No, non sono la stessa cosa.
La Sicurezza delle informazioni (Information Security) ha a che fare con la necessità che le informazioni mantengano caratteristiche di riservatezza, integrità e disponibilità (R.I.D.).
E’ una triade molto conosciuta, che gli anglosassoni chiamano C.I.A.: confidentiality, integrity, availability.
In pratica, un’informazione deve rimanere “riservata”, ossia accessibile solamente agli utenti autorizzati a visionarla; deve, quindi, essere protetta da accessi non autorizzati, interni o esterni che siano.
Un’informazione, inoltre, deve rimanere “integra”, ossia non modificabile, oppure modificabile solo dalle persone che siano autorizzate a farlo.
Infine, un’informazione deve essere “accessibile” tutte le volte in cui ce ne dobbiamo servire. In questo ultimo caso, per esempio, se avessimo perso in modo irreparabile un file o un documento, ne avremmo perso la disponibilità.
La c.d. Cybersecurity è riferita, più specificamente, alla sicurezza dei sistemi informatici: è dunque legata alla sicurezza e alla protezione contro le minacce informatiche.
La differenza è intuibile: una violazione della sicurezza di un’informazione in senso “classico” è, per esempio, come nell’esempio fatto sopra, la perdita di un documento cartaceo, oppure un accesso non autorizzato a documenti classificati.
Una violazione di cyber security, invece, riguarda i sistemi informatici, come nel caso di un attacco ransomware che abbia criptato tutti i file di un server.
La Privacy, infine, riguarda un ambito più limitato ma non meno importante delle informazioni: quelle che sono definibili dati personali.
Si tratta, in particolare, di tutte quelle informazioni che consentono di individuare una persona direttamente o anche indirettamente, mediante il confronto, il raffronto o la connessione di più dati (un dato identificativo come un nome o un indirizzo personale, oppure un codice, un identificativo come una targa di un veicolo).
Per questi motivi si afferma che se le violazioni dei dati personali sono incidenti di sicurezza delle informazioni, non tutti gli incidenti sono necessariamente violazioni dei dati personali: un evento, infatti, potrebbe riguardare la sicurezza di un’informazione ma non la privacy, perché quell’informazione non è un dato personale: il furto di un brevetto o di un disegno industriale è un incidente di sicurezza delle informazioni, mentre il furto o la perdita di una chiavetta usb con una lista di clienti è un incidente che riguarda la privacy. Si chiama data breach.