McCumber Cube: le molteplici sfaccettature della Cybersecurity

Un modello di sicurezza informatica sviluppato agli albori di internet, ma ancor oggi attuale nel mondo della Cybersecurity.

Tre facce, nove paradigmi. Riscopriamo il McCumber Cube.

Un modello di sicurezza informatica sviluppato agli albori di internet, ma ancor oggi attuale nel mondo della Cybersecurity.

L’immagine che abbiamo messo a corredo dell’articolo rappresenta il Cubo di McCumber. Nell’aspetto come si può vedere è tale e quale al cubo di Rubik, con la particolarità che su ogni lato visibile sono rappresentate le tre categorie fondamentali della sicurezza informatica, stabilite nel 1991 dall’omonimo John McCumber, uno dei padri fondatori della disciplina.

Nella fattispecie, il primo lato del cubo include i principi della sicurezza informatica, spesso identificati anche con l’espressione ‘CIA Triad’ (più avanti nell’articolo si capirà da dove arrivi l’acronimo). Il secondo identifica i possibili stati che il dato può assumere. Con il terzo e ultimo vengono definiti i requisiti gli esperti devono avere per poter garantire il necessario livello di sicurezza.

I concetti fondamentali di questo modello risiedono nel considerare la sicurezza informatica come un’entità separata dall’evoluzione tecnologica e, in secundis, nel suggerire che esista un’intima correlazione tra le tre dimensioni che abbiamo appena descritto. Il modello di McCumber pone dunque l’accento sul tenere sempre uno sguardo trasversale sulla sicurezza, evitando di focalizzarsi su un aspetto in particolare (ad esempio concentrandosi su controlli automatizzati e trascurando invece l’aspetto della formazione o della revisione delle policy). Ogni aggiunta o modifica in materia di sicurezza deve quindi sempre essere effettua alla luce dell’impatto complessivo che questa avrebbe non solo sugli obiettivi di sicurezza immediati (CIA Triad), ma altresì considerando quali siano le trasformazioni che il dato subirebbe nel processo, nonché l’influenza su infrastruttura e personale aziendale.

Vediamo ora come i tre lati della sicurezza informatica siano effettivamente declinati secondo la chiave di lettura fornitaci da McCumber.

Security Principles: i principi della sicurezza informatica

Nella prima dimensione del cubo sono contenuti gli obiettivi necessari alla protezione del cosiddetto cyberspazio, sono i fondamentali del modello e come già detto vengono identificati anche con l’espressione CIA Triad.

L’acronimo è composto dalle iniziali dei tre principi e il primo di essi è la confidenzialità (Confidentiality) o anche privacy. Attraverso di essa si previene, attraverso la limitazione degli accessi, che l’informazione possa essere usata da persone, risorse o processi non autorizzati. Le metodologie utilizzate per assicurare la confidenzialità di un dato sono la crittografia (per approfondire vedi il nostro articolo dedicato), l’autenticazione e il controllo degli accessi.

L’integrità (Integrity) si riferisce all’accuratezza, consistenza e affidabilità del dato. La si può chiamare anche qualità del del dato; il quale nel suo ciclo vita subisce varie trasformazioni come l’acquisizione, il salvataggio, il recupero, l’aggiornamento e il trasferimento. Un dato integro è quello che rimane inalterato a seguito di tutte queste operazioni, quando eseguite da soggetti non autorizzati. Una tecnica per assicurarne l’integrità è attraverso l’hashing, il controllo di validazione, consistenza e accesso al dato.

La disponibilità (Availability) assicura che l’informazione sia accessibile ai soggetti interessati, quando necessario. Attacchi informatici e guasti di sistema possono impedire l’erogazione del servizio. I metodi utilizzati per assicurare che i sistemi critici siano sempre attivi includono: la ridondanza, il backup, la resilienza dei sistemi, la manutenzione e l’aggiornamento di sistemi operativi e software. Ultimo, ma non certo per importanza, è utile un piano di Disaster Recovery per ripristinare i servizi a una situazione di normalità a fronte di grandi disastri.

Information States: gli stati del dato

La seconda dimensione è incentrata sulle problematiche che insorgono a seconda dello stato in cui si trova il dato.

Il primo stato è quello del dato in trasmissione (Transmission), ossia quando l’informazione viene trasferita tra sistemi. Le tecnologie per trasferire i dati sono di diverso tipo:

Con sneaker net ci si riferisce al trasferimento di dati attraverso supporti rimovibili (ad esempio copiare foto tra due computer con una chiavetta usb).
Nelle reti cablate, cavi in rame o fibra ottica sono utilizzati per spostare grandi quantità di dati, su scala locale (Local Area Network) o geografica (Wide Area Network).
Nelle reti senza filo o wireless, vengono usate le onde radio al posto dei cavi. La rapida evoluzione del wi-fi sta trasformando il concetto stesso di lavoro, portando ad un impiego sempre più massivo di dispositivi smart e decentralizzando il luogo in cui l’attività viene svolta (ad esempio, direttamente da casa anziché in ufficio).

Le reti cablate e wireless utilizzano dei pacchetti per suddividere l’informazione e trasferirla efficientemente tra l’origine e la destinazione del tragitto. Gli standard di riferimento sono l’Internet Protocol (IP) e l’ Hypertext Transfer Protocol (HTTP) che dettagliano il formato che questi pacchetti di dati devono avere.

C’è poi il dato a riposo (Storage), vale a dire tutto ciò che è archiviato su un dispositivo di archiviazione, ma al momento non è utilizzato da alcun processo. Anche in questo caso esistono variegate risorse per assolvere tale compito:

Direct-attached storage (DAS) è quel tipo di supporto di salvataggio connesso direttamente ad un computer. Si pensi al classico hard disk o ssd, ma anche ad una semplice chiavetta USB. Come impostazione di default queste periferiche non sono condivise nella rete.
Redundant array of independent disks (RAID) è la tecnologia che impiega molteplici dischi fisici, presentati al sistema operativo come fosse uno. Grazie a questo espediente è possibile ottenere, a seconda della configurazione, la ridondanza del dato o una maggior performance in fase di trasferimento dello stesso.
Network attached storage (NAS) è un dispositivo di archiviazione, connesso alla rete, e che dunque permette un accesso centralizzato al dato da utenti autorizzati.
Storage area network (SAN) è una rete dedicata all’archiviazione dei dati, attraverso un’interfaccia ad alte prestazioni che prevede la possibilità di connettere molteplici server ad un unico repository centralizzato.
Cloud Storage tecnologia di salvataggio remoto che mette a disposizione di una larghissima utenza lo spazio di archiviazione di un data center, accessibile da qualsiasi postazione che abbia accesso a internet.

Il terzo stato è quello del dato in elaborazione (Processing), sul quale vengono effettuate delle operazioni al fine di ottenere il risultato desiderato.

Data entry, scansione, caricamento di file, acquisizione di dati attraverso la sensoristica. E’ la cosiddetta fase di input del dato, ed è particolarmente critica per via del fatto che ciascuno dei metodi appena elencati è potenzialmente in grado di compromettere l’integrità della base dati che vanno ad alimentare. Possibili cause di corruzione del dato? Ad esempio un errore di digitazione nel data entry manuale, l’inserimento di un dato malformato, una disconnessione improvvisa, un malfunzionamento o il guasto di un sensore.
La fase di modifica è riferita ad ogni cambiamento apportato all’informazione originale, sia esso in forma manuale o automatizzata, intenzionale o accidentale. Codifica e decodifica, compressione e decompressione, crittazione e decrittazione sono le più frequenti operazioni di modifica. Chiaramente, anche un codice maligno è in grado di corrompere un set di dati.
La corruzione del dato può avvenire anche in fase di output, quando l’informazione viene trasmessa a un monitor, una stampante o altro ancora.

Cybersecurity Safeguards: la salvaguardia della sicurezza informatica

Siamo alla terza e ultima dimensione, comprende nella sostanza le abilità richieste al professionista per poter proteggere il Cyberspazio.

Tecnologia (Technology): tutte le soluzione software e hardware concepite per ostacolare i cybercriminali.

Tecnologie software di protezione per sistemi operativi, database, server, dispositivi portatili (software firewall, scanner di rete, analizzatori di protocolli o firme digitali, sistemi di rilevamento delle intrusioni).
Tecnologie hardware per proteggere le infrastrutture aziendali (firewall hardware, Dedicated Intrusion Detection Systems (IDS), Intrusion Prevention Systems (IPS) e servizi di Content Filtering)
Tecnologie di rete sempre nell’ottica di protezione degli asset (Virtual Private Network (VPN), Network access control (NAC), Access Point con funzioni di crittografia e autenticazione)
Tecnologie cloud che hanno la particolarità di spostare la componente tecnologica dall’azienda al cloud provider (Software as a Service (SaaS), Infrastructure as a Service (IaaS) e Platform as a Service (PaaS))

Policy ed esercitazioni (Policies and Practices): la tecnologia da sola non è sufficiente; affinché le misure di sicurezza siano davvero efficaci, devono essere integrate da policy (standard obbligatori), linee guida (consigli su come aumentare la sicurezza) e procedure chiare (come fare cosa) che diano modo agli utenti di utilizzare le risorse informatiche in sicurezza, senza equivocità di sorta.

Ecco alcuni spunti per integrare un programma di formazione strutturale che sensibilizzi sulla cybersecurezza:

Prevedere un corso introduttivo già nella fase di inserimento delle nuove risorse
Includere tra i requisiti per i candidati un livello minimo di competenza
Preparare corsi interni
Frequentazione di corsi online

Fattore umano (People): come già accennato nel nostro articolo a tema, ogni risultato è vano finché la cultura aziendale non è permeata dalla consapevolezza degli strumenti che ha a disposizione.

E’ un processo continuo e per essere davvero efficace deve attraversare tutti i livelli aziendali in egual modo. Tutto il personale è coinvolto: dal management, che ha il dovere di stabilire le modalità e diffonderle, al personale, che deve essere addestrato ad applicare le direttive in ogni fase della propria attività lavorativa.

Lascia un commento Annulla risposta

Se ti è piaciuto condividici sui tuoi social preferiti :

Iscriviti alla newsletter

Articoli correlati

Manifatturiero italiano e AI: il bilancio 2025 e le 5 priorità per il 2026

Il 2025 si chiude con un paradosso: il mercato AI italiano vale 1,2 miliardi di euro e cresce del 58%, ma solo l’8,2% delle PMI manifatturiere ha adottato almeno una tecnologia AI. Nel frattempo le regole sono cambiate: Transizione 5.0 è esaurita, il credito software 4.0 è abolito, e l’ERP entra negli incentivi solo con Energy Dashboard. L’articolo analizza i numeri e propone cinque priorità concrete per il 2026.

L’Intelligenza Artificiale Sbarca in Fabbrica (Ma Trova la Sbarra Abbassata)

L’intelligenza artificiale promette di rivoluzionare l’industria manifatturiera, ma nelle PMI italiane l’adozione procede a rilento. Questo articolo esplora con tono ironico – ma fondato su dinamiche reali – le barriere che frenano la trasformazione digitale: dalla mitologica “Tecnica di Gino” (manutenzione empirica) ai dati archiviati in quadernoni Excel con 47 fogli dal nome “FINALE_v3”, dalla paura di investimenti a lungo termine alla preferenza per muletti concreti rispetto ad algoritmi astratti. Attraverso scenette riconoscibili – la riunione con il consulente incomprensibile, la burocrazia di Transizione 4.0, Giuseppe e il suo quadernone verde – l’articolo identifica i veri ostacoli: dati disorganizzati, resistenza culturale, ROI poco chiaro. Ma anche le opportunità per PMI specializzate che potrebbero beneficiare enormemente dall’AI. Bonus: scritto dalla collaborazione di cinque intelligenze artificiali.

Fondi Industria 5.0 Esauriti: Non Fermare gli Investimenti. La Strategia SIVAF per Finanziare la Tua Digitalizzazione Subito

📌 Cosa sapere in 30 secondi Il 7 novembre 2025 il MIMIT ha chiuso lo sportello Transizione 5.0 con un

🚀 Iperammortamento 2026: Arrivano gli Incentivi Super-Potenziati per gli Investimenti 4.0

Il nuovo Iperammortamento 2026 sostituisce i piani Transizione 4.0 e 5.0 con un sistema di incentivi fiscali più generoso. Le imprese possono ottenere maggiorazioni di ammortamento fino al 180% per investimenti in beni strumentali 4.0, che salgono al 220% se si raggiungono obiettivi di efficientamento energetico (3% su struttura o 5% su processi). Il meccanismo prevede tre fasce di investimento fino a 20 milioni di euro, con aliquote decrescenti. Novità importante: sono inclusi fotovoltaico, sistemi di accumulo e software. Due scorciatoie per il bonus green: sostituzione di beni ammortizzati da 24 mesi o progetti con ESCo. La misura vale solo per il 2026, con consegne possibili fino a giugno 2027. Gestione affidata al GSE. Criticità: durata annuale, mancanza decreto attuativo, assenza vincolo “made in Europe”.

Illustrazione di un uomo d'affari che osserva un percorso di finanziamenti (simboleggiato da monete e simboli di valuta) che conduce verso un'azienda manifatturiera moderna e digitalizzata, rappresentando i bandi e gli incentivi per la digitalizzazione delle PMI.

Bandi e incentivi 2025 per la digitalizzazione delle PMI manifatturiere

Nel 2025, la digitalizzazione delle PMI manifatturiere è sostenuta da numerosi bandi e incentivi. Questo articolo analizza i principali strumenti, come il Credito d’imposta Transizione 5.0, i Voucher regionali e il Bando ISI INAIL. Sfruttare queste opportunità permette di finanziare l’acquisto di software gestionali e soluzioni Industria 4.0 a costi drasticamente ridotti. Investire oggi in queste tecnologie significa aumentare la produttività, ridurre gli sprechi e ottenere un vantaggio competitivo duraturo. Non è solo un costo, ma un investimento strategico per la crescita. SIVAF offre consulenza gratuita per navigare tra i bandi e scegliere la soluzione giusta per la tua azienda.

Contrasto visivo tra un ufficio disorganizzato con un computer obsoleto e un'interfaccia moderna di un software gestionale per PMI.

Quanto costa NON avere un software gestionale in azienda: una verità che le PMI devono conoscere

Quanto costa NON avere un software gestionale in azienda
Molte PMI vedono il software gestionale come un costo da rimandare, ma la realtà è che la non digitalizzazione costa molto di più, ogni singolo giorno. Errori, inefficienze e opportunità mancate drenano risorse e riducono la competitività.

Ecco i 5 costi nascosti e perché investire in un sistema moderno è la scelta più conveniente.

Non avere un software gestionale non ti fa risparmiare, ma ti costa ogni giorno. Un gestionale moderno ti permette di ridurre sprechi, crescere senza limiti e prendere decisioni basate su dati reali. La vera domanda è: quanto stai già perdendo oggi senza un gestionale?

5 segnali che il tuo gestionale è superato | SIVAF

Scopri i 5 segnali che indicano che il tuo gestionale è obsoleto e come un software moderno può far crescere la tua PMI. Consulenza gratuita SIVAF.

Illustrazione del passaggio da gestione produzione con fogli Excel complessi e disorganizzati a un software gestionale moderno e integrato di SIVAF Informatica per PMI.

Software gestionale PMI Bergamo | Passa da Excel a una gestione efficiente

Stanco della gestione con Excel? Scopri come passare a un software gestionale per PMI. Automatizza produzione, ordini e magazzino per far crescere la tua azienda.