2. Informationssäkerhet

CIA är ett koncept som relateras till informationssäkerhet som omfattar tre grundläggande säkerhetsområde: Datasekretess (Confidentieality), Dataintegritet (Integrity) och Datatillgänglighet (Availability).

  • Confidentiality – Datasekretess: Det finns två typer av data: data i gång när data rör sig genom nätverket och data i vila, när data finns på lagringsmedia (server, lokal arbetsstation, i molnet och så vidare). Sekretess innebär att endast auktoriserade personer/system kan se känslig eller sekretessbelagd information. Detta innebär också att obehöriga personer inte ska ha någon form av tillgång till uppgifterna. När det gäller data i gång är kryptering det primära sättet att skydda den. Ett annat säkerhetsalternativ som du kan använda tillsammans med kryptering är att använda separata nätverk för överföring av konfidentiella data.
  • Integrity – Integritet: Dataintegritet innebär att endast auktoriserade individer/system får göra ändringar i specifika data. Deformationer av data är ett direkt misslyckande av nätverkssäkerhets implementationer.
  • Availability – Tillgänglighet: Det gäller för system och data. Om ett nätverk eller dess data inte är tillgängligt för behöriga användare, kanske på grund av en DoS-attack eller kanske på grund av ett allmänt konfigurationsfel i nätverket, resulterar oftast i negativ inverkan för företag och dess användare.
pic20-information-security
Bild 8: Informationssäkerhet

Sammanfattat kan man säga att informationssäkerhet handlar om att skydda information och informationssystem från obehörig åtkomst, olaglig användning, avslöjande, ändring eller förstörelse.

  • Kryptering ger sekretess genom att dölja klartextdata.
  • Dataintegritet, vilket innebär att uppgifter bevaras oförändrat under en operation, uppnås genom användning av hash mekanismer.
  • Tillgänglighet garanteras av säkerhetsmekanismer i nätverket och backup-system.

Exempel

Här nedan några exempel på hur information riskeras och bör skyddas:

  • Sekretess – Confidentiality: Skydda information från att avslöjas till obehöriga parter. Till exempel när du lämnar in till en webbplats dina personuppgifter ska de endast användas i lagliga syfte och under överenskommelser du själv godkänner. När det gäller näringslivet bör känslig information, såsom försäljningsuppgifter eller kunddata, endast nås av auktoriserade personer som ledande befattningshavare och säljteam, och inte andra verksamheter eller avdelningar.
  • Integritet – skydda information från att ändras av obehöriga parter. Till exempel när du skickar dina personuppgifter till en webbplats, bör dina personuppgifter inte ändras på något sätt under dataöverföringen eller av webbplatsföretaget. När det gäller företag bör viktiga dokument eller siffror inte ändras och inte heller ändras av obehöriga utan föregående meddelande.
  • Tillgänglighet – Availability: Tillgång till information till behöriga parter endast när det begärs. Till exempel när du när som helst vill komma åt och kontrollera dina personuppgifter som hålls på en webbplats. När det gäller företag bör auktoriserad ledande personal ha tillgång till försäljningsuppgifter vid behov. Ingen annan bör tillåtas använda dina uppgifter för olagliga ändamål, eller se data ut ur nyfikenhet.

Riskhantering

Nätverkssäkerhetsingenjörer måste förstå vad de skyddar, men också från vem. Riskhantering, ibland kallad incidenthantering, är nyckelordet som du kommer att höra om och om relaterad till nätverkssäkerhet. Det betyder att man hanterar alla risk baserat på specifika principer och koncept relaterade till hur resurser skyddas (asset protection) och själva säkerhetshanterin (security management).

Vad är en resurs – asset? Det är allt som är värdefullt för en organisation. Dessa kan vara konkreta objekt (personer, datorer, nätverkshanterare osv.) eller logiska objekt (immateriell egendom, databas information, kontaktlistor, redovisningsinfo, ekonomistatus, osv.). Att känna till resurserna som du försöker skydda och deras värde, plats och exponering kan hjälpa dig att mer effektivt bestämma tid och pengar för att spendera för att säkra dessa tillgångar.

En sårbarhet eller vulnerability på engelska är en utsatt svaghet i ett system eller dess design. Sårbarheter kan finnas i protokoll, operativsystem, applikationer och systemdesign.

Ett hot eller threat på engelska är en potentiell fara för en resurs. Om en sårbarhet finns men ännu inte utnyttjats är hotet är latent. Om någon sårbarhet är utsatt till en attack mot ditt system är hotet realiserats.

Attacker som utnyttjar sårbarheten kallas den skadliga aktören (malicious actor) och sättet som används av denna angripare för att utföra attacken kallas hot-vektor eller på engelska threat vector.

En skyddsåtgärd som på något sätt mildrar en potentiell risk kallas på engelska countermeasure. Åtgärderna har för syfte att antingen minska eller eliminera sårbarheten, eller åtminstone minska sannolikheten för attacker. Till exempel en nätverkshanterare i ditt nätverk som inte har säkrats. Det är bäst att inte ansluta den maskinen innan den har säkerhetskonfigurerat, det är en coutermeasure som kanske är en del av organisationens säkerhetspolicy. Ett annat exempel kan det vara att du har analyserat och identifiera säkerhetsrisker i ett nätverk. Som åtgärd vill du ha dyra säkerhetssystem som inkluderar dedikerade hårdvara och mjukvara. Men på grund av kostnader tvivlar du implementationen och då planerar för mindre säkerhetsåtgärder. Men vad händer om de mindre säkerhetsåtgärder är inte tillräckliga?

I dagens samhälle har information eller “data” det största värdet för organisationerna. Dessutom ska man tänka på andra organisationer som kan också vara inblandade (statliga förordningar eller lagar, affärs partnerskapsavtal, kontrakt eller avtal, samarbetes dokumentsamlingar, och så vidare). Att bara acceptera existensen av hot på grund av kostnader är inte acceptabelt. I slutändan kan kostnader vara betydligt högre än det som hade kostat att skydda resurserna.