Bruk av teknologi i arbeidsprosesser og til datalagring har ført til økt fokus på informasjonssikkerhet. Som organisasjon er du forpliktet til å sikre organisasjonens informasjon på en måte som gjør det mulig å beskytte den. Dette gjøres ved hjelp av de tre hovedprinsippene: konfidensialitet, integritet og tilgjengelighet (KIT) - på engelsk Confidentiality, Integrity and Availability (CIA).
Effektiv gjennomføring av alle tre prinsippene skaper et ideelt resultat fra et informasjonssikkerhetsperspektiv. Vi dykker ned i temaet og forklarer hva organisasjonen din bør se på, hvilke benchmarks du kan bruke og, viktigst av alt, hva de tre hovedprinsippene står for.
Informasjonssikkerhet vs. Cybersikkerhet
For å forstå hovedprinsippene i informasjonssikkerhet er det avgjørende å skille mellom begrepene informasjonssikkerhet og cybersikkerhet. Selv om de ofte nevnes i samme sammenheng og deler ansvaret for beskyttelsen av digitale aspekter, representerer de to begrepene to forskjellige dimensjoner innen sikkerhet.
Hva er informasjonssikkerhet?
Informasjonssikkerhet er et begrep som omfatter de verktøyene og prosessene som organisasjoner bruker for å beskytte informasjon. Det er et voksende felt som omfatter alt fra fysisk sikkerhet, endepunktsikkerhet og datakryptering til nettverks- og infrastruktursikkerhet, testing og revisjon.
Målet er å beskytte sensitiv informasjon mot uautoriserte aktiviteter. For eksempel tyveri av privat informasjon, manipulering og sletting av data - både tilsiktet og utilsiktet.
Når det gjelder informasjonssikkerhet, er det viktig å forstå at informasjonssikkerhet og IT-sikkerhet ikke er det samme. Informasjonssikkerhet krever at IT-sikkerhet er på plass, men det er bare ett element i informasjonssikkerheten - du må hele tiden jobbe med IT-sikkerhet, juridiske og organisatoriske spørsmål, organisasjonens prosesser og de ansattes atferd.
Hva er cybersikkerhet?
Cybersikkerhet er nært knyttet til informasjonssikkerhet og fokuserer spesifikt på beskyttelsen av digitale systemer, nettverk og enheter mot skadelige angrep, malware, hacking og andre digitale trusler.
Cybersikkerhet innebærer implementering av sikkerhetstiltak som brannmurer, antivirusprogrammer, innbruddsdeteksjonssystemer og sikkerhetspolicyer. Målet er å minimere risikoen for at digitale ressurser blir kompromittert eller misbrukt.
Selv om cybersikkerhet spiller en avgjørende rolle i beskyttelsen av digitale ressurser, bør det bemerkes at informasjonssikkerhet er den overordnede policyen som dikterer hvordan arbeidet med blant annet cybersikkerhet skal håndteres.
Hva bør organisasjonen se på?
Det er mange ting å tenke på når det gjelder informasjonssikkerhet, og det kan være vanskelig å få oversikt over alle kravene.
Et konkret verktøy som kan hjelpe deg å komme i gang, er ISO 27001 (eller 27002 for den nyeste versjonen). Standarden er en viktig referanse for organisasjonen og bidrar til å etablere en strukturert framgangsmåte for arbeidet med informasjonssikkerhet. Den sikrer at både ledelsen og den enkelte medarbeider kan ta bevisste valg når det gjelder beskyttelse av informasjon og data.
Et godt sted å starte kampen for bedre informasjonssikkerhet er å se på:
- IT-sikkerhet
- beskyttelse av data
- de ansattes atferd
Fortrolighet, integritet og tilgjengelighet
De grunnleggende prinsippene for informasjonssikkerhet er som nevnt konfidensialitet, integritet og tilgjengelighet. Hvert element i informasjonssikkerhetsprogrammet bør utformes for å implementere ett eller flere av disse prinsippene.
- Konfidensialitet
Sikre at informasjon ikke gjøres tilgjengelig eller avsløres for uautoriserte personer eller prosesser.
Formålet med konfidensialitetsprinsippet er å holde personopplysninger private og sikre at de bare er synlige og tilgjengelige for de personene som eier dem eller som trenger dem for å utføre sine oppgaver.
- Integritet
Sikre at informasjonsressursene (data og informasjonssystemer) er nøyaktige og fullstendige.
Formålet med integritetsprinsippet er å sikre at dataene er nøyaktige og pålitelige, og at de ikke endres på en urettmessig måte - verken tilsiktet eller utilsiktet.
- Tilgjengelighet
Det må sikres at informasjonsressursene er tilgjengelige og kan brukes på forespørsel av en autorisert enhet (bruker, system, prosess).
Hensikten med tilgjengelighetsprinsippet er å gjøre den teknologiske infrastrukturen, applikasjonene og dataene tilgjengelig når det er nødvendig for en organisatorisk prosess eller for en organisasjons kunde.
