Sinora, gli aspetti della sicurezza delle informazioni hanno sempre avuto come pilastri la terna RID (o CIA in inglese)
Nell’ultimo periodo, la sicurezza delle informazioni è diventata una priorità fondamentale per le organizzazioni di tutte le dimensioni. Con l’aumento esponenziale delle minacce informatiche e delle violazioni dei dati, la protezione delle informazioni sensibili è divenuta cruciale per mantenere la fiducia dei clienti e garantire la continuità aziendale.
Tuttavia, c’è un aspetto della sicurezza sinora trascurato o poco considerato: l’autenticità.
Tradizionalmente, la sicurezza delle informazioni è stata inquadrata attorno alla triade RID: Riservatezza, Integrità e Disponibilità (CIA in inglese); questi tre principi sono ovviamente essenziali per garantire che le informazioni siano protette da accessi non autorizzati, mantenute accurate e disponibili quando necessario.
Detto questo, noi affermiamo da tempo che senza l’autenticità, non possiamo considerare la sicurezza informatica completa.
Che cos’è l’Autenticità?
L’autenticità si riferisce alla capacità di garantire che le informazioni e i sistemi siano quelli che affermano di essere e che le comunicazioni provengano da fonti verificate e affidabili. In altre parole, è la garanzia che i dati inviati non siano falsificati e che le parti coinvolte nelle comunicazioni siano chi dichiarano di essere.
Perché l’Autenticità è Cruciale
- Prevenzione delle Frodi: Senza misure adeguate di autenticità, le organizzazioni sono vulnerabili a frodi e attacchi di impersonificazione, dove un attaccante può spacciarsi per un dipendente, un fornitore o un cliente.
- Integrità dei Dati: L’autenticità è fondamentale per garantire che i dati siano integri e non compromessi. Un sistema che non verifica l’autenticità delle informazioni rischia di utilizzare dati errati o manipolati, portando a decisioni sbagliate e potenzialmente dannose.
- Fiducia degli Utenti: In un’epoca in cui le violazioni della sicurezza sono all’ordine del giorno, gli utenti sono sempre più preoccupati per la sicurezza delle proprie informazioni. Garantire l’autenticità dei dati e delle comunicazioni può aumentare la fiducia dei clienti e migliorare la reputazione aziendale.
L’Integrazione dell’Autenticità nelle Normative
La recente revisione della direttiva NIS2 ha riconosciuto l’importanza dell’autenticità, evidenziando la necessità di considerare questo aspetto nella sicurezza delle informazioni.
Infatti, all’art.6 NIS2 – definizioni, al punto 2) si legge:
“sicurezza dei sistemi informatici e di rete»: la capacità dei sistemi informatici e di rete di resistere, con un determinato livello di confidenza, agli eventi che potrebbero compromettere la disponibilità, l’autenticità, l’integrità o la riservatezza dei dati conservati, trasmessi o elaborati o dei servizi offerti da tali sistemi informatici e di rete o accessibili attraverso di essi”
Questo è un passo significativo verso un approccio più olistico alla cybersecurity, in cui tutti gli aspetti della sicurezza – inclusa l’autenticità – sono considerati e integrati nelle politiche e nelle pratiche aziendali.
In conclusione, è fondamentale che le varie organizzazioni comprendano che – specialmente oggi con le mutate minacce cyber – senza l’autenticità non si può garantire una reale sicurezza; è quindi tempo di cambiare il vecchio concetto di sicurezza delle informazioni basato sulla famosa triade per includere questo cruciale quarto elemento, passando dalla classica RID ad un nuovo “quadrante” RIDA che garantisca non solo che i dati siano riservati, integri e disponibili, ma anche autentici.