Vad är informationssäkerhet? De tre grundläggande principerna.

Informationssäkerhet är ett begrepp som alla har hört och känner till. Vi vet att det är något som behövs för att skydda vår personliga integritet, vår data och våra affärshemligheter. Men vad är det egentligen man menar, och hur ser arbetet med informationssäkerhet ut i praktiken? För att göra det mer begripligt så har vi tagit hjälp av våra kollegor Pelle Larsson och Andreas Elveborg som jobbar på Exsec, Time People Groups specialistbolag med fokus just på den typen av frågor.

Information är sättet vi förmedlar kunskap till varandra, och en viktig grundpelare i vårt samhälle är att informationen hanteras på ett korrekt sätt, annars kommer förtroendet mellan aktörerna att brista. Om hanteringen inte är korrekt så skulle det också kunna få katastrofala konsekvenser för både individen och samhället om det rör sig om frågor som patientjournaler eller de system som styr vår livsviktiga infrastruktur.

Så vilka är de tre principerna?

Andreas kokar ner det i tre fundamentala pelare som måste finnas på plats:

Konfidentialitet: Informationen ska endast finnas tillgänglig för den som är behörig. Det kan gå mycket illa om min läkarjournal glöms på bussen, mina telefonsamtal avlyssnas eller om min mejl hamnar i fel händer.

Riktighet: Informationen som finns ska vara korrekt och användbar. Man måste också vara säker på att informationen inte är manipulerad. Ibland kan misstag ske, och ibland finns det mer ondsinta uppsåt. När tandläkaren ska dra ut en tand är det viktigt att man vet vilken tand som ska dras ut. När vi får mejl så vill vi att avsändaren verkligen är den som den utger sig för att vara. När jag går till banken så vill jag att saldot som visas är det rätta.

Tillgänglighet: Informationen ska finnas tillgänglig när vi väl behöver den, och endast för de som har behörighet. Akutläkaren måste få tillgång till mina journaler, telefonlinjerna och servrarna måste fungera och betaltjänsterna måste vara online när de behövs.

En viktig aspekt som omfattar dessa tre principer är spårbarhet. För att säkerställa att allt har gått rätt till så måste vi i efterhand kunna följa upp vem som har tagit del av informationen, när man har gjort det och varför. Har informationen varit tillgänglig och vem har påverkats av den?

Det handlar inte bara om teknik

När man pratar om dessa saker så är det väldigt enkelt att fastna i ett tekniktänk. Men information är bara värdefull när den kan bearbetas av människor. Därför handlar vårt arbete lika mycket om förändringsledning, utbildning och beteendeförändring hos människor som det gör att se till så att man har rätt verktyg på plats.

Om ni behöver hjälp över att se över säkerheten på ert företag, eller bara vill prata informationssäkerhet i allmänhet så är ni välkomna att kontakta Exsecs vd Pelle Larsson, peter.larsson@exsec.se. Mer information hittar ni också på exsec.se