det er nemt at beskytte nogle data, der kun er værdifulde for dig. Du kan gemme dine billeder eller ideer eller noter på en krypteret tommelfinger drev, låst væk i et sted, hvor kun du har nøglen.

men virksomheder og organisationer er nødt til at håndtere dette i stor skala., Det er trods alt virksomhedens data—produkter, kunde—og medarbejderoplysninger, ideer, forskning, eksperimenter-der gør din virksomhed nyttig og værdifuld. (De” aktiver”, vi normalt tænker på, som Hard .are og soft .are, er simpelthen de værktøjer, der giver dig mulighed for at arbejde med og gemme dine virksomhedsdata.)

så hvordan går en organisation om at beskytte disse data? Sikkert, der er sikkerhedsstrategier og teknologiløsninger, der kan hjælpe, men et koncept understreger dem alle: CIA Security Triad.,

dette koncept kombinerer tre komponenter—fortrolighed, integritet og tilgængelighed—for at hjælpe med at guide sikkerhedsforanstaltninger, kontroller og overordnet strategi. Lad os se.

(Denne artikel er en del af vores Sikkerhed & Overholdelse Guide. Brug menuen til højre til at navigere.)

definition af CIA i sikkerhed

CIA-triaden repræsenterer funktionerne i dine informationssystemer. Dit informationssystem omfatter både dine computersystemer og dine data., Ben Dynkin, medstifter & administrerende direktør for Atlas Cybersecurity, forklarer, at dette er de funktioner, der kan angribes-hvilket betyder, at dette er de funktioner, du skal forsvare.CIA ‘ s sikkerhedstriade består af tre funktioner:

• fortrolighed. Et systems evne til at sikre, at kun den korrekte, autoriserede bruger/system/ressource kan se, få adgang til, ændre eller på anden måde bruge data.
• integritet. Et systems evne til at sikre, at systemet og oplysningerne er korrekte og korrekte.
• tilgængelighed., Et systems evne til at sikre, at systemer, information og tjenester er tilgængelige langt størstedelen af tiden.

lad os se på hver i flere detaljer.

fortrolighed

i en ikke-sikkerhedsmæssig forstand er fortrolighed din evne til at holde noget hemmeligt. I den virkelige verden kan vi hænge persienner eller lægge gardiner på vores vinduer. Vi kan bede en ven om at holde på en hemmelighed. Fortrolighed kommer også i spil med teknologi. Det kan spille anderledes ud på et personligt brugsniveau, hvor vi bruger VPN ‘ er eller kryptering for vores egen skyld, der søger privatliv., Vi kan slukke i hjemmet enheder, der altid lytter.

men i virksomhedens sikkerhed overtrædes fortrolighed, når en uautoriseret person kan se, tage og / eller ændre dine filer. Fortrolighed er vigtig, fordi din virksomhed ønsker at beskytte sin konkurrencefordel—de immaterielle aktiver, der får din virksomhed til at skille sig ud fra din konkurrence.

integritet

i computersystemer betyder integritet, at resultaterne af dette system er præcise og faktuelle., I dataverdenen er det kendt som datasikkerhed-kan du stole på resultaterne af dine data, af dine computersystemer?

Når du sikrer et informationssystem, er integritet en funktion, som du forsøger at beskytte. Du ønsker ikke dårlige skuespillere eller menneskelige fejl til, med vilje eller ved et uheld, ødelægge integriteten af dine computersystemer og deres resultater.

tilgængelighed

tilgængelighed er et udtryk, der i vid udstrækning bruges i IT—tilgængeligheden af ressourcer til at understøtte dine tjenester. I sikkerhed betyder tilgængelighed, at de rigtige personer har adgang til dine informationssystemer., Hvis en bruger med privilege access ikke har adgang til sin dedikerede computer, er der ingen tilgængelighed.tilgængelighed er et stort problem i sikkerhed, fordi det kan angribes. Et angreb på din tilgængelighed kan begrænse brugeradgang til nogle eller alle dine tjenester, hvilket efterlader din scrambling for at rydde op i rodet og begrænse nedetiden.

CIA-triaden i enterprise security

OK, så vi har koncepterne nede, men hvad gør vi med triaden?,

i sin kerne, CIA triad er en sikkerhedsmodel, som du kan—bør—følge for at beskytte oplysninger, der er gemt i on-premises edb-systemer eller i skyen. Det hjælper dig med:

• Holde information hemmelig (Fortrolighed)
• Bevare det forventes, præcise tilstand af, at information (Integritet)
• kontroller, at dine oplysninger og tjenester, der er oppe og køre (Tilgængelighed)

Det er en balance: ingen sikkerhed team kan 100% sikre fortrolighed, integritet og tilgængelighed kan aldrig være brudt, uanset årsagen.,

i stedet bruger sikkerhedsfolk CIA-triaden til at forstå og vurdere dine organisatoriske risici. Dynkin foreslår at nedbryde enhver potentiel trussel, angreb, og sårbarhed i en hvilken som helst funktion af triaden. For eksempel:

• et dataovertrædelse angriber fortroligheden af dine data.
• en ransom .are hændelse angriber tilgængeligheden af dine informationssystemer.forståelse af, hvad der bliver angrebet, er, hvordan du kan opbygge beskyttelse mod det angreb., Tag tilfældet med ransom .are-alle sikkerhedsfolk ønsker at stoppe ransom .are. Hvor vi har tendens til at se ransom .are bredt, som nogle “esoteriske Mal .are angreb”, Dynkin siger, at vi bør se det som et angreb designet specielt til at begrænse din tilgængelighed.

  Når du tænker på dette som et forsøg på at begrænse tilgængeligheden, fortalte han mig, kan du tage yderligere afbødende foranstaltninger, end du måske har, hvis du kun forsøger at “stoppe ransomware”.

  triaden kan hjælpe dig med at bore ned i specifikke kontroller. Det gælder også på strategi-og politikniveau., Dynkin fortsætter: når du forstår CIA-triaden, kan du udvide dit syn på sikkerhed “ud over de specifikke detaljer (som stadig er kritisk vigtige) og fokusere på en organisatorisk tilgang til informationssikkerhed.”

  Prioriter hver ting, du har brug for at beskytte, baseret på hvor alvorlige konsekvenserne ville være, hvis fortrolighed, integritet eller tilgængelighed blev overtrådt. For eksempel, hvordan kan hver begivenhed her bryde en del eller flere af CIA-triaden:

  • en serviceafbrydelse: en angriber kunne afbryde din adgang som en forhandlingschip for noget andet.,
  • aflytning: en angriber kan blokere eller kapre dine e-mails for at lære om virksomhedens aktivitet.ændring eller fabrikation: en angriber kan ændre eller forfalske dine oplysninger.

  Hvad hvis en hændelse kan bryde to funktioner på Twon gang? Overvej, planlægge og træffe foranstaltninger for at forbedre hver sikkerhedsfunktion så meget som muligt. For eksempel forbedrer sikkerhedskopier—redundans—den samlede tilgængelighed. Hvis nogle systemets tilgængelighed angribes, har du allerede en sikkerhedskopi klar til at gå.,

  CIA-treklang i handling

  vil Du vide, at din sikkerhed team er at sætte frem en vis sikkerhed for CIA ‘ s triade, når du ser ting som:

  • Begrænsninger på administrator-rettigheder.
  • manglende Evne til at bruge din egen, ukendte enheder
  • brug af VPN til at få adgang til visse følsomme virksomhedsoplysninger

  Noget, der er et aktiv—materielle hardware og software, immaterielle viden og talent, der skal på en eller anden måde være beskyttet af din sikkerhed team. Og det er sikkerhedsholdets arbejde: at beskytte ethvert aktiv, som virksomheden anser for værdifuldt., Og det er helt klart ikke et let projekt.

  yderligere sikkerhedsegenskaber

  sikkerhedsfolk ved allerede, at computersikkerhed ikke stopper med CIA-triaden. ISO-7498-2 indeholder også yderligere egenskaber til computersikkerhed:

  • godkendelse: dine systemers evne til at bekræfte en identitet.
  • ikke-afvisning eller ansvarlighed: dine systemers evne til at bekræfte gyldigheden af noget, der sker over systemet. Det er en sikkerhed for datas oprindelse og integritet.,

  fortrolighed, integritet, tilgængelighed

  disse tre komponenter er hjørnestenen for enhver sikkerhedsfaglig, formålet med ethvert sikkerhedsteam. John sva .ic, grundlægger af EliteSec, siger, at CIA-triaden “fungerer som berøringspunkter for enhver form for sikkerhedsarbejde, der udføres”. Det vil sige, det er en måde for SecOps-fagfolk at svare på:

  Hvordan forbedrer det arbejde, vi udfører, aktivt en af disse faktorer?,

  Når din virksomhed bygger et sikkerhedsprogram, eller tilføjer en sikkerhedskontrol, du kan bruge CIA triad til at retfærdiggøre behovet for kontroller, du gennemfører. Altid trække dine sikkerhedsforanstaltninger tilbage til en eller flere af CIA komponenter.derfor betragter sva .ic CIA—triaden som “en nyttig” målestok””, der hjælper dig med at sikre, at de kontroller, du implementerer, faktisk er nyttige og nødvendige-ikke en placebo.

  Relateret læsning

  • BMC Sikkerhed & Overholdelse af Blog
  • Risk vs Trussel vs Sårbarhed: Hvad er Forskellene?,
  • Overtrædelse Recovery Tjekliste Til Dig & Din Virksomhed
  • Øverste 8 Måder Hackere Vil Exfiltrate Data Fra Din Mainframe
  • IT Asset Management: 10 Best Practices for Vellykkede ITAM