetto di protezione dei dati che hanno valore per coloro che li utilizzano e la cui perdita può rappresentare un danno economico e d’immagine soprattutto per le aziende che su di essi basano il proprio business.

Secondo la norma ISO 177991: “un sistema informatico é considerato sicuro quando è in grado di garantire determinati requisiti di sicurezza in termini di disponibilità, integrità, riservatezza e autenticità”.

Vediamo il significato di queste quattro parole chiave:

1. disponibilità: il sistema deve garantire la disponibilità delle informazioni agli utenti autorizzati nei tempi e nei modi previsti dalla policy aziendale;
2. integrità: il sistema deve impedire e segnalare qualsiasi tentativo di manomissione dei dati da parte di persone non autorizzate o determinato da eventi casuali;
3. riservatezza: le informazioni devono essere accessibili esclusivamente agli utenti autorizzati;
4. autenticità: il sistema deve garantire la paternità delle informazioni.

Gli obiettivi della sicurezza sono normalmente descritti dal cosiddetto paradigma C.I.D. (dalle iniziali di confidenzialità, integrità e disponibilità). Tale paradigma è di difficile realizzazione, per cui un sistema informatico non sarà mai perfettamente sicuro e nessuna politica di sicurezza potrà impedire il verificarsi prima o poi di un’intrusione, sia che venga condotta dall’esterno sia che venga perpetrata dall’interno in maniera più subdola. I sistemi reali sono assai complessi e costituiti da molte componenti in stretta correlazione. Inoltre la sicurezza si scontra con il bisogno di garantire la piena fruibilità delle risorse, per cui occorre raggiungere una sorta di compromesso dal momento che una protezione assoluta implicherebbe delle limitazioni tali da negare i servizi persino agli utenti autorizzati. Non a caso si dice che un sistema realmente sicuro è solo quello spento e scollegato dalla rete.

In più nella maggior parte dei casi il software utilizzato (dai sistemi operativi agli applicativi in generale) viene acquistato da terze parti, non potendo sostenere i costi di uno sviluppo interno. In questo modo si introduce un grave rischio perché non disponendo dei sorgenti è praticamente impossibile controllare il comportamento del codice, che può presentare vulnerabilità ed esporre a minacce di ogni tipo. Non da ultimo bisogna considerare che i costi della sicurezza devono essere opportunamente bilanciati in rapporto al valore delle risorse da proteggere.