Vad är informationssäkerhet?

Lena Graungaard Lindahl 6 december, 2023

Introduktion

Det handlar om att skydda information

Syftet med informationssäkerhet är att skydda olika former av information, såsom text, ljud, bild och film, oavsett hur den sparas, behandlas eller kommuniceras. Det kan ske genom användning av IT, i fysisk form på papper, eller till och med direkt via mänsklig kommunikation genom tal. Målet är att upprätthålla konfidentialitet, riktighet och tillgängligheten av information.

Grundläggande principer

De grundläggande principerna för informationssäkerhet är CIA – confidentiality, integrity och availability. Dessa tre aspekter kommer från engelskan och kallas tillsammans ofta för ”CIA-triaden”. Översatt till svenskan blir förkortningen ”KRT”, som står för konfidentialitet, riktighet och tillgänglighet.

Konfidentialitet innebär att informationen är tillgänglig endast för de som är behöriga att se den.
Riktighet säkerställer att informationen är korrekt och fullständig.
Tillgänglighet ser till att information och resurser finns på plats för personer med behörighet vid rätt behov och tidpunkt.

Person som står och arbetar med ett datorsystem

Informationstillgångar

I detta begrepp ingår både information i sig, men också de resurser som hanterar dessa uppgifter. Informationssäkerhet innebär att skydda dessa tillgångar mot en rad olika hot och säkerställa att organisationer kan fortsätta sin verksamhet utan avbrott. Inom en organisation kan det exempelvis vara uppgifter om kunder, medarbetare, produkter och ekonomi. Denna information betraktas som primär tillgång, medan resurser som hanterar detta kallas för sekundär tillgång. Det kan vara IT-system som program, nätverk och datorer, men även traditionell utrustning såsom anslagstavlor och skrivare.

Förekommande hot

Hot mot informationssäkerhet kan komma i många former. De kan exempelvis vara avsiktliga och oavsiktliga, interna och externa. Varje hot har potential att leda till försämring av informationstillgångens konfidentialitet, riktighet och tillgänglighet.

Riskhantering

Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk.

Grunden för informationssäkerhet är att det finns tillgångar av värde som behöver skyddas. Här består den traditionella definitionen av risk inom informationssäkerhet består av två delar: Sannolikheten eller den förväntade frekvensen en incident kan inträffa, och konsekvens; den skada eller negativa konsekvens som en incident förväntas orsaka. Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk. Riskhantering är processen att identifiera, bedöma och hantera hot och sårbarheter mot en organisations informationstillgångar. Detta innebär att man kontinuerligt övervakar och utvärderar säkerhetslandskapet för att kunna anpassa säkerhetsåtgärder och skydda mot nya och föränderliga hot och sårbarheter.

Person som använder en ritning, står bakom dator

Informationssäkerhetspolicy

Denna typ av policy är ett centralt dokument som styr hur organisationen hanterar och skyddar sin information. Den bör inkludera ledningens viljeriktning för informationssäkerhet, strategiska mål, samt huvudsakliga roller och ansvarsområden inom organisationen.
Underliggande styrdokument specificerar den övergripande policyn med detaljer information om hur målen i informationssäkerhetspolicyn ska uppnås.

Säkerhetsåtgärder

För att säkerställa effektiva säkerhetsåtgärder bör de implementeras baserat på risker mot organisationers informationstillgångar.

Säkerhetsåtgärder är de verktyg och metoder som används för att upprätthålla en viss nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar genom att minska förekomsten av incidenter och/eller minska skador av en incident. Dessa kan inkludera:

Verktygsbaserade säkerhetsåtgärder såsom tekniska lösningar i form av kryptering och tvåfaktorsautentisering.
Fysiska åtgärder, exempelvis brandlarm och lås.
Manuella åtgärder såsom administrativa, exempelvis säkerhetspolicy, efterlevnad av lagar och regler.
Kunskapsbaserade åtgärder såsom säkerhetsutbildningar och kompetens hos personal.

Andra säkerhetsåtgärder är exempelvis informationsklassning, leverantörsbedömning och att ledningen ständigt är medveten om organisationens informationssäkerhetsmognad och såldes säkerhetsställer att det finns resurser för att hantera risker. För att säkerställa att åtgärderna blir effektiva bör de implementeras baserat på risker mot organisationers informationstillgångar.

Sjuksyster eller läkare som sitter ner bakom en datorskärm och arbetar med datorn

Informationssäkerhetsincidenter

En oönskad händelse som har, eller kunde ha, medfört skador mot informationstillgångar är informationssäkerhetsincidenter. Effektiv hantering av dessa incidenter kräver en plan som inkluderar identifiering, bedömning, åtgärder och lärdom för att förbättra säkerheten av information.

Lagar och Regleringar

Lagar och regleringar inom informationssäkerhet innehåller krav för att säkerställa att organisationer hanterar information på ett ansvarsfullt sätt utifrån konfidentialitet, riktighet och tillgänglighet. Ett exempel är GDPR i EU som reglerar behandlingen av personuppgifter och ställer krav på organisationer att skydda denna data

Man sitter bakutlåutad bakom dator och pratar i telefon

Bästa Praxis och Rekommendationer

Bästa praxis och rekommendationer inom informationssäkerhet inkluderar att följa standarder som ISO 27001, identifiera och värdera informationstillgångar, förstå intressenters krav (regulatoriska krav men även kundkrav), genomföra regelbundna säkerhetsrevisioner, riskanalyser och att implementera säkerhetsåtgärder för att minimera risker, utbilda personalen kontinuerligt och att ha en stark incidenthanteringsplan.

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy på Secify

Jag arbetar som rådgivare och konsult inom informationssäkerhet och arbetar främst med att hjälpa företag att implementera systematiska och riskbaserade metoder för informationssäkerhet, baserade på ISO 27001-standarden. Jag stödjer också företag i att efterleva NIS2-direktivet och DORA-förordningen genom att genomföra risk- och sårbarhetsanalyser, hantera incidenter och avvikelser, granska leverantörer och genomföra utbildningar inom informationssäkerhet. Kontinuitets- och katastrofplanering samt internrevisioner är någonting som jag är extra bra på. Utöver min roll som rådgivare arbetar jag även som Chief Information Security Officer (CISO) på Secify by Sweden och arbetar med vår egen ISO27001 certifiering.

Jag har en masterexamen i data- och systemvetenskap med inriktning på informationssäkerhet från Stockholms universitet och har eerfarenhet från både privata, statliga och kommunala organisationer samt internationell arbetslivserfarenhet.

Jag trivs i mötet med nya människor och har en stark serviceinriktning. Min kommunikationsstil präglas av tydlighet och anpassning till kundens behov och förutsättningar.

Senaste inläggen av Lena Graungaard Lindahl

NIS2-direktivet – vad innebär det för svenska organisationer? - 3 april, 2024
Vad är informationssäkerhet? - 6 december, 2023
Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss! - 18 oktober, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.