La «triade CIA» («confidentiality, integrity and Availability», ossia «confidenzialità, integrità e disponibilità») serve a valutare la sicurezza delle informazioni e dei sistemi informatici. Si concentra su tre principi chiave della sicurezza dei dati:
- confidenzialità: si riferisce alla protezione dei dati riservati e degni di particolare protezione dalla divulgazione non autorizzata a terzi. Il grado di riservatezza può essere misurato sulla base delle conseguenze finanziarie o sulla reputazione per un’impresa nel caso in cui i dati venissero divulgati al pubblico;
- integrità: si riferisce alla protezione dei dati da modifiche non autorizzate. Il grado d’integrità può essere misurato sulla base delle conseguenze di un errore o di una modifica errata dei dati;
- disponibilità: si riferisce alla capacità degli utenti di accedere ai dati e ai sistemi informatici quando necessario. Il grado di disponibilità può essere misurato sulla base delle conseguenze di un’interruzione o di un guasto dei sistemi informatici.
La triade CIA aiuta le organizzazioni a comprendere i rischi per la sicurezza delle informazioni e ad affrontarli per garantire che i dati critici siano adeguatamente protetti.
È opportuno porsi alcune domande:
- confidenzialità: quale impatto finanziario (in percentuale della cifra d’affari) avrebbe la divulgazione dei dati confidenziali dell’impresa?
- integrità: quale sarebbe l’entità del danno se i dati venissero modificati (esempio di calcolo: quale sarebbe il danno se le fatture non potessero più essere inviate)?;
- disponibilità: quale sarebbe l’impatto finanziario se i dati non fossero più accessibili? Esempio di calcolo: (numero di collaboratori che non possono lavorare) x (numero di ore) x (retribuzione oraria)