Informationssäkerhet handlar väldigt lite om teknik. Framför allt inte om specifika tekniska lösningar.
Informationssäkerhet råder om riskerna med organisationens information och informationsanvändning är acceptabla. Det brukar de vara om all organisationens information är:
- ändamålsenlig, dvs tillräckligt riktig, fullständig och aktuell (integritet),
- tillgänglig för dem som behöver den i sina uppdrag för organisationen,
- otillgänglig för alla andra (sekretess).
För att uppnå informationssäkerhet bör man bland annat:
- endast acceptera läsning, tillägg och borttag av information som behöriga vill göra
- låta bli att ändra i lagrad information
- dokumentera och övervaka aktiviteter som hanterar information
Ett utmanande (tror jag) exempel:
Om endast behöriga kan lägga till information minskar risken för att fel eller oönskad information läggs till - t ex skadlig kod. Men det kan ändå hända, även med väl utvecklat integritetsskydd.
Men om endast behöriga kan läsa, lägga till och ta bort information - och ingen kan ändra i lagrad information - kan inte obehöriga, t ex skadlig kod och andra obehöriga applikationer, göra det. Det kan fortfarande hända, om behörighet tilldelas slarvigt. Men sannolikheten att skadlig kod ställer till med elände är lägre om båda skyddstyperna finns och fungerar.
Lägg till allt detta genomtänkt dokumentation av aktiviteter och snabba larm + åtgärder om aktiviteterna avviker från vad som förväntas så ligger vi hyfsat till.
Vilka olika tekniker som behövs för att skapa denna goda dessert är en helt annan fråga.
