Brugen af teknologi i arbejdsprocesser såvel som til opbevaring af data har medført et øget fokus på informationssikkerhed. Som organisation er du forpligtet til at sikre organisationens informationer på en måde, så de ikke kompromitteres, og det gøres ved hjælp af de tre hovedprincipper: fortrolighed, integritet og tilgængelighed (FIT) – på engelsk Confidentiality, Integrity og Availability (CIA).
Effektiv eksekvering af alle tre principper skaber et ideelt resultat fra et informationssikkerhedsperspektiv. Vi dykker ned i emnet og forklarer, hvad organisationen med fordel kan kigge på, hvilke pejlemærker I kan bruge og ikke mindst hvad de tre hovedprincipper står for.
Informationssikkerhed vs. Cybersikkerhed
For at forstå hovedprincipperne i informationssikkerhed er det afgørende at skelne mellem begreberne informationssikkerhed og cybersikkerhed. Selvom de ofte nævnes i samme åndedrag og deles om beskyttelsen af digitale aspekter, repræsenterer de to termer to forskellige dimensioner inden for sikkerhed.
Hvad er informationssikkerhed?
Informationssikkerhed er et begreb, der dækker over de værktøjer og processer, organisationer anvender til at beskytte information. Det er et voksende felt, der omfatter alt fra fysisk sikkerhed, slutpunktsikkerhed og datakryptering over netværks- og infrastruktursikkerhed til test og revision.
Formålet er at beskytte følsomme oplysninger mod uautoriserede aktiviteter. For eksempel tyveri af private oplysninger, datamanipulation og datasletning – både tilsigtet og utilsigtet.
Når det kommer til informationssikkerhed, er det essentielt at forstå, at informationssikkerhed og it-sikkerhed ikke er det samme. Informationssikkerhed kræver, at it-sikkerheden er på plads, men det er blot ét element i at sikre sine informationer – der skal arbejdes med både it-sikkerhed, jura og organisationens processer såvel som medarbejdernes adfærd.
Hvad er cybersikkerhed?
Cybersikkerhed er tæt relateret til informationssikkerhed og fokuserer specifikt på beskyttelsen af digitale systemer, netværk og enheder mod skadelige angreb, malware, hacking og andre digitale trusler.
Cybersikkerhed indebærer implementeringen af sikkerhedsforanstaltninger som firewall, antivirusprogrammer, intrusion detection-systemer og sikkerhedspolitikker. Formålet er at minimere risikoen for, at digitale aktiver kompromitteres eller misbruges.
Selvom cybersikkerhed spiller en afgørende rolle i beskyttelsen af digitale ressourcer, bør det bemærkes, at informationssikkerhed er den overordnede politik, der dikterer, hvordan arbejdet med blandt andet cybersikkerhed skal gribes an.
Hvad bør organisationen kigge på?
Der er mange ting at tage stilling til, når det kommer til informationssikkerhed, og det kan være svært at få overblik over alle kravene.
Et håndgribeligt værktøj der kan hjælpe jer godt på vej, er ISO 27001. Standarden udgør et vigtigt pejlemærke for organisationen og hjælper med at etablere en struktureret proces for arbejdet med informationssikkerhed. Det sikrer, at ledelsen såvel som den enkelte medarbejder kan træffe bevidste valg omkring beskyttelsen af informationer og data.
Et godt sted at starte kampen om bedre informationssikkerhed er ved at kigge på:
- it-sikkerheden
- databeskyttelsen
- medarbejdernes adfærd.
SE WEBINAR ON DEMAND: IT-chefens guide til effektiv informationssikkerhed
Fortrolighed, integritet og tilgængelighed
Som nævnt er de grundlæggende principper for informationssikkerhed fortrolighed, integritet og tilgængelighed. Hvert element i informationssikkerhedsprogrammet bør designes til at implementere et eller flere af disse principper.
- Fortrolighed
Det skal sikres, at informationen ikke gøres tilgængelig eller afsløres for uautoriserede personer eller processer.
Formålet med fortrolighedsprincippet er at holde personlige oplysninger private og sikre, at de kun er synlige og tilgængelige for de personer, der ejer dem eller har brug for dem til at udføre deres organisatoriske funktioner. - Integritet
Det skal sikres, at informationsaktiverne (data og informationssystemer) er nøjagtige og fuldstændige.
Formålet med integritetsprincippet er at sikre, at data er nøjagtige og pålidelige og ikke ændres forkert – hverken tilsigtet eller utilsigtet. - Tilgængelighed
Det skal sikres, at informationsaktiverne er tilgængelige og anvendelige ved anmodning fra en autoriseret entitet (bruger, system, proces).
Formålet med tilgængelighedsprincippet er at gøre den teknologiske infrastruktur, applikationerne og data tilgængelige, når det er nødvendigt for en organisatorisk proces eller for en organisations kunde.
LÆS OGSÅ: Sådan laver du en overordnet politik for organisationens it-sikkerhed