Bruk av teknologi i arbeidsprosesser og til datalagring har ført til økt fokus på informasjonssikkerhet. Som organisasjon er du forpliktet til å sikre organisasjonens informasjon på en måte som gjør det mulig å beskytte den. Dette gjøres ved hjelp av de tre hovedprinsippene: konfidensialitet, integritet og tilgjengelighet (KIT) - på engelsk Confidentiality, Integrity and Availability (CIA).
Effektiv gjennomføring av alle tre prinsippene skaper et ideelt resultat fra et informasjonssikkerhetsperspektiv. Vi dykker ned i temaet og forklarer hva organisasjonen din bør se på, hvilke benchmarks du kan bruke og, viktigst av alt, hva de tre hovedprinsippene står for.
Hva er informasjonssikkerhet?
Informasjonssikkerhet er et begrep som omfatter de verktøyene og prosessene som organisasjoner bruker for å beskytte informasjon. Det er et voksende felt som omfatter alt fra fysisk sikkerhet, endepunktsikkerhet og datakryptering til nettverks- og infrastruktursikkerhet, testing og revisjon.
Målet er å beskytte sensitiv informasjon mot uautoriserte aktiviteter. For eksempel tyveri av privat informasjon, manipulering og sletting av data - både tilsiktet og utilsiktet.
Når det gjelder informasjonssikkerhet, er det viktig å forstå at informasjonssikkerhet og IT-sikkerhet ikke er det samme. Informasjonssikkerhet krever at IT-sikkerhet er på plass, men det er bare ett element i informasjonssikkerheten - du må hele tiden jobbe med IT-sikkerhet, juridiske og organisatoriske spørsmål, organisasjonens prosesser og de ansattes atferd.
Hva bør organisasjonen se på?
Det er mange ting å tenke på når det gjelder informasjonssikkerhet, og det kan være vanskelig å få oversikt over alle kravene.
å få oversikt over alle kravene.
Et konkret verktøy som kan hjelpe deg å komme i gang, er ISO 27001 (eller 27002 for den nyeste versjonen). Standarden er en viktig referanse for organisasjonen og bidrar til å etablere en strukturert framgangsmåte for arbeidet med informasjonssikkerhet. Den sikrer at både ledelsen og den enkelte medarbeider kan ta bevisste valg når det gjelder beskyttelse av informasjon og data.
Et godt sted å starte kampen for bedre informasjonssikkerhet er å se på:
- IT-sikkerhet
- beskyttelse av data
- de ansattes atferd
Fortrolighet, integritet og tilgjengelighet
De grunnleggende prinsippene for informasjonssikkerhet er som nevnt konfidensialitet, integritet og tilgjengelighet. Hvert element i informasjonssikkerhetsprogrammet bør utformes for å implementere ett eller flere av disse prinsippene.
Konfidensialitet
Sikre at informasjon ikke gjøres tilgjengelig eller avsløres for uautoriserte personer eller prosesser.
Formålet med konfidensialitetsprinsippet er å holde personopplysninger private og sikre at de bare er synlige og tilgjengelige for de personene som eier dem eller som trenger dem for å utføre sine oppgaver.
Integritet
Sikre at informasjonsressursene (data og informasjonssystemer) er nøyaktige og fullstendige. Formålet med integritetsprinsippet er å sikre at dataene er nøyaktige og pålitelige, og at de ikke endres på en urettmessig måte - verken tilsiktet eller utilsiktet.
Tilgjengelighet
Det må sikres at informasjonsressursene er tilgjengelige og kan brukes på forespørsel av en autorisert enhet (bruker, system, prosess).
Hensikten med tilgjengelighetsprinsippet er å gjøre den teknologiske infrastrukturen, applikasjonene og dataene tilgjengelig når det er nødvendig for en organisatorisk prosess eller for en organisasjons kunde.
Informasjonssikkerhet vs. cybersikkerhet
De to begrepene - informasjonssikkerhet og cybersikkerhet - brukes ofte om hverandre, men det er to vidt forskjellige ting. Mer spesifikt er cybersikkerhet en underkategori av informasjonssikkerhet som tar for seg teknologirelaterte trusler med metoder og verktøy for å forhindre eller redusere dem.
Mens cybersikkerhet beskytter systemer, nettverk og enheter mot ondsinnede angrep, er informasjonssikkerhet den overordnede policyen som blant annet dikterer hvordan arbeidet med blant annet cybersikkerhet skal gripes an.
