Kevin Henry: Hvorfor bruger vi CIA-informationssikkerhedstriaden?

Mange mennesker kæmper for at definere ordet "sikkerhed". Det er et abstrakt udtryk, der har forskellig betydning og betydning for hver enkelt. Det defineres ofte som "sikkerhed" (og på nogle sprog er det det samme ord), eller som forsikring, beskyttelse eller fysisk kontrol.

Som informationssikkerhedsprofessionelle kæmper vi også med at beskrive, hvad sikkerhed er, hvad det gør, og hvorfor det er vigtigt. Selv for os, der arbejder i feltet, kan sikkerhed være et abstrakt begreb, som er svært at definere på en meningsfuld måde.

I endnu højere grad for lederne og brugerne er vi der for at støtte dem. De opfatter ofte informationssikkerhed som en forgæves og dyr bestræbelse, der kommer i vejen – når de bare forsøger at udføre deres arbejde.
Af denne grund er det godt, at vi har en måde at definere informationssikkerhed på på en måde, som selv ikke-sikkerhedsfolk kan forstå. Modellen for fortrolighed, integritet og tilgængelighed afspejler en metode til at beskrive informationssikkerhed, der er meget mere end blot privatliv.

Det er vigtigt, at vi forstår værdien af ​​CIA-triaden, og hvordan den kan hjælpe os med at kommunikere værdien og fordelene ved sikkerhed til alle i vores organisation. Fortrolighed er baseret på tillid og evnen til at skabe tillid blandt vores kunder, medarbejdere og aktionærer. Du kan stole på os med dine oplysninger. Det er trygt hos os. Vi er opmærksomme på risikoen for ukorrekt offentliggørelse og behovet for at beskytte privatlivets fred og hemmeligholdelse.

Integritet er vigtig på mere end én måde. Den mest almindelige forståelse er at beskytte dataens nøjagtighed eller præcision – er dataene rigtige, korrekte, præcise? Men vi kender også vigtigheden af ​​at beskytte de processer, der påvirker vores data. For at sikre, at 'det rigtige beløb krediteres den rigtige konto!'

Begrebet "følsomhed" bruges ofte i relation til fortrolighed og integritet – ville en person eller en organisation blive skadet, hvis dataene eller processen blev videregivet eller ændret forkert? Hvis ja, hvad ville påvirkningsniveauet være? Lav, Moderat eller Høj?

Begrebet tilgængelighed er ofte for lidt opmærksomhed – er det virkelig informationssikkerhedens opgave? Det mener jeg, at det er – vi skal samarbejde med ledere af netværk, applikationer, databaser og andre understøttende systemer for at sikre, at virksomheden har de data og processer, den skal bruge for at fungere. Vi er nødt til at opsøge enkelte fejlpunkter. Herunder problemet i dag med mange systemer, der understøttes af én person – og ingen andre ved, hvordan man vedligeholder eller betjener disse systemer. Vi skal arbejde sammen med projektteams for at sikre, at risikoen for utilgængelighed identificeres tidligt i processen med at designe et nyt system eller proces, så redundans og robusthed kan indbygges i systemerne. Tilgængelighed er ofte forbundet med kritikalitet.

Så ud fra dette ser vi, at CIA-triaden ikke bare er et ordsprog eller en ældgammel ideologi – det er en måde for os at kommunikere behovene for informationssikkerhed til de ledere og brugere, vi interagerer med – og skabe en større forståelse for, hvordan vi kan alle arbejder hen imod beskyttelse af information og forretningsprocesser.