Il Parkerian Hexad, chiamato così dal nome del suo ideatore Donn Parker, è un modello di sicurezza che potremmo definire una variazione più complessa della classica triade della sicurezza (modello CIA).
Come abbiamo già detto la triade CIA è basata su confidenzialità, integrità e disponibilità. Il Parkerian Hexad oltre a comprendere i tre elementi già citati, è composto da altri tre elementi:
- Possesso o Controllo
- Autenticità
- Utilità
per un totale di sei principi fondamentali.
Abbiamo già trattato i principi di confidenzialità, integrità e disponibilita in un altro articolo, per cui passeremo adesso a descrivere i principi aggiuntivi di questo modello.
Parkerian Hexad
Possesso o Controllo
Il possesso e il controllo hanno a che fare con la disponibilità fisica del supporto o del sistema nel quale i dati sono contenuti.
Questo ci consente, senza coinvolgere altri fattori quali la disponibilità, per discutere nostra perdita dei dati nel suo supporto fisico.
Supponiamo per esempio di aver spedito dei file di backup e supponiamo inoltre che alcuni file siano stati criptati e altri no.
Il principio di possesso ci permette di descrivere con maggiore precisione la portata di una possibile perdita di dati; in caso di furto dei dati, i file crittografati sono un problema per il principio di possesso, ma non un problema per quanto concerne la riservatezza (confidenzialità). Se invece vengono rubati i file non criptati essi costituiscono un problema sia dal punto di vista del possesso che della confidenzialità.
Questo principio è fondamentale nel contesto odierno in cui i dati possono essere su più dispositivi e in numerose versioni contemporaneamente.
Autenticità
L’autenticità ci permette di parlare di attribuzioni corrette per quanto riguarda il proprietario o il creatore dei dati in questione.
Per esempio, se inviamo un messaggio di posta elettronica che viene alterato in modo tale da sembrare provenire da un indirizzo di posta elettronica diverso da quello da cui è stato effettivamente inviato, violeremmo l’autenticità della e-mail.
L’autenticità può essere implementata attraverso l’uso di una firma digitale.
Un concetto simile a quello dell’autenticità, ma contrario a questo, è la rinnegabilità o non ripudio (nonrepudiation).
Il non ripudio impedisce a qualcuno di realizzare un’azione, come ad esempio l’invio di una e-mail, e poi negare che questo qualcuno abbia agito così. Questo principio è fondamentale per l’e-commerce ed è definito dalle leggi che disciplinano le transazioni.
In una transazione, una delle parti non può negare di aver ricevuto ad esempio un pagamento né l’altra parte negare di avere inviato lo stesso pagamento.
Utilità
Il concetto di utilità si riferisce al modo in cui i dati sono utili per noi.
Possiamo avere diversi gradi di utilità, a seconda dei dati e del formato. Questo è un concetto un pò astratto, ma potrebbe rivelarsi utile nel discutere certe situazioni nel mondo della sicurezza.
Per esempio, in uno precedenti esempi, abbiamo avuto il caso di una spedizione di file di backup, alcuni dei quali sono stati criptati e altri no.
Per un attaccante, o un’altra persona non autorizzata, i file crittografati sarebbero probabilmente di poca utilità, in quanto i dati non sarebbero leggibili.
I file in chiaro invece sarebbero di maggiore utilità, in quanto un attaccante sarebbe in grado di accedere ai dati.
Attenzione
Sebbene il Parkerian Hexad sia un modello più completo e più funzionale rispetto al classico modello CIA, esso non è un modello conosciuto e diffuso come la triade CIA.
In caso di utilizzo di questo modello nel progetto di un sistema di sicurezza, dovremo essere pronti a spiegare e sfruttare le differenze e i benefici rispetto al classico modello CIA.
