Brugen af teknologi i arbejdsprocesser såvel som til opbevaring af data har medført et øget fokus på informationssikkerhed. Som organisation er du forpligtet til at sikre organisationens informationer på en måde, så de ikke kompromitteres, og det gøres ved hjælp af de tre hovedprincipper: fortrolighed, integritet og tilgængelighed (FIT) – på engelsk Confidentiality, Integrity og Availability (CIA).
Effektiv eksekvering af alle tre principper skaber et ideelt resultat fra et informationssikkerhedsperspektiv. Vi dykker ned i emnet og forklarer, hvad organisationen med fordel kan kigge på, hvilke pejlemærker I kan bruge og ikke mindst hvad de tre hovedprincipper står for.
Hvad er informationssikkerhed?
Informationssikkerhed er et begreb, der dækker over de værktøjer og processer, organisationer anvender til at beskytte information. Det er et voksende felt, der omfatter alt fra fysisk sikkerhed, slutpunktsikkerhed og datakryptering over netværks- og infrastruktursikkerhed til test og revision.
Formålet er at beskytte følsomme oplysninger mod uautoriserede aktiviteter. For eksempel tyveri af private oplysninger, datamanipulation og datasletning – både tilsigtet og utilsigtet.
Når det kommer til informationssikkerhed, er det essentielt at forstå, at informationssikkerhed og it-sikkerhed ikke er det samme. Informationssikkerhed kræver, at it-sikkerheden er på plads, men det er blot ét element i at sikre sine informationer – der skal arbejdes med både it-sikkerhed, jura og organisationens processer såvel som medarbejdernes adfærd.
Hvad bør organisationen kigge på?
Der er mange ting at tage stilling til, når det kommer til informationssikkerhed, og det kan være svært at få overblik over alle kravene.
Et håndgribeligt værktøj der kan hjælpe jer godt på vej, er ISO 27001. Standarden udgør et vigtigt pejlemærke for organisationen og hjælper med at etablere en struktureret proces for arbejdet med informationssikkerhed. Det sikrer, at ledelsen såvel som den enkelte medarbejder kan træffe bevidste valg omkring beskyttelsen af informationer og data.
Et godt sted at starte kampen om bedre informationssikkerhed er ved at kigge på:
- it-sikkerheden
- databeskyttelsen
- medarbejdernes adfærd.
SE WEBINAR ON DEMAND: IT-chefens guide til effektiv informationssikkerhed
Fortrolighed, integritet og tilgængelighed
Som nævnt er de grundlæggende principper for informationssikkerhed fortrolighed, integritet og tilgængelighed. Hvert element i informationssikkerhedsprogrammet bør designes til at implementere et eller flere af disse principper.
- Fortrolighed
Det skal sikres, at informationen ikke gøres tilgængelig eller afsløres for uautoriserede personer eller processer.
Formålet med fortrolighedsprincippet er at holde personlige oplysninger private og sikre, at de kun er synlige og tilgængelige for de personer, der ejer dem eller har brug for dem til at udføre deres organisatoriske funktioner. - Integritet
Det skal sikres, at informationsaktiverne (data og informationssystemer) er nøjagtige og fuldstændige.
Formålet med integritetsprincippet er at sikre, at data er nøjagtige og pålidelige og ikke ændres forkert – hverken tilsigtet eller utilsigtet. - Tilgængelighed
Det skal sikres, at informationsaktiverne er tilgængelige og anvendelige ved anmodning fra en autoriseret entitet (bruger, system, proces).
Formålet med tilgængelighedsprincippet er at gøre den teknologiske infrastruktur, applikationerne og data tilgængelige, når det er nødvendigt for en organisatorisk proces eller for en organisations kunde.
Informationssikkerhed vs. cybersikkerhed
De to termer – informationssikkerhed og cybersikkerhed – bruges ofte i flæng, men der er tale om to vidt forskellige ting. Helt konkret er cybersikkerhed en underkategori af informationssikkerhed, der adresserer de teknologirelaterede trusler med praksis og værktøjer, som kan forhindre eller afbøde dem.
Hvor cybersikkerhed beskytter systemer, netværk og enheder mod skadelige angreb, er informationssikkerhed den overordnede politik, der dikterer, hvordan arbejdet med blandt andet cybersikkerhed skal gribes an.
LÆS OGSÅ: Sådan laver du en overordnet politik for organisationens it-sikkerhed