Informasjonssikkerhet er en utvidelse av fagområdet datasikkerhet som tar for seg sikring av både digital og analog informasjon mot uhell og bevisste handlinger. Informasjonssikkerhet handler om å begrense konsekvensene av, og sannsynligheten for, uønskede hendelser, der forholdet mellom kostnaden av sikkerhetstiltaket og det potensielle tapet av hendelsen er i fokus.
information security; INFOSEC
Det er vanlig å skille datasikkerhet og informasjonssikkerhet ved at informasjonssikkerhet først og fremst fokuserer på organisasjoners overordnede prosesser og rutiner rundt sikring av sin informasjon og tjenester, mens datasikkerhet dreier seg mer om metodene og verktøyene som benyttes i dette arbeidet innen IKT. Mens datasikkerhet i stor grad handler om risikohåndtering og å forhindre at hendelser skal kunne inntreffe, handler informasjonssikkerhet i vel så stor grad om å detektere og håndtere oppståtte hendelser.
Selv om informasjonssikkerhet er et mye brukt begrep, finnes det ingen definisjon som alle er enige om. Det blir stadig vanligere å benytte begrepet cybersikkerhet i stedet for informasjonssikkerhet, riktignok da kun om de truslene som kommer av at informasjon, systemer og brukere er tilgjengelig via internett. Mange anser imidlertid cybersikkerhet å være en delmengde av informasjonssikkerhet på samme måte som datasikkerhet.
Fagområdet informasjonssikkerhet legger vekt på konsekvensene av og sannsynligheten for truslene. Det skilles ikke på om truslene skyldes ondsinnede handlinger (security) eller uhell og feil (safety). De prioriterte områdene er de tre sikkerhetstjenestene:
Sentralt i informasjonssikkerhet står risikostyring og oppfølging av dette gjennom sikkerhetsledelse. Overordnet benyttes som regel et styringssystem for informasjonssikkerhet, som ofte baseres på anerkjente og standardiserte metoder slik som ISO 27000 og NIST. Et hovedområde i risikostyringen er å få en objektiv oversikt over alle sikkerhetstrusler samt finne gode tiltak som dekker truslene på en effektiv måte.
I tillegg til tekniske og fysiske sikkerhetsmekanismer er også regler, rutiner og retningslinjer svært sentralt i informasjonssikkerhet. Også sikkerhetskultur har blitt et viktig område, da man innser at menneskene i organisasjonen er en svært sentral brikke både i å forhindre sikkerhetstrusler samt oppdage og håndtere sikkerhetshendelser.
Et viktig moment ved informasjonssikkerhet er at fokus ikke er på å hindre hendelsene i seg selv, men å hindre konsekvensene av hendelsene. Arbeidet med datasikkerhet er derimot i større grad fokusert på å blokkere flest mulig sårbarheter. I arbeidet med informasjonssikkerhet er det også viktig å kunne oppdage og håndtere både kjente og ukjente sikkerhetshendelser gjennom gode rutiner og beredskapsplaner.
Et viktig prinsipp i informasjonssikkerhet er at målet ikke nødvendigvis er å oppnå den beste sikkerheten, men å balansere kostnadene ved sikkerhetstiltak mot de potensielle tapene. Det er altså forventet at sikkerhetshendelser kommer til å skje, og kun de hendelsene som har et tiltak som er økonomisk lønnsomt vil bli utbedret.
Derfor kan for eksempel risikoaksept, der man forbereder deteksjon og hendelseshåndtering, være en mer optimal løsning enn å implementere forebyggende sikkerhetstiltak. I andre tilfeller kan risikofjerning, der man ikke lenger tilbyr aktuelle tjenester eller funksjoner, vær den beste løsningen. Også risikooverføring, der man overlater ansvaret til andre er i mange tilfeller aktuelt. For eksempel gjennom outsourcing eller cyberforsikringer.
Det er imidlertid svært vanskelig å anslå tapet knyttet til en sikkerhetshendelse, ettersom faktorer som dårlig omdømme og mulig kundeflukt ikke er enkle å fastsette. Sannsynligheten for at en hendelse inntreffer vil også være vanskelig å anslå, da man sjelden kan basere denne på statistikk om tidligere hendelser.
Et interessant aspekt ved informasjonssikkerhet er at både det å innføre relevante sikkerhetstiltak og det å la være, er knyttet til kostnader. Informasjonssikkerhetsarbeidet forsøker å gjøre dette tapet så lite som mulig. I enkelte tilfeller kan sikkerhetsarbeid også medføre en økonomisk gevinst, slik som å være et konkurransefortrinn i anbud, øke bedriftens omdømme, eller når kunder skal velge mellom produkter fra ulike produsenter.
Informasjonssikkerhet bør være forankret i hele organisasjonen, inkludert ledelsen, og er ikke en aktivitet kun drevet av IT-drift. Selve arbeidet gjennomføres ved bruk av prosesser, ikke verktøy og teknologier. Resultatet av arbeidet med informasjonssikkerhet kan operasjonaliseres med teknologi og verktøy, men vel så viktig er operasjonalisering gjennom policyer, opplæring og rutiner.
Kommentarer
Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.
Du må være logget inn for å kommentere.