Tietoturvassa on pohjimmiltaan kyse suojattavan tiedon turvaamisesta.
Suojattava tieto tarkoittaa yksinkertaisesti arvokasta tietoa – tietoa, jota et halua menettää etkä jakaa kilpailijoiden tai suuren yleisön kanssa. Useimmiten tällaiset tiedot ovat piirustuksia, henkilötietoja, strategioita ja suunnitelmia, jotka ovat joko organisaatiosi omaisuutta tai jotka organisaatio on saanut esimerkiksi tavarantoimittajalta tai alihankkijalta.
Tietoturvasta puhuttaessa lähtökohtana käytetään usein niin sanottua CIA-mallia, kolmea osatekijää, jotka yhdessä muodostavat tietojen suojaamisen perustan ja lähtökohdan.
CIA on lyhennys sanoista confidentiality (luottamuksellisuus), integrity (eheys) ja availability (saatavuus). Sanoista käytetään muitakin muunnelmia, mutta periaate on aina sama.
Luottamuksellisuudella tarkoitetaan, että tietoja ei paljasteta tai levitetä muille kuin niihin oikeutetuille henkilöille. Luottamuksellisuuteen kuuluu tietovarojen suojaaminen ulkoisilta uhkilta, kuten esimerkiksi kyberhyökkäyksiltä, ja myös tietojen sisäinen suojaaminen ja sen varmistaminen, etteivät työntekijät pääse käsiksi tietoihin, joihin heillä ei ole oikeutta.
Esimerkkejä suojauksesta: palomuurit, tietojen salaus (kryptaus), toimintaohjeet, työntekijöiden koulutus, kaksivaiheinen todentaminen, biometrinen tunnistautuminen (sormenjäljet), valtuutusten valvonta, penetraatiotestaus, haavoittuvuusskannaus.
Tietojen oikeellisuudella eli eheydellä tarkoitetaan sen varmistamista, että tiedot ovat oikeita ja että niihin voi luottaa. Tietoturvayhtiö Solarwindsia vastaan tehty hyökkäys on esimerkki hyökkäyksestä tiedostojen eheyttä tai oikeellisuutta vastaan. Hakkerit hyökkäsivät Solarwindin Orion-ohjelmiston päivitystiedostoihin ja tartuttivat niihin viruksen. Saastuneita tiedostoja lähetettiin 80 000 organisaatiolle eri puolilla maailmaa, myös USA:n turvallisuusviranomaisille. Suojaus liittyy luottamuksellisuuden suojaamiseen, mutta CIA-mallissa oikeellisuudella tarkoitetaan ennemminkin tietojen suojaamista niiden luvattomalta muuttamiselta/manipuloinnilta.
Esimerkkejä suojauksesta: Versiohallinta, tiedostojen käyttöoikeudet, varmuuskopiot
Saatavuus on CIA-mallin viimeinen osa, jolla pyritään varmistamaan, että tiedot ovat saatavilla silloin, kun niitä tarvitaan. Tähän sisältyy yleensä saatavuuden kokonaistarkastelu ohjelmistojen ja palvelimien mahdollistamasta tietojen saatavuudesta aina tiedonsiirtonopeuteen saakka. Perusajatuksena on varmistaa, että tiedot ovat saatavilla, jotta niihin oikeutetut tahot eivät turvaudu muihin (turvattomampiin) tapoihin päästäkseen tietoihin. Tietojen korkean saatavuuden varmistavat liiketoimintaprosessit ovat ratkaisevan tärkeitä korkean ja turvallisen tuottavuuden saavuttamiseksi organisaatioissa.
Esimerkkejä suojauksesta: Järjestelmät, tietojen palauttamisprosessi varmuuskopioista, katastrofien hallinta, varakapasiteetti, palvelimet
Suosittelemme tietojen luokittelua ennen suojatoimenpiteiden toteuttamista, toisin sanoen tietojen arvioimista CIA-mallin mukaan ja tietojen paljastumisen tai niiden manipuloinnin tai saavuttamattomuuden mahdollisten seurauksien arviointia. Voit pyytää lisätietoja tietojen luokittelusta meiltä.