Informationssäkerhet handlar i grund och botten om att säkra upp skyddsvärd information.
Med skyddsvärd information menar man helt enkelt värdefull information. Information som du varken vill förlora, eller låta dina konkurrenter eller allmänheten få ta del av. I de allra flesta fall handlar det om ritningar, personuppgifter, strategier och planer som antingen ägs av din organisation eller som du fått till dig av en leverantör eller underleverantör.
När man pratar om informationssäkerhet brukar man ofta utgå ifrån en välkänd vägledande princip, den så kallade CIA triaden. Triaden består av tre delar som tillsammans utgör en bas och utgångspunkt för hur information kan skyddas.
CIA står för konfidentialitet (confidentiality), riktighet (integrity) och tillgänglighet (availability). Det finns också andra varianter på översättningen men principen är densamma.
Konfidentialitet innebär att man ser till att skydda sin information från att avslöjas eller spridas till andra obehöriga personer. Här rör det sig om att dels skydda sina informationstillgångar från yttre hot som kan komma i form av cyberattacker, men även skydda internt och förhindra att medarbetare får åtkomst till information som de inte ska ha tillgång till.
Exempel på skydd: brandväggar, kryptering, policys, utbildningar för medarbetare, 2 faktorsautentiering, biometrisk identifikation (fingeravtryck), behörighetskontroll, penetrationstest, sårbarhetsskanning.
Riktighet eller integritet, handlar om att informationen ska vara korrekt och gå att lita på. Attacken mot säkerhetsföretaget Solarwinds är ett exempel på när integriteten eller riktigheten i filerna angreps. Hackarna attackerade och infekterade uppdateringsfilerna i Solarwinds mjukvara Orion. De infekterade filerna skickades senare ut till 80 000 organisationer världen över, däribland säkerhetsmyndigheter i USA. Skyddet har kopplingar till det skydd som berör konfidentialitet men i triaden handlar riktighet mer om att skydda information mot obehörig förändring/manipulering.
Exempel på skydd: Versionshantering, filrättigheter, backuper
Tillgänglighet är den sista delen i CIA triaden och handlar om att säkerställa att åtkomst finns till informationen när det behövs. Här brukar man titta på hela tillgängligheten, från själva möjligheten att komma åt informationen genom programvara och servrar till filöverföringshastighet. En grundidé är att säkerställa att åtkomst finns så att behöriga användare inte tar andra alternativa (mer osäkra) vägar för att nå informationen. Att verksamhetsprocesser finns för att säkerställa hög tillgänglighet är kritiskt för att uppnå en hög och säker produktivitet i organisationer.
Exempel på skydd: System, process kring återställning från backupper, katastrofhantering, redundans, servrar
Innan du går vidare med att genomföra skyddsåtgärder rekommenderar vi att ni först genomför en informationsklassning. Det innebär att ni värderar er information utifrån CIA modellen och försöker skatta vilka konsekvenserna blir om informationen exponeras, manipuleras eller blir otillgänglig. Vill du veta mer om hur man arbetar med informationsklassning kan du antingen läsa mer på MSB’s sida om informationsklassning eller höra av dig till oss.