Följer du CIA ?

Skydda din information, det viktigaste du har.

CIA -principerna
Nej, jag pratar inte om någon utländsk underrättelsetjänst. Bokstäverna “C,I och A” har en helt annan association för oss som arbetar med informationssäkerhet.

Om du ständigt har dessa så kallade principer i bakhuvudet när du hanterar information så vet du att  informationen hanteras på ett korrekt sätt.
Precis som ett lås handlar det kort sagt om att information (eller huset) skall vara tillgänglig på ett korrekt sätt, för rätt person och vid rätt tillfälle. I detta inlägg tänker jag mig att informationen är liktydigt med ett stycke kunskap lagrat elektroniskt på en dator, server eller i det berömda molnet. Men principerna kan mycket väl appliceras på information i pärmar eller i huvudet på din organisations medlemmar.

CIA är Engelska och skall utläsas Confidentiality, Integrity och Availability. Sen finns det de som hänger på massor med extra “A:n” som t.ex. “Accountability”.
Jag har funderat på varför alla (nästan) säkerhetsord börjar med “A”.
Men här koncentrerar vi oss på de tre första bokstäverna. Informationssäkerhetsbranschen blir lätt Svengelsk så jag skall ge dig de svenska orden också.

  • Confidentiality. Konfidentialitet : Sekretess
  • Integrity. Riktighet
  • Availability. Tillgänglighet
    (Källa: Standardiseringen i Sverige /SIS)

Tar man alltid hänsyn till dessa tre begrepp när man ens tänker på informationssäkerhet så kommer man ganska långt på vägen mot den perfekta säkerheten. Nu är i och för sig den perfekta säkerheten ett ouppnåeligt mål, men det skriver jag inte här. Vi går istället in och tittar lite på de tre begreppen:

Konfidentialitet
Handlar om skydd så att information inte kan förändras varken av misstag eller på grund av någon form av störning. Sekretess är ett ord som också används synonymt med konfidentialitet. Sekretess är ett vanligt använt juridiskt begrepp, så driver du en verksamhet som omfattas av krav på sekretess så gäller det att ha god kontroll på detta. Många jag mött har sagt att de inte har några skyddsvärda (sekretess) uppgifter. Tyvärr har detta ofta visat sig vara felaktigt. Nästan alla organisationer har något som skall skyddas.

 Riktighet
Här brukar jag tänka kring ordet “Pålitlig”. Det är av yttersta vikt att dina medarbetare och kunder kan lita på informationen de ser. Vi litar alla idag på riksbankens sedlar, de är äkta och försedda med en stor mängd “finesser” som gör att var och en kan avgöra om den är äkta eller falsk. Det vill säga vi vet att sedeln är riktig och pålitlig.
Med elektronisk information är det tyvärr ofta fallet att den är förfalskad. Många är de som lurats av “Fake news” (Påhittade nyheter), eller fått brev från advokater till avlidna släktingar på en annan kontinent. Mindre pålitligt, men kanske inte alltid så lätt att avslöja. Det är alltså av yttersta vikt att du designar dina informationssystem så att innehållet i dem är pålitligt. I en domstol skulle det nog kallas för oavvisligt, på samma sätt som när du sätter din namnteckning på ett kontrakt.

 Tillgänglighet
-“Häll betong i servern!”. Så har jag börjat många av mina föredrag eller möten med kunder. Jag får förklara för en åhörare med en något förbryllad min att. -Ja, då är informationen säker! Där och då brukar ofta debatten om prestanda tas upp från kundens sida. Jag får då medge att prestandan och tillgängligheten av lagrad information med sagda betonglösning blir låg. Men det blir alltid en bra startpunkt för att ta reda på hur tillgänglig informationen skall vara och för vem? Spontant tycker man kanske att svårtillgänglig information är säker. Men tyvärr gäller ofta motsatsen. Dina medarbetare vill ju göra ett gott arbete, därför kanske (!?) de rundar säkerhetsmekanismerna för att de är feldesignade eller för långsamma. Då har man förlorat hela poängen med sin säkerhetslösning.

Vad gör jag nu?
För att kunna genomföra och leva efter dessa principer så måste du ha klassificerat värdet på din information på ett eller annat sätt. Det finns många modeller för hur man kan klassificera informationen med avseende på nyss nämnda principer. Jag har sett modeller med två eller tre nivåer ända upp till 16. Det går inte att säga vad som passar varje enskild organisation bäst. Lämpligt kan vara att internt eller med hjälp av en expert genomföra en Risk och Sårbarhetsanalys, rapporten efter en sådan bör ge dig god vägledning. Denna är också en av grundstenarna i en populär standardserie rörande säkerhet (ISO/IEC 27001 som jag är certifierad i och lovat att tillbedja). Men oavsett om man följer ISO eller ej, detta är ett arbete man måste genomföras. Resultatet av detta arbete kan uttryckas i en Policy eller direktiv (Vilket underställs den förra). Sen tenderar ju information att vandra i sekretessgrad över tid, ett annat problem som måste lösas. T.ex. kan ju årsrapporten för ett börsbolag vara hemlig på måndagen, men skall vara allmänt känd på tisdagen. Råkar du tillhöra en myndighet så finns det andra lagar än aktiebolagslag (2005:551) som ställer andra krav på dig och hur du behandlar och delar med dig av information.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP

 

Leave a Reply

Your email address will not be published. Required fields are marked *