La multidimensionalità della sicurezza delle informazioni e il ruolo del Data Protection Officer

La sicurezza delle informazioni è una materia complessa che ha visto nel tempo l’elaborazione di standard (volontari), linee guida (soft law) e normative (nazionali e UE) afferenti alla protezione dei dati e dei sistemi informatici. Il modello originario, a cui si fa ancora riferimento, è noto come triade CIA: Confidentiality, Integrity, Availability, ovvero riservatezza, integrità e disponibilità dei dati.

In particolare ora che i sistemi informativi sono aperti all’interazione e le comunicazioni sono generalmente veicolate in forma elettronica, ulteriori connotazioni stanno assumendo una maggiore rilevanza, come pure emerge dalla pubblicistica in materia, in particolare ci si riferisce a profilo dell’autenticità e a un corollario non secondario, ma meno trattato, quello della veridicità.

È sempre opportuno soffermarsi sulla portata dei tre elementi della suddetta triade:

• Riservatezza - proteggere i dati dall'accesso non autorizzato, garantendo che solo soggetti identificati e abilitati possano consultarli. Le misure di protezione includono: a) crittografia (AES-256, RSA) per proteggere i dati sensibili; b) autenticazione a più fattori (MFA) per rafforzare la sicurezza degli accessi; c) classificazione delle informazioni per definire livelli di protezione adeguati;
•  Integrità - assicurare che i dati siano accurati, completi e non alterati senza autorizzazione. Tra gli strumenti principali: a) controlli di accesso e audit log per monitorare le modifiche; b) più in generale una “catena di custodia” senza soluzione di continuità; c) backup e ridondanza per prevenire perdite di dati. 
• Disponibilità - garantire che le informazioni e i sistemi siano accessibili agli utenti autorizzati quando necessario. Questo obiettivo si raggiunge ad es. attraverso: a) sistemi di disaster recovery per il ripristino in caso di incidenti; b) protezione da attacchi DDoS per evitare interruzioni del servizio.

Se in generale primeggia l’integrità del dato, a seconda delle circostanze assumono primario rilievo anche la riservatezza (si pensi a dati afferenti al sicurezza nazionale o particolari categorie di dati personali) e la disponibilità ad esempio nella gestione dei processi di cura di una struttura ospedaliera.

Autenticità e Integrità

L'elemento dell’autenticità è collegato all’integrità: il patrimonio informativo può essere protetto, come il caveau di una banca, ma avere scarso valore se i dati non sono veritieri analogamente a banconote false.

Il modello CIA è il risultato di un'evoluzione storica nel campo della sicurezza informatica, con contributi provenienti da esperti (uno dei primi pionieri è stato James Anderson con un lavoro del 1972 Computer security technology planning study ) e da organizzazioni governative USA (il rimando è alle numerose pubblicazioni in tema di computer systems technology, a partire dal 500-16 del 1977, del National Institute of Standards and Technology – NIST nonché al Trusted Computer System Evaluation Criteria cd. Orange book del 1985).

Per proseguire la lettura dell'articolo di Pasquale Mancino - Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione - questo è il link