2. Informationssäkerhet

Information som kodas till ettor och nollor kallas för data. När data överförs uppfattas som data i gång. När data lagras i databaser uppfattas som data i vila. Det är dessa olika tillstånd som behöver skyddas enligt triaden CIA, ett koncept som innehar tre säkerhets principer:

  • Confidentiality – Datasekretess innebär att endast auktoriserade personer/system kan se känslig eller sekretessbelagd information. När det gäller data i gång är kryptering det primära sättet att skydda den. Ett annat säkerhetsalternativ som kan använda tillsammans med kryptering är att använda separata nätverk för överföring av konfidentiella data.
  • Integrity – Dataintegritet innebär att endast auktoriserade individer/system får göra ändringar i specifika data.
  • Availability – Datatillgänglighet innebär att auktoriserade personer eller system har till hands data som behövs.

 

pic20-information-security
Bild 1: Informationssäkerhet

Sammanfattat kan man säga att informationssäkerhet handlar om att skydda information och informationssystem från obehörig åtkomst, olaglig användning, avslöjande, ändring eller förstörelse.

  • Kryptering ger sekretess genom att dölja klartextdata.
  • Dataintegritet, vilket innebär att uppgifter bevaras oförändrat under en operation, uppnås genom användning av hash mekanismer.
  • Tillgänglighet garanteras av säkerhetsmekanismer i nätverket och backup-system.

Exempel

Här nedan några exempel på hur information riskeras och bör skyddas:

  • Sekretess – Skydda information från att avslöjas till obehöriga parter. Till exempel när du lämnar in till en webbplats dina personuppgifter ska de endast användas i lagliga syfte och under överenskommelser du själv godkänner. När det gäller näringslivet bör känslig information, såsom försäljningsuppgifter eller kunddata, endast nås av auktoriserade personer som ledande befattningshavare och säljteam, och inte andra verksamheter eller avdelningar.
  • Integritet – skydda information från att ändras av obehöriga parter. Till exempel när du skickar dina personuppgifter till en webbplats, bör dina personuppgifter inte ändras på något sätt under dataöverföringen eller av webbplatsföretaget. När det gäller företag bör viktiga dokument eller siffror inte ändras och inte heller ändras av obehöriga utan föregående meddelande.
  • Tillgänglighet – Tillgång till information till behöriga parter endast när det begärs. Till exempel när du när som helst vill komma åt och kontrollera dina personuppgifter som hålls på en webbplats. När det gäller företag bör auktoriserad ledande personal ha tillgång till försäljningsuppgifter vid behov. Ingen annan bör tillåtas använda dina uppgifter för olagliga ändamål, eller se data ut ur nyfikenhet.

Begrepp

  • Riskhantering, ibland kallad incidenthantering, innebär hantering av hur resurser skyddas (asset protection) och på vilka sätt (security management).
  • Asset  är allt som är värdefullt för en organisation. Dessa kan vara konkreta objekt (personer, datorer, nätverkshanterare osv.) eller logiska objekt (immateriell egendom, databas information, kontaktlistor, redovisningsinfo, ekonomistatus, osv.)
  • Sårbarhet eller vulnerability på engelska är en utsatt svaghet i ett system. Sårbarheter kan finnas i protokoll, operativsystem, applikationer och systemdesign.
  • Hot eller threat på engelska är en potentiell fara för en resurs. Om en sårbarhet finns men ännu inte utnyttjats är hotet latent. Om någon sårbarhet är utsatt till en attack då har hotet realiserats.
  • Countermeasure. en dokumenterat skyddsåtgärd som på något sätt mildrar en potentiell risk.