Che cos'è la garanzia dell'informazione?
La maggior parte delle organizzazioni fa affidamento su informazioni archiviate e accessibili elettronicamente, attraverso un numero qualsiasi di sistemi e reti di informazioni. Con l'archiviazione e l'accessibilità delle informazioni critiche attraverso mezzi elettronici, esiste un rischio intrinseco per il modo in cui tali informazioni vengono archiviate e accessibili, da chi e per quali scopi. Information assurance (IA) è il termine usato per definire le pratiche e i processi coinvolti nella gestione di tali rischi associati per mitigare efficacemente il danno potenziale. Esistono tre modelli comunemente usati di assicurazione delle informazioni, ciascuno basato sul suo predecessore. Questi modelli includono la triade della CIA, i Cinque pilastri di IA e il modello Hexad di Parker.
La triade della CIA è considerata il primo modello di assicurazione delle informazioni introdotto per definire pratiche efficaci per garantire la sicurezza e l'integrità delle informazioni. Basato su tre componenti principali della gestione della IA, la triade della CIA è giustamente chiamata per la sua enfasi su riservatezza, integrità e disponibilità al centro del modello. Molte organizzazioni, in particolare agenzie di intelligence civili e militari negli Stati Uniti, fanno affidamento sulla triade della CIA per proteggere sia l'archiviazione che l'accesso ai dati sensibili. Sebbene questo modello serva bene come base, perde alcuni attributi molto importanti per la gestione di IA. Successivamente, furono sviluppati altri modelli per tenere conto di quelle dimensioni.
Riprendendo da dove il modello della triade della CIA termina, il modello di assicurazione delle informazioni Five Pillars aggiunge alcune altre dimensioni al processo e alle procedure progettate per proteggere le informazioni. Utilizzato principalmente dal Dipartimento della Difesa negli Stati Uniti e da varie altre organizzazioni governative, queste dimensioni aggiuntive includono il non ripudio e l'autenticazione. Le organizzazioni al di fuori del governo tendono ad utilizzare un approccio misto di entrambi questi modelli, ponendo di solito l'accento sulle componenti che ritengono più importanti per la loro missione organizzativa. Molte aziende, tuttavia, hanno ritenuto opportuno integrare un modello più arrotondato di gestione dei rischi di assicurazione delle informazioni, e quindi lo sviluppo di un terzo modello.
Donn B. Parker è responsabile dell'introduzione del modello esadecimale di Parker di assicurazione delle informazioni, che si concentra su molte delle stesse attribuzioni, aggiungendo al contempo un componente aggiuntivo ed eliminando i componenti sovrapposti. Sei attributi fondamentali compongono il modello: riservatezza, possesso, integrità, autenticità, disponibilità e utilità. L'autenticità in questo modello, tuttavia, differisce dalla definizione di autenticazione utilizzata dal modello Five Pillars, facendo riferimento alla validità dei dati in ogni momento, piuttosto che identificare e garantire l'accesso agli utenti. Sebbene questo modello non sia così diffuso nella distribuzione, molte organizzazioni che si basano su informazioni che devono essere presentate nel suo formato e contenuto originale spesso lo preferiranno. Tali organizzazioni potrebbero includere studi legali che devono garantire che le prove protette nei casi non siano state manomesse.