Vad är informationssäkerhet?

6 december, 2023
Uppdaterad: 26 april, 2024
Uppskattad lästid: 7 min

Introduktion

Det handlar om att skydda information

Syftet med informationssäkerhet är att skydda olika former av information, såsom text, ljud, bild och film, oavsett hur den sparas, behandlas eller kommuniceras. Det kan ske genom användning av IT, i fysisk form på papper, eller till och med direkt via mänsklig kommunikation genom tal. Målet är att upprätthålla konfidentialitet, riktighet och tillgängligheten av information.

Grundläggande principer

De grundläggande principerna för informationssäkerhet är CIA – confidentiality, integrity och availability. Dessa tre aspekter kommer från engelskan och kallas tillsammans ofta för ”CIA-triaden”. Översatt till svenskan blir förkortningen ”KRT”, som står för konfidentialitet, riktighet och tillgänglighet.

  • Konfidentialitet innebär att informationen är tillgänglig endast för de som är behöriga att se den.
  • Riktighet säkerställer att informationen är korrekt och fullständig.
  • Tillgänglighet ser till att information och resurser finns på plats för personer med behörighet vid rätt behov och tidpunkt.
Person som står och arbetar med ett datorsystem

Informationstillgångar

I detta begrepp ingår både information i sig, men också de resurser som hanterar dessa uppgifter. Informationssäkerhet innebär att skydda dessa tillgångar mot en rad olika hot och säkerställa att organisationer kan fortsätta sin verksamhet utan avbrott. Inom en organisation kan det exempelvis vara uppgifter om kunder, medarbetare, produkter och ekonomi. Denna information betraktas som primär tillgång, medan resurser som hanterar detta kallas för sekundär tillgång. Det kan vara IT-system som program, nätverk och datorer, men även traditionell utrustning såsom anslagstavlor och skrivare.

Förekommande hot

Hot mot informationssäkerhet kan komma i många former. De kan exempelvis vara avsiktliga och oavsiktliga, interna och externa. Varje hot har potential att leda till försämring av informationstillgångens konfidentialitet, riktighet och tillgänglighet.

Riskhantering

Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk.

Grunden för informationssäkerhet är att det finns tillgångar av värde som behöver skyddas. Här består den traditionella definitionen av risk inom informationssäkerhet består av två delar: Sannolikheten eller den förväntade frekvensen en incident kan inträffa, och konsekvens; den skada eller negativa konsekvens som en incident förväntas orsaka. Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk. Riskhantering är processen att identifiera, bedöma och hantera hot och sårbarheter mot en organisations informationstillgångar. Detta innebär att man kontinuerligt övervakar och utvärderar säkerhetslandskapet för att kunna anpassa säkerhetsåtgärder och skydda mot nya och föränderliga hot och sårbarheter.

Person som använder en ritning, står bakom dator

Informationssäkerhetspolicy

Denna typ av policy är ett centralt dokument som styr hur organisationen hanterar och skyddar sin information. Den bör inkludera ledningens viljeriktning för informationssäkerhet, strategiska mål, samt huvudsakliga roller och ansvarsområden inom organisationen.
Underliggande styrdokument specificerar den övergripande policyn med detaljer information om hur målen i informationssäkerhetspolicyn ska uppnås.

Säkerhetsåtgärder

För att säkerställa effektiva säkerhetsåtgärder bör de implementeras baserat på risker mot organisationers informationstillgångar.

Säkerhetsåtgärder är de verktyg och metoder som används för att upprätthålla en viss nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar genom att minska förekomsten av incidenter och/eller minska skador av en incident. Dessa kan inkludera:

  • Verktygsbaserade säkerhetsåtgärder såsom tekniska lösningar i form av kryptering och tvåfaktorsautentisering.
  • Fysiska åtgärder, exempelvis brandlarm och lås.
  • Manuella åtgärder såsom administrativa, exempelvis säkerhetspolicy, efterlevnad av lagar och regler.
  • Kunskapsbaserade åtgärder såsom säkerhetsutbildningar och kompetens hos personal.

Andra säkerhetsåtgärder är exempelvis informationsklassning, leverantörsbedömning och att ledningen ständigt är medveten om organisationens informationssäkerhetsmognad och såldes säkerhetsställer att det finns resurser för att hantera risker. För att säkerställa att åtgärderna blir effektiva bör de implementeras baserat på risker mot organisationers informationstillgångar.

Sjuksyster eller läkare som sitter ner bakom en datorskärm och arbetar med datorn

Informationssäkerhetsincidenter

En oönskad händelse som har, eller kunde ha, medfört skador mot informationstillgångar är informationssäkerhetsincidenter. Effektiv hantering av dessa incidenter kräver en plan som inkluderar identifiering, bedömning, åtgärder och lärdom för att förbättra säkerheten av information.

Lagar och Regleringar

Lagar och regleringar inom informationssäkerhet innehåller krav för att säkerställa att organisationer hanterar information på ett ansvarsfullt sätt utifrån konfidentialitet, riktighet och tillgänglighet. Ett exempel är GDPR i EU som reglerar behandlingen av personuppgifter och ställer krav på organisationer att skydda denna data

Man sitter bakutlåutad bakom dator och pratar i telefon

Bästa Praxis och Rekommendationer

Bästa praxis och rekommendationer inom informationssäkerhet inkluderar att följa standarder som ISO 27001, identifiera och värdera informationstillgångar, förstå intressenters krav (regulatoriska krav men även kundkrav), genomföra regelbundna säkerhetsrevisioner, riskanalyser och att implementera säkerhetsåtgärder för att minimera risker, utbilda personalen kontinuerligt och att ha en stark incidenthanteringsplan.