Av
CIA-modellen analyserar informationssäkerhet utifrån ett trefaldigt syfte: att hemlighålla (C=confidentiality), förhindra manipulering av information (I=integrity) och se till att information är tillgänglig där och då den behövs (A=availability). Ett bra tecken på att någon inte förstått denna enkla modell är det klassiska resonemanget att det är lätt att säkra information i en dator: bara att koppla bort nätverket, slå av strömmen och så vidare. En lämplig motråga kan vara hur vederbörande tänker göra med information som finns i människor.
En stor fördel med CIA-modellen är att konflikten mellan hemlighet och tillgänglighet finns inbyggd i den. Och det är just den konflikten mycket säkerhetsarbete kretsar kring.
Integritetsaspekten är ganska lik hemlighetsdelen. De skydd som används för hemlighet och integritet (autentisering, brandväggar, kryptering och policy) liknar också varandra. Tillgänglighet handlar om helt andra saker, som backup, patchning, kapacitet, katastrofhantering och redundans. Så kanske kunde vi slå ihop modellen till bara ”CA”. Men då missar vi poängen att förkortningen CIA är lättare att komma ihåg. Dessutom glorifieras inte förenklingar i den här branschen, vilket är bra.
Förslagen på tillägg har varit många genom åren: oavvislighet och spårbarhet är populära bland polis och myndigheter. Andra vill lägga på ett yttre skal med hårdvara, kommunikation och mjukvara. Utanpå det går det att lägga ytterligare ett skal som delar upp skydden i fysiska, organisatoriska och personliga.
Läser du den här tidningen har du förmodligen plockat isär en och annan pryl för att se hur den fungerar. Du lär dig förmodligen också mycket av att se hur saker går sönder. Så låt oss se hur våra system går sönder. CIA-modellen är trots allt ett verktyg, och verktyg bedömer vi utifrån hur bra de passar till den uppgift vi vill utföra.
Ska vi tro Verizons sjunde årliga rapport om dataintrång som bygger på 800 utredda fall så varierar tekniken för angreppen och målen över tid. Men det stora problemet verkar konstant: Slarv med grundläggande it-säkerhet.
Det talar för att CIA-modellen kommer att vara relevant länge än. Dels är den, till skillnad från de föreslagna tilläggen, så enkel att den är relevant för varierande hot och tekniker. Dels är den ett bra verktyg för det stora underliggande problemet – vi slarvar fortfarande med grunderna inom informationssäkerhet.
En stor fördel med CIA-modellen är att konflikten mellan hemlighet och tillgänglighet finns inbyggd i den. Och det är just den konflikten mycket säkerhetsarbete kretsar kring.
Integritetsaspekten är ganska lik hemlighetsdelen. De skydd som används för hemlighet och integritet (autentisering, brandväggar, kryptering och policy) liknar också varandra. Tillgänglighet handlar om helt andra saker, som backup, patchning, kapacitet, katastrofhantering och redundans. Så kanske kunde vi slå ihop modellen till bara ”CA”. Men då missar vi poängen att förkortningen CIA är lättare att komma ihåg. Dessutom glorifieras inte förenklingar i den här branschen, vilket är bra.
Förslagen på tillägg har varit många genom åren: oavvislighet och spårbarhet är populära bland polis och myndigheter. Andra vill lägga på ett yttre skal med hårdvara, kommunikation och mjukvara. Utanpå det går det att lägga ytterligare ett skal som delar upp skydden i fysiska, organisatoriska och personliga.
Läser du den här tidningen har du förmodligen plockat isär en och annan pryl för att se hur den fungerar. Du lär dig förmodligen också mycket av att se hur saker går sönder. Så låt oss se hur våra system går sönder. CIA-modellen är trots allt ett verktyg, och verktyg bedömer vi utifrån hur bra de passar till den uppgift vi vill utföra.
Ska vi tro Verizons sjunde årliga rapport om dataintrång som bygger på 800 utredda fall så varierar tekniken för angreppen och målen över tid. Men det stora problemet verkar konstant: Slarv med grundläggande it-säkerhet.
Det talar för att CIA-modellen kommer att vara relevant länge än. Dels är den, till skillnad från de föreslagna tilläggen, så enkel att den är relevant för varierande hot och tekniker. Dels är den ett bra verktyg för det stora underliggande problemet – vi slarvar fortfarande med grunderna inom informationssäkerhet.
Den här artikeln har 0 kommentarer:
Freddie Larsson, CIO, Xdin:
Håll koll med våra
I IDG:s stora pdf-shop kan du köpa artiklar och hela tidningar i digitalt format.