- Vilken säkerhetsnivå krävs när kunder vill utföra sina ärenden?
- Hur uppfylls kraven på säkerhetsnivå när kunden väljer att utföra dessa aktiviteter via en viss ”kanal” från en viss plats (personligt möte, telefon, brev, dator eller mobil, skyddat eller öppet nätverk, i företagets lokaler, hemma, på internetcafé eller på annan plats)?
- Vilka kompenserande kontroller kan göra att de krav som inte uppfylls "naturligt" av vald plats och ”kanal” ändå uppfylls till slut?
- först fastställa vilka kundaktiviteter som ska/får förekomma och vad de ska/får resultera i
- därefter definiera de principiella kravnivåerna, kopplade till varje fastställd kundaktivitet - oavsett plats och "kanal" - för
- autentisering och viljeyttring,
- behörighetskontroll,
- sekretess, aktualitet, riktighet, fullständighet, spårbarhet, tillgänglighet etc.
- slutligen avgöra huruvida kraven uppfylls – och kundaktiviteten får utföras – på de möjliga platserna och via de möjliga "kanalerna", eventuellt efter kompenserande kontroller.
Kravnivåerna fastställs ungefär som vid ”vanlig” informationsklassificering, och stegen mellan nivåerna är i regel rätt långa. Skillnaden mot den ”vanliga” informationsklassificeringen är att startpunkten här inte är informationsresurserna och deras ”skyddsbehov” (det kan ibland uppfattas som ett rätt abstrakt angreppssätt) utan kundaktiviteterna och de konkreta konsekvenserna om de t ex utförs av fel person, inte ger avsett resultat eller inte alls kan utföras av någon anledning. Ju större konsekvenser de möjliga bristerna kan medföra desto starkare skydd behövs mot bristerna.
Som exempel kan SKA-synsättet innebära att en viss kundaktivitet får utföras om kundens identitet kan fastställas genom stark autentisering, naturligtvis under förutsättning att övriga krav också uppfylls. Vad som menas med stark autentisering i olika ”kanaler” får sedan fastställas per ”kanal” – det kan t ex betyda autentisering med e-legitimation på nätet och id-kontroll med hjälp av fysisk id-handling vid personligt möte.
Skulle det inte gå att uppnå tillräckligt hög säkerhetsnivå för en kundaktivitet från en viss plats via en ”kanal” – i exemplet kanske det inte går att utföra stark autentisering per telefon – får inte kundaktiviteten genomföras där, och alla förstår varför. Kunderna också.
En viktig finess är att säkerhetskraven kommer att vara relativt stabila över tiden medan säkerhetslösningarna – t ex autentiseringsmetoderna – måste tillåtas variera beroende på hotbildsförändringar och nya teknikval.
SKA utvidgas lätt till två andra i stort sett identiska koncept – SMA, Säker Medarbetar-Aktivitet och SPA, Säker Partner-Aktivitet – för att hantera aktiviteter som medarbetare och partners gör med företagets informationsresurser, både i företagets lokaler och utanför och via olika ”kanaler”. Dessa båda koncept används tillsammans med SKA för att säkerställa att säkerhetskraven både fastställs och uppfylls för alla aktiviteter som berör företagets informationsresurser – dvs vi får med SKA/SMA/SPA en operativt användbar metod att säkerställa att bara tillåtna aktiviteter utförda av behöriga förekommer i företagets informationsmiljö. Det är detsamma som att det totala skyddet för informationsresurserna är tillfredsställande.
Koncepten SKA, SMA och SPA skapar förutsättningar för att upprätthålla nödvändig och tillräcklig säkerhetsnivå i en komplex och föränderlig verklighet. Vi klarar att hålla staketet jämnhögt, helt enkelt.
