La Triade CIA (CIA Triad) è il modello concettuale fondante dell’intera disciplina della sicurezza informatica. Stabilisce che ogni sistema informativo sicuro deve garantire simultaneamente tre proprietà distinte e complementari: Confidenzialità (Confidentiality), Integrità (Integrity) e Disponibilità (Availability). Ogni controllo di sicurezza — tecnico, procedurale o organizzativo — può essere ricondotto alla tutela di almeno una di queste tre proprietà. Violare anche una sola di esse costituisce, per definizione, un incidente di sicurezza.
Confidenzialità
La confidenzialità garantisce che le informazioni siano accessibili esclusivamente ai soggetti autorizzati. I dati riservati non devono essere divulgati a chi non ha il diritto di conoscerli, né durante la memorizzazione né durante la trasmissione. È minacciata da intercettazioni passive (eavesdropping), furti di credenziali, accessi non autorizzati ed esfiltrazione di dati. I meccanismi tecnici principali sono la crittografia e il controllo degli accessi.
Integrità
L’integrità garantisce che le informazioni non siano alterate da soggetti non autorizzati — né accidentalmente né intenzionalmente — durante la memorizzazione o la trasmissione. Un dato integro è esattamente ciò che il suo autore ha prodotto. È minacciata da modifiche non autorizzate, corruzione dei dati e attacchi Man-in-the-Middle. I meccanismi tecnici principali sono le funzioni hash crittografiche e la firma digitale.
Disponibilità
La disponibilità garantisce che i sistemi e i dati siano accessibili agli utenti autorizzati quando ne hanno bisogno. Un sistema inaccessibile, anche se perfettamente confidenziale e integro, non ha valore operativo. È minacciata da attacchi DDoS, ransomware, guasti hardware e cancellazioni accidentali. I meccanismi principali sono la ridondanza, i backup e i piani di continuità operativa (BCP).
Tensioni tra le proprietà
Le tre proprietà possono entrare in conflitto, richiedendo scelte progettuali consapevoli. La cifratura totale di un sistema ne aumenta la confidenzialità ma può ridurre la disponibilità per latenza introdotta. I log immutabili rafforzano l’integrità ma occupano risorse che incidono sulla disponibilità. La firma digitale garantisce integrità e autenticità ma rivela l’identità del firmatario, riducendo l’anonimato. Ogni architettura di sicurezza è una negoziazione esplicita tra questi tre assi.
Estensioni del modello
La Triade CIA è il modello dominante, ma esistono estensioni che aggiungono proprietà supplementari. Il Parkerian Hexad (Donn B. Parker, 1998) introduce autenticità, possesso/controllo e utilità. Il modello DAD (Disclosure, Alteration, Denial) ne è il duale offensivo: descrive le tre categorie di violazione corrispondenti. In ambito normativo (ISO/IEC 27001, NIST CSF) la Triade CIA è il riferimento esplicito per la classificazione dei requisiti di sicurezza delle informazioni.