Vad är informationssäkerhet?

Lena Graungaard Lindahl 6 december, 2023

Introduktion

Det handlar om att skydda information

Informationssäkerhet handlar om att skydda information. Detta inkluderar olika former av information, såsom text, ljud, bilder och film. Det rör sig även om all typ av information, oavsett hur den sparas, behandlas eller kommuniceras. Det kan ske genom användning av IT, i fysisk form på papper, eller till och med direkt via mänsklig kommunikation genom tal. Målet med informationssäkerhet är att upprätthålla konfidentialitet, riktighet och tillgängligheten av information.

Grundläggande Principer för Informationssäkerhet

De grundläggande principerna för informationssäkerhet är konfidentialitet, riktighet och tillgänglighet, ofta förkortat ”KRT. Dessa tre aspekter kommer från engelskans confidentiality, integrity och availability som oftast tillsammans kallas ”CIA” eller ”CIA triaden”

  • Konfidentialitet innebär att informationen är tillgänglig endast för de som är behöriga att se den.
  • Riktighet säkerställer att informationen är korrekt och fullständig.
  • Tillgänglighet ser till att information och resurser är tillgängliga för de behöriga när de för de som behöver dem och när de behöver dem.
Person som står och arbetar med ett datorsystem

Informationstillgångar

Syftet med informationssäkerhet är att skydda tillgångar som kan relatera till information mot en rad olika hot och att säkerställa att organisationer kan fortsätta sin verksamhet utan avbrott. Inom en organisation kan det exempelvis vara information om kunder, medarbetare, produkter och ekonomi. Inom informationssäkerhet betraktas information som en primär tillgång, medan resurser för att hantera information kallas för sekundär tillgång. Det kan vara IT-system som program, nätverk och datorer, men även traditionell utrustning så som anslagstavlor och skrivare.

Förekommande hot

Hot mot informationssäkerhet kan komma i många former, de kan exempelvis vara avsiktliga och oavsiktliga, interna och externa. Varje hot har potential att leda till försämring av informationstillgångens konfidentialitet, riktighet och tillgänglighet.

Riskhantering

Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk.

Grunden för informationssäkerhet är att det finns tillgångar av värde som behöver skyddas. Den traditionella definitionen av risk inom informationssäkerhet består av två delar: Sannolikheten eller den förväntade frekvensen en incident kan inträffa, och konsekvens; den skada eller negativa konsekvens som en incident förväntas orsaka. Risk är en funktion av dessa två: Sannolikhet x konsekvens = risk. Riskhantering är processen att identifiera, bedöma och hantera hot och sårbarheter mot en organisations informationstillgångar. Detta innebär att man kontinuerligt övervakar och utvärderar säkerhetslandskapet för att kunna anpassa säkerhetsåtgärder och skydda mot nya och föränderliga hot och sårbarheter.

Person som använder en ritning, står bakom dator

Informationssäkerhetspolicy

En informationssäkerhetspolicy är ett centralt dokument som styr hur organisationen hanterar och skyddar sin information. Den bör inkludera ledningens viljeriktning för informationssäkerhet, strategiska mål, samt huvudsakliga roller och ansvar för informationssäkerhet inom organisationen.
Underliggande styrdokument specificerar den övergripande informationssäkerhetspolicyn med detaljer information om hur målen i informationssäkerhetspolicyn ska uppnås.

Säkerhetsåtgärder

För att säkerställa effektiva säkerhetsåtgärder bör de implementeras baserat på risker mot organisationers informationstillgångar.

Säkerhetsåtgärder är de verktyg och metoder som används för att upprätthålla en viss nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar genom att minska förekomsten av incidenter och/eller minska skador av en incident. Dessa kan inkludera verktygsbaserade säkerhetsåtgärder så som tekniska lösningar (kryptering och tvåfaktorsautentisering) tillsammans med fysiska åtgärder (exempelvis brandalarm och lås). Det inkluderar även manuella åtgärder så som administrativa (exempelvis säkerhetspolicy, efterlevnad av lagar och regler) samt kunskapsbaserade åtgärder (exempelvis säkerhetsutbildningar och kompetens hos personal).
För att säkerställa effektiva säkerhetsåtgärder bör de implementeras baserat på risker mot organisationers informationstillgångar.
Andra säkerhetsåtgärder är exempelvis informationsklassning, leverantörsbedömning och att ledningen ständigt är medveten om organisationens informationssäkerhetsmognad och såldes säkerhetsställer att det finns resurser för att hantera risker.

Sjuksyster eller läkare som sitter ner bakom en datorskärm och arbetar med datorn

Informationssäkerhetsincidenter

Informationssäkerhetsincidenter är en oönskad händelse som har, eller kunde ha, medfört skador mot informationstillgångar. Effektiv hantering av dessa incidenter kräver en plan som inkluderar identifiering, bedömning, åtgärder och lärdom för att förbättra informationssäkerheten.

Lagar och Regleringar

Lagar och regleringar inom informationssäkerhet innehåller krav för att säkerställa att organisationer hanterar information på ett ansvarsfullt sätt utifrån konfidentialitet, riktighet och tillgänglighet. Exempelvis GDPR i EU reglerar behandlingen av personuppgifter och ställer krav på organisationer att skydda dessa uppgifter.

Man sitter bakutlåutad bakom dator och pratar i telefon

Bästa Praxis och Rekommendationer

Bästa praxis och rekommendationer inom informationssäkerhet inkluderar att följa standarder som ISO 27001, identifiera och värdera informationstillgångar, förstå intressenters krav (regulatoriska krav men även kundkrav), genomföra regelbundna säkerhetsrevisioner, riskanalyser och att implementera säkerhetsåtgärder för att minimera risker, utbilda personalen kontinuerligt och att ha en stark incidenthanteringsplan.

Lena Graungaard Lindahl