Sikkerhetsfagfolk vurderer trusler og sårbarheter basert på den potensielle innvirkningen de har på konfidensialiteten, integriteten og tilgjengeligheten til organisasjonens eiendeler – nemlig dens data, applikasjoner og kritiske systemer. Basert på denne evalueringen implementerer sikkerhetsteamet et sett med sikkerhetskontroller for å redusere risikoen i omgivelsene. I neste avsnitt vil vi gi presise og detaljerte forklaringer på disse prinsippene i sammenheng med InfoSec, og deretter se på virkelige anvendelser av disse prinsippene.
Konfidensialitet
Konfidensialitet refererer til en organisasjons innsats for å holde dataene private eller hemmelige. I praksis handler det om å kontrollere tilgangen til data for å forhindre uautorisert utlevering. Vanligvis innebærer dette å sikre at bare de som er autoriserte har tilgang til bestemte eiendeler, og at de som er uautoriserte aktivt blir forhindret fra å få tilgang. Som et eksempel skal bare autoriserte lønnsansatte ha tilgang til lønnsdatabasen for ansatte. Videre, innenfor en gruppe autoriserte brukere, kan det være ytterligere, strengere begrensninger for nøyaktig hvilken informasjon de autoriserte brukerne har tilgang til. Et annet eksempel: det er rimelig at netthandelskunder forventer at den personlige informasjonen de gir til en organisasjon (for eksempel kredittkort, kontakt, frakt eller annen personlig informasjon) vil bli beskyttet på en måte som forhindrer uautorisert tilgang eller eksponering.
Konfidensialitet kan krenkes på mange måter, for eksempel gjennom direkte angrep designet for å få uautorisert tilgang til systemer, applikasjoner og databaser for å stjele eller tukle med data. Nettverksrekognosering og andre typer skanninger, elektronisk avlytting (via et menneske-i-midten-angrep) og opptrapping av systemrettigheter av en angriper er bare noen få eksempler. Men konfidensialitet kan også utilsiktet brytes gjennom menneskelige feil, uforsiktighet eller utilstrekkelig sikkerhetskontroll. Eksempler inkluderer mislykkelse (av brukere eller IT-sikkerhet) av å beskytte passord tilstrekkelig; deling av brukerkontoer; fysisk avlytting (også kjent som skulder surfing); manglende kryptering av data (under prosess, under transport og når de lagres); dårlige, svake eller ikke-eksisterende autentiseringssystemer; og tyveri av fysisk utstyr og lagringsenheter.
Mottiltak for å beskytte konfidensialitet inkluderer dataklassifisering og merking; sterke tilgangskontroller og autentiseringsmekanismer; kryptering av data under prosess, under transport og lagring; steganografi; ekstern tørke evner; og tilstrekkelig opplæring og opplæring for alle individer med tilgang til data.
Integritet
I hverdagsbruk refererer integritet til at kvaliteten på noe er helt eller fullstendig. I InfoSec handler integritet om å sikre at det ikke er blitt manipulert med data og derfor kan stole på dem. Det er riktig, autentisk og pålitelig. Netthandelskunder forventer for eksempel at produkt- og prisinformasjon skal være nøyaktig, og at antall, priser, tilgjengelighet og annen informasjon ikke endres etter at de har lagt inn en bestilling. Bankkunder må kunne stole på at bankinformasjonen og kontosaldoen ikke har blitt tuklet med. Å sikre integritet innebærer å beskytte data som er i bruk, under transport (for eksempel når du sender en e-post eller laster opp eller laster ned en fil), og når den lagres, enten på en bærbar datamaskin, en bærbar lagringsenhet, i datasenteret eller i skyen .
Som det er tilfellet med konfidensialitet, kan integriteten kompromitteres direkte via en angrepsvektor (for eksempel å tukle med innbruddsdeteksjonssystemer, endre konfigurasjonsfiler eller endre systemlogger for å unngå deteksjon) eller utilsiktet, gjennom feil, mangel på omsorg, kodefeil eller utilstrekkelig policy, prosedyrer og beskyttelsesmekanismer.
Mottiltak som beskytter dataintegritet inkluderer kryptering, hashing, digitale signaturer, digitale sertifikater. organisasjoner for å verifisere identiteten til brukerne av nettstedet, i likhet med måten et pass eller førerkort kan brukes til å verifisere individets identitet., innbruddsdeteksjonssystemer, revisjon, versjon ol, og sterke autentiseringsmekanismer og tilgangskontroller.
Merk at integritet går hånd i hånd med begrepet ikke-avvisning: manglende evne til å nekte noe. Ved å bruke digitale signaturer i e-post, kan for eksempel en avsender ikke benekte å ha sendt en melding, og mottakeren kan ikke hevde at mottatt melding var forskjellig fra den som ble sendt. Ikke-avvisning hjelper til med å sikre integritet.
Tilgjengelighet
Systemer, applikasjoner og data har liten verdi for en organisasjon og dens kunder hvis de ikke er tilgjengelige når autoriserte brukere trenger dem. Ganske enkelt betyr tilgjengelighet at nettverk, systemer og applikasjoner er oppe og går.Det sørger for at autoriserte brukere har rettidig, pålitelig tilgang til ressurser når det er behov for dem.
Mange ting kan skade tilgjengeligheten, inkludert maskinvare- eller programvarefeil, strømbrudd, naturkatastrofer og menneskelige feil. Det kanskje mest kjente angrepet som truer tilgjengeligheten, er denial-of-service-angrepet, der ytelsen til et system, et nettsted, en nettbasert applikasjon eller en nettbasert tjeneste forsettlig og skadelig nedbrytes, eller systemet blir fullstendig utilgjengelig.
Mottiltak for å sikre tilgjengeligheten inkluderer redundans (i servere, nettverk, applikasjoner og tjenester), maskinvaretoleranse (for servere og lagring), vanlig programvareoppdatering og systemoppgraderinger, sikkerhetskopier, omfattende katastrofegjenoppretting planer og løsninger for beskyttelse av tjenestenekt.
Bruk av prinsippene
Avhengig av organisasjonens sikkerhetsmål, bransjen, virksomhetens natur og gjeldende regulatoriske krav, ett av disse tre prinsippene kan gå foran en annen. For eksempel er konfidensialitet avgjørende i visse offentlige etater (for eksempel etterretningstjenester); integritet prioriteres i finanssektoren der forskjellen mellom $ 1,00 og $ 1,000,000,00 kan være katastrofal; og tilgjengelighet er avgjørende i både e-handelssektoren (hvor nedetid kan koste selskaper millioner av dollar), og helsesektoren (hvor menneskeliv kan gå tapt hvis kritiske systemer ikke er tilgjengelige).
Et nøkkelbegrep å forstå om CIA-triaden er at prioritering av ett eller flere prinsipper kan bety kompromiss for andre. For eksempel kan et system som krever høy konfidensialitet og integritet, ofre lynhurtig ytelse som andre systemer (for eksempel e-handel) kan verdsette høyere. Dette kompromisset er ikke nødvendigvis en dårlig ting; det er et bevisst valg. Hver organisasjon må bestemme hvordan de skal bruke disse prinsippene gitt sine unike krav, balansert med deres ønske om å gi en sømløs og trygg brukeropplevelse.
Hvis du vil lære om andre grunnleggende sikkerhetskonsepter, kan du lese Hva er sikkerhetskontroll?