Ogni giorno compiamo decine di azioni nel mondo digitale senza pensarci troppo. Sblocchiamo lo smartphone con l’impronta digitale, scorriamo i feed dei social network, inviamo messaggi attraverso applicazioni di messaggistica istantanea, effettuiamo acquisti online. In ciascuno di questi momenti, diamo per scontato che le nostre informazioni personali siano al sicuro, che nessuno stia leggendo le nostre conversazioni private, che il denaro sulla nostra carta prepagata sia protetto, che le foto archiviate nel cloud rimangano accessibili solo a noi.
Ma cosa significa davvero «sicurezza» quando parliamo di dati e sistemi informatici? La risposta, elaborata dagli esperti di cybersecurity fin dagli albori dell’informatica moderna, ruota attorno a tre principi fondamentali che insieme formano un modello concettuale noto come Triade CIA: Riservatezza (Confidentiality), Integrità (Integrity) e Disponibilità (Availability). L’acronimo deriva dalle iniziali inglesi, ma il concetto è universale e rappresenta la bussola che orienta ogni decisione in materia di sicurezza informatica.
Possiamo immaginare questi tre principi come i pilastri di un antico tempio greco: ciascuno sostiene una parte della struttura, e se anche uno solo dovesse cedere, l’intero edificio rischierebbe di crollare. La Triade CIA non è una lista di requisiti da spuntare né un insieme di regole rigide. È piuttosto un modo di pensare alla protezione delle informazioni che riconosce come la sicurezza sia sempre un equilibrio dinamico: la vera sfida consiste nel mantenere tutti e tre i pilastri solidi, adattandosi continuamente a nuove minacce e a nuove esigenze.
Prima di esaminare ciascun pilastro, è necessario introdurre un concetto preliminare che attraversa l’intero documento: non tutte le informazioni hanno lo stesso valore. La password di accesso al sistema contabile di un’azienda vale molto di più, dal punto di vista della sicurezza, dell’elenco dei piatti disponibili nella mensa aziendale. Il numero di una carta di credito ha un valore radicalmente diverso da un post pubblico su un social network. Questa differenza di valore è ciò che rende necessaria la classificazione delle informazioni, ovvero l’assegnazione di un livello di sensibilità a ciascun dato: pubblico, interno, riservato, segreto. La classificazione è il primo passo pratico per decidere quali controlli di sicurezza applicare e con quale intensità, perché proteggere tutto allo stesso modo è sia impossibile sia economicamente insostenibile.
Riservatezza: il Custode dei Segreti Digitali
La riservatezza è probabilmente il concetto più intuitivo della triade, quello che più facilmente associamo all’idea stessa di sicurezza. Corrisponde al nostro bisogno umano di privacy, al desiderio di controllare chi può accedere alle informazioni che ci riguardano. Traslata nel mondo digitale, la riservatezza ha una missione chiara: assicurare che le informazioni siano accessibili esclusivamente a chi possiede il legittimo diritto di consultarle, in base alla classificazione assegnata a quel dato.
Gli Strumenti della Riservatezza
Per proteggere le informazioni da occhi indiscreti, la sicurezza informatica ha sviluppato un arsenale di strumenti sofisticati.
Il più potente è senza dubbio la crittografia, l’arte di trasformare un messaggio leggibile in un testo cifrato incomprensibile per chiunque non possieda la chiave corretta. La crittografia moderna si basa su algoritmi matematici estremamente robusti. La crittografia simmetrica, come l’algoritmo AES-256 (Advanced Encryption Standard), utilizza una singola chiave sia per cifrare sia per decifrare: è veloce e adatta a proteggere grandi volumi di dati. La crittografia asimmetrica, basata su algoritmi come RSA o le curve ellittiche (ECC), utilizza invece una coppia di chiavi matematicamente correlate: una pubblica, che chiunque può conoscere, e una privata, che deve rimanere segreta. Questi due approcci vengono spesso combinati nei protocolli reali. Ad esempio, la crittografia end-to-end utilizzata da applicazioni come Signal o WhatsApp è un modello architetturale in cui la cifratura e la decifratura avvengono esclusivamente sui dispositivi degli utenti finali: nessun server intermedio, nemmeno quello del fornitore del servizio, può leggere il contenuto dei messaggi. Sotto la superficie, questo modello impiega la crittografia asimmetrica per scambiare le chiavi in modo sicuro e quella simmetrica per cifrare efficientemente i messaggi.
Parallelamente alla crittografia, i sistemi di controllo degli accessi regolano chi può fare cosa all’interno di un sistema. Questo processo si articola in due fasi distinte che è fondamentale non confondere. L’autenticazione risponde alla domanda “chi sei?” e consiste nella verifica dell’identità dichiarata dall’utente. L’autorizzazione risponde invece alla domanda “cosa puoi fare?” e determina quali risorse e operazioni sono consentite a quell’identità verificata. Un’analogia chiarisce la differenza: l’autenticazione è il badge che apre la porta d’ingresso dell’edificio, l’autorizzazione è la lista delle stanze specifiche in cui quel badge funziona. Si può essere autenticati (riconosciuti come dipendenti) ma non autorizzati ad accedere alla sala server.
Per aumentare la sicurezza dell’autenticazione si utilizza l’autenticazione a più fattori (MFA, Multi-Factor Authentication), che combina almeno due elementi appartenenti a categorie diverse:
- qualcosa che l’utente sa: password, PIN, risposta a una domanda segreta;
- qualcosa che l’utente possiede: smartphone, chiavetta hardware di sicurezza (come YubiKey), smart card;
- qualcosa che l’utente è: impronta digitale, riconoscimento facciale, scansione dell’iride.
La forza dell’MFA risiede nel fatto che compromettere un singolo fattore non è sufficiente: un attaccante che ruba la password deve anche possedere fisicamente il dispositivo dell’utente o replicarne i dati biometrici, rendendo l’attacco esponenzialmente più difficile.
Un principio architetturale strettamente collegato al controllo degli accessi è il principio del minimo privilegio (Least Privilege): ogni utente, processo o programma dovrebbe disporre esclusivamente dei permessi strettamente necessari per svolgere il proprio compito, e nulla di più. Un impiegato dell’ufficio contabilità ha bisogno di accedere ai dati finanziari, ma non ai fascicoli delle risorse umane. Un’applicazione web che gestisce un catalogo prodotti deve poter leggere il database, ma non cancellarne le tabelle. Il minimo privilegio limita i danni in caso di compromissione: se un account con permessi limitati viene violato, l’attaccante eredita solo quei permessi ridotti, non il controllo dell’intero sistema.
Esempio Pratico: l’Accesso all’Home Banking
Quando accediamo al conto bancario online, tutti questi strumenti entrano in azione simultaneamente. La connessione tra il nostro browser e il server della banca viene protetta dal protocollo TLS (Transport Layer Security), visibile dall’icona del lucchetto e dalla sigla “https” nella barra degli indirizzi. TLS utilizza la crittografia asimmetrica per negoziare una chiave di sessione e poi la crittografia simmetrica per proteggere tutti i dati scambiati durante la navigazione. Dopo l’inserimento delle credenziali (autenticazione tramite qualcosa che sappiamo), la banca richiede un secondo fattore, tipicamente un codice temporaneo generato dall’app sul nostro smartphone (qualcosa che possediamo). Una volta superata l’autenticazione a due fattori, il sistema di autorizzazione garantisce che possiamo operare esclusivamente sui nostri conti, visualizzare solo i nostri estratti conto e disporre solo dei nostri fondi, applicando di fatto il principio del minimo privilegio.
Integrità: la Garanzia della Verità e dell’Accuratezza
Se la riservatezza protegge i dati dalla vista non autorizzata, l’integrità li protegge dalla modifica indebita. È la custode della coerenza e dell’accuratezza delle informazioni durante il loro intero ciclo di vita: dalla creazione alla trasmissione, dall’archiviazione alla cancellazione.
L’importanza dell’integrità emerge con forza nei contesti in cui un dato alterato può avere conseguenze gravi. In un ospedale, se il dato relativo a un’allergia alla penicillina venisse modificato nella cartella clinica elettronica di un paziente, il medico potrebbe prescrivere un farmaco potenzialmente letale. Nel settore finanziario, la modifica di una singola cifra in un ordine di bonifico potrebbe dirottare fondi verso un conto controllato da un criminale. L’integrità assicura che queste alterazioni vengano prevenute oppure, quantomeno, rilevate immediatamente.
Gli Strumenti dell’Integrità
È fondamentale distinguere due scenari diversi che richiedono strumenti diversi: la protezione da corruzione accidentale (errori di trasmissione, guasti hardware) e la protezione da manipolazione deliberata (un attaccante che modifica intenzionalmente i dati).
Per il primo scenario si utilizzano gli algoritmi di hashing. Un algoritmo di hash prende un input di qualsiasi dimensione (un file, un messaggio, un intero database) e produce un’impronta digitale (hash o digest) di lunghezza fissa. Algoritmi come SHA-256 (Secure Hash Algorithm) producono un hash di 256 bit, ovvero una stringa di 64 caratteri esadecimali. La proprietà cruciale è l’estrema sensibilità: la modifica di un singolo bit nell’input produce un hash completamente diverso, fenomeno noto come effetto valanga. Tuttavia, l’hashing da solo presenta un limite importante: se un attaccante modifica il file e ricalcola l’hash, pubblicando il nuovo hash al posto dell’originale, l’utente non ha modo di accorgersi della manipolazione. L’hash protegge dalla corruzione accidentale, ma non dalla manipolazione intenzionale.
Per proteggersi dalla manipolazione deliberata servono strumenti aggiuntivi. Le firme digitali combinano l’hashing con la crittografia asimmetrica: l’autore calcola l’hash del documento e lo cifra con la propria chiave privata, producendo una firma. Chiunque può verificare la firma usando la chiave pubblica dell’autore, ottenendo la garanzia sia che il documento non è stato alterato (integrità) sia che è stato effettivamente prodotto da quell’autore (autenticità). Dalle firme digitali discende un principio importante: il non ripudio (Non-Repudiation), ovvero l’impossibilità per un soggetto di negare di aver compiuto un’azione. Se un dirigente firma digitalmente l’approvazione di un contratto, non può in seguito sostenere di non averlo mai autorizzato: la firma digitale costituisce prova crittografica della sua azione.
Un altro strumento è l’HMAC (Hash-based Message Authentication Code), che combina l’hashing con una chiave segreta condivisa tra mittente e destinatario. A differenza dell’hash semplice, l’HMAC non può essere ricalcolato da un attaccante che non possiede la chiave segreta, garantendo così l’integrità anche contro manipolazioni intenzionali. L’HMAC è ampiamente utilizzato nei protocolli di comunicazione sicura, incluso TLS.
Esempio Pratico: Scaricare un Software in Sicurezza
Quando un produttore di software pubblica un programma per il download, affianca al file di installazione il suo hash SHA-256. L’utente, dopo aver scaricato il file, può calcolare l’hash localmente usando strumenti integrati nel sistema operativo e confrontarlo con quello pubblicato dal produttore. Se i due hash corrispondono, il file non ha subito corruzione durante il trasferimento. Questa verifica protegge da errori di trasmissione e, in parte, da manomissioni, a condizione che l’utente abbia ottenuto l’hash originale da una fonte affidabile e separata dal file stesso. Per una garanzia completa contro la manipolazione intenzionale, i produttori più attenti forniscono anche la firma digitale del file, verificabile con la loro chiave pubblica.
Disponibilità: il Diritto di Accedere alle Informazioni
La disponibilità garantisce che i sistemi e le informazioni siano operativi e accessibili nel momento in cui gli utenti autorizzati ne hanno bisogno. È il pilastro più “invisibile” della triade: nessuno pensa alla disponibilità finché tutto funziona, ma la sua assenza produce conseguenze immediate e spesso devastanti.
Un sito di e-commerce che diventa irraggiungibile durante il Black Friday può perdere milioni di euro in poche ore. Un sistema di controllo del traffico aereo che si blocca causa ritardi a catena, cancellazioni di voli e rischi per la sicurezza dei passeggeri. Un servizio di posta elettronica aziendale inaccessibile per un’intera giornata lavorativa paralizza la comunicazione interna e i rapporti con clienti e fornitori.
Le Minacce alla Disponibilità
Le minacce alla disponibilità possono essere accidentali o intenzionali. Tra le prime rientrano i guasti hardware (rottura di un disco, malfunzionamento di un alimentatore), gli errori software (bug che causano crash), gli errori umani (un amministratore che cancella accidentalmente un database) e i disastri naturali (alluvioni, terremoti, incendi).
Tra le minacce intenzionali, due categorie meritano particolare attenzione:
- gli attacchi DoS (Denial of Service) e DDoS (Distributed Denial of Service): inondano il sistema bersaglio con un volume enorme di richieste fasulle, saturandone le risorse (banda di rete, capacità di calcolo, memoria) fino a renderlo inutilizzabile per gli utenti legittimi. Un attacco DDoS si distingue dal DoS perché le richieste provengono da migliaia o milioni di dispositivi compromessi (una cosiddetta botnet), rendendo molto più difficile filtrare il traffico malevolo;
- il ransomware: un tipo di malware che, una volta penetrato in un sistema, ne crittografa i dati rendendoli inaccessibili e chiede alla vittima il pagamento di un riscatto (solitamente in criptovaluta) per ottenere la chiave di decifratura.
È importante notare come il ransomware moderno rappresenti un esempio concreto dell’interconnessione tra i pilastri della triade. Le varianti più recenti adottano una strategia di doppia estorsione (double extortion): prima esfiltrano i dati sensibili copiandoli su server controllati dagli attaccanti (violando la riservatezza), poi li crittografano sul sistema della vittima (violando la disponibilità). Il riscatto viene richiesto sia per la chiave di decifratura sia per la promessa di non pubblicare i dati rubati. Alcune organizzazioni criminali praticano persino la tripla estorsione, minacciando anche i clienti o i partner della vittima i cui dati sono stati esfiltrati. Un singolo attacco, dunque, può colpire simultaneamente tutti e tre i pilastri della triade.
Gli Strumenti della Disponibilità
Le contromisure per la disponibilità si concentrano su due capacità complementari: la resilienza (la capacità di resistere a un evento avverso continuando a funzionare) e il recupero (la capacità di ripristinare rapidamente il servizio dopo un’interruzione).
La ridondanza è il principio cardine della resilienza: duplicare i componenti critici affinché il guasto di uno non interrompa il servizio. Alimentatori ridondanti nei server, dischi configurati in RAID (Redundant Array of Independent Disks), connessioni di rete multiple, server replicati in data center geograficamente distanti sono tutte applicazioni di questo principio.
Le architetture cloud portano la ridondanza a un livello superiore, distribuendo l’infrastruttura su molteplici data center in regioni diverse del mondo. Se un intero data center diventa indisponibile (per un guasto, un attacco o un disastro naturale), il traffico viene automaticamente reindirizzato verso le altre sedi, in un processo chiamato failover.
Contro gli attacchi DDoS esistono contromisure specifiche. Le CDN (Content Delivery Network) come Cloudflare o Akamai distribuiscono i contenuti su una rete globale di server, assorbendo il traffico malevolo prima che raggiunga il server di origine. I servizi di mitigazione DDoS analizzano il traffico in tempo reale, distinguendo le richieste legittime da quelle malevole e filtrando queste ultime attraverso centri di pulizia specializzati chiamati scrubbing center. Tecniche come il rate limiting (limitazione del numero di richieste accettate da un singolo indirizzo IP in un dato intervallo di tempo) aggiungono un ulteriore livello di protezione.
Per la capacità di recupero, i piani di backup e disaster recovery sono fondamentali. Questi piani stabiliscono procedure dettagliate per il ripristino dei sistemi e dei dati, guidati da due parametri chiave:
- RPO (Recovery Point Objective): la quantità massima di dati che l’organizzazione può permettersi di perdere, espressa in tempo. Un RPO di 4 ore significa che i backup devono essere effettuati almeno ogni 4 ore, perché in caso di disastro si perderanno al massimo le ultime 4 ore di dati;
- RTO (Recovery Time Objective): il tempo massimo entro cui i sistemi devono essere ripristinati e tornare operativi dopo un’interruzione. Un RTO di 2 ore significa che l’organizzazione si impegna a riportare il servizio online entro 2 ore dall’incidente.
Un Equilibrio Delicato: la Gestione dei Compromessi
Nella pratica, i tre pilastri della triade possono entrare in tensione tra loro, e la sfida della sicurezza informatica non è massimizzare ciascun principio indipendentemente ma trovare il giusto equilibrio in funzione del contesto.
Aumentare la riservatezza con livelli multipli di autenticazione e crittografia può rallentare l’accesso ai dati, riducendo di fatto la disponibilità. Implementare controlli di integrità rigorosi su ogni transazione aggiunge latenza ai sistemi, penalizzando le prestazioni. Privilegiare la disponibilità con accessi rapidi e semplificati può indebolire i controlli di riservatezza e integrità.
Ogni settore risolve questo equilibrio in modo diverso, in base alla natura delle informazioni trattate e alle conseguenze specifiche di una violazione:
- i sistemi bancari privilegiano l’integrità, perché un errore nei saldi o nelle transazioni ha conseguenze economiche dirette e mina la fiducia dei clienti;
- i servizi di streaming come Netflix o YouTube privilegiano la disponibilità, perché un’interruzione del servizio ha un impatto immediato sull’esperienza dell’utente e sui ricavi pubblicitari, mentre una breve violazione della riservatezza dei metadati di visualizzazione è meno critica;
- i sistemi militari e di intelligence privilegiano la riservatezza, perché la divulgazione di informazioni classificate può compromettere operazioni, mettere a rischio vite umane e minacciare la sicurezza nazionale.
La classificazione delle informazioni introdotta all’inizio di questo documento è precisamente lo strumento che permette di calibrare questi compromessi: dati classificati come “segreti” riceveranno controlli di riservatezza massimi anche a scapito della comodità di accesso, mentre dati “pubblici” potranno privilegiare la disponibilità senza investimenti significativi in riservatezza.
La Gestione del Rischio: dalla Triade alla Decisione Operativa
La Triade CIA definisce cosa proteggere, ma non dice come allocare risorse limitate tra infinite possibili minacce. Questo è il compito della gestione del rischio (Risk Management), il processo decisionale sistematico attraverso cui un’organizzazione identifica le minacce ai propri asset, valuta la probabilità e l’impatto di ciascuna e decide come investire le proprie risorse per proteggere riservatezza, integrità e disponibilità in modo proporzionato al valore di ciò che si protegge.
Ogni controllo di sicurezza implementato (un firewall, una policy sulle password, un programma di backup, un corso di formazione per i dipendenti) esiste per proteggere uno o più pilastri della triade rispetto a specifiche minacce. La gestione del rischio è il ponte che collega il modello teorico della triade alle decisioni pratiche quotidiane.
Le Fasi della Gestione del Rischio
Fase 1: identificare i rischi. Si parte dalla mappatura degli asset (tutto ciò che ha valore per l’organizzazione: dati, sistemi, persone, reputazione, proprietà intellettuale) e dalla loro classificazione per valore e sensibilità. Si identificano poi le minacce (attaccanti esterni, dipendenti malintenzionati, errori umani, guasti tecnici, disastri naturali) e le vulnerabilità (debolezze nei sistemi, nei processi o nelle persone che le minacce potrebbero sfruttare). Il concetto di superficie di attacco (Attack Surface) è utile in questa fase: rappresenta l’insieme di tutti i punti attraverso cui un attaccante potrebbe tentare di penetrare nel sistema. Ogni servizio esposto su internet, ogni porta di rete aperta, ogni account utente attivo, ogni dispositivo connesso alla rete amplia la superficie di attacco. Ridurre la superficie di attacco (disattivando servizi non necessari, chiudendo porte inutilizzate, eliminando account obsoleti) è una delle strategie difensive più efficaci.
Fase 2: analizzare e valutare i rischi. Per ciascuna combinazione minaccia-vulnerabilità si stima la probabilità che l’evento si verifichi e l’impatto che avrebbe sull’organizzazione. Il rischio è generalmente espresso come il prodotto di questi due fattori. Un evento molto probabile ma con impatto trascurabile può rappresentare un rischio accettabile; un evento raro ma catastrofico richiede invece misure preventive rigorose. La valutazione permette di stabilire una priorità: quali rischi affrontare per primi e con quante risorse.
Fase 3: trattare i rischi. Per ciascun rischio identificato e valutato, l’organizzazione sceglie una delle quattro strategie fondamentali:
- mitigazione (Risk Mitigation): implementare controlli tecnici, organizzativi o procedurali per ridurre la probabilità o l’impatto del rischio. Installare un firewall, adottare l’MFA, formare i dipendenti sul phishing sono tutti esempi di mitigazione;
- trasferimento (Risk Transfer): spostare parte del rischio su un soggetto terzo, tipicamente attraverso polizze assicurative cyber o l’esternalizzazione di servizi a fornitori specializzati che si assumono la responsabilità contrattuale della sicurezza;
- accettazione (Risk Acceptance): decidere consapevolmente di non intervenire su un rischio perché il suo livello è considerato tollerabile o perché il costo delle contromisure supera il valore dell’asset protetto. L’accettazione deve sempre essere una decisione documentata e approvata dal management, mai una scelta passiva per negligenza;
- evitamento (Risk Avoidance): eliminare completamente il rischio rinunciando all’attività o alla tecnologia che lo genera. Un’azienda potrebbe decidere di non raccogliere determinati dati sensibili dei clienti, eliminando alla radice il rischio di una loro violazione. L’evitamento è la strategia più drastica e non sempre praticabile, ma in alcuni casi è la scelta più razionale.
Strategie di Trattamento del Rischio
| Strategia | Definizione | Esempio concreto | Quando sceglierla |
|---|---|---|---|
| Mitigazione(Risk Mitigation) | Implementare controlli per ridurre la probabilità o l’impatto del rischio. | Installare un firewall, attivare l’MFA, formare i dipendenti sul phishing. | Quando il rischio è significativo ma l’attività che lo genera è irrinunciabile. |
| Trasferimento(Risk Transfer) | Spostare parte del rischio su un soggetto terzo attraverso contratti o polizze. | Stipulare una polizza assicurativa cyber; esternalizzare la sicurezza a un MSSP. | Quando l’impatto finanziario potenziale è elevato e un terzo può gestirlo meglio. |
| Accettazione(Risk Acceptance) | Decidere consapevolmente di non intervenire, documentando la decisione. | Non investire nella protezione di dati già pubblici il cui costo di difesa supera il valore dell’asset. | Quando il rischio è basso o il costo delle contromisure è sproporzionato. |
| Evitamento(Risk Avoidance) | Eliminare il rischio rinunciando all’attività o alla tecnologia che lo genera. | Non raccogliere dati biometrici dei clienti se non strettamente necessari al servizio. | Quando il rischio è inaccettabile e l’attività non è essenziale per il business. |
Fase 4: monitorare e rivedere. Il panorama delle minacce evolve continuamente. Nuove vulnerabilità vengono scoperte, nuove tecniche di attacco emergono, l’infrastruttura dell’organizzazione cambia. La gestione del rischio non è un esercizio da compiere una tantum: richiede un ciclo continuo di monitoraggio, rivalutazione e aggiornamento dei controlli.
Framework di Riferimento
Diverse organizzazioni hanno sviluppato framework standardizzati che guidano le aziende nell’implementazione strutturata della gestione del rischio.
| Framework | Organizzazione | Struttura e ambito | Destinatari | Punto di forza |
|---|---|---|---|---|
| NIST CSF | NIST (USA) | 5 funzioni core: Identify, Protect, Detect, Respond, Recover. Framework flessibile e adattabile. | Organizzazioni di ogni dimensione; diffuso in USA. | Flessibilità e linguaggio comune tra business e tecnici. |
| ISO/IEC 27001 | ISO / IEC | Requisiti per un ISMS (Information Security Management System). Standard certificabile con audit di terze parti. | Aziende che necessitano di certificazione formale internazionale. | Certificazione riconosciuta globalmente. |
| CIS Controls | Center for Internet Security | Lista prioritizzata di 18 controlli di sicurezza concreti, organizzati per livello (IG1, IG2, IG3). | Chi cerca un punto di partenza pratico e immediato. | Azioni concrete e prioritizzate, ideale per iniziare. |
Questi framework non sono alternativi ma complementari, e la loro conoscenza è un requisito fondamentale per qualsiasi professionista della cybersecurity.
Dalla Teoria alla Pratica Quotidiana
I concetti affrontati in questo documento non appartengono esclusivamente al mondo delle grandi aziende o degli specialisti. Ogni persona che utilizza dispositivi digitali applica (o dovrebbe applicare) quotidianamente i principi della triade CIA.
Come utenti individuali, proteggiamo la riservatezza quando scegliamo password robuste e uniche per ogni servizio e attiviamo l’autenticazione a due fattori. Proteggiamo l’integrità quando verifichiamo l’hash di un software scaricato o ci assicuriamo di navigare su siti autentici e non su copie fraudolente. Proteggiamo la disponibilità quando eseguiamo backup regolari dei nostri dati su supporti esterni o servizi cloud.
Come studenti di cybersecurity, il passo successivo è comprendere che questi stessi principi, applicati su scala molto più ampia e con strumenti più sofisticati, costituiscono il fondamento dell’intera disciplina. Ogni tecnica, ogni strumento, ogni certificazione professionale che incontrerete nel vostro percorso formativo si riconduce, in ultima analisi, alla protezione di riservatezza, integrità e disponibilità attraverso una gestione consapevole e metodica del rischio.