on helppo suojata joitakin tietoja, jotka ovat arvokkaita vain sinulle. Voit tallentaa kuvia tai ideoita tai huomautuksia salatun muistitikun, lukittuna paikka, jossa vain sinulla on avain.

mutta yritysten ja organisaatioiden on käsiteltävä tätä laajassa mittakaavassa., Loppujen lopuksi juuri yrityksen tiedot-tuotteet, asiakas-ja työntekijätiedot, ideat, tutkimus, kokeilut—tekevät yrityksestäsi hyödyllisen ja arvokkaan. (”Varat” yleensä ajattelemme, kuten laitteisto ja ohjelmisto, ovat yksinkertaisesti työkaluja, joiden avulla voit työskennellä ja säästää yrityksesi tiedot.)

Niin, miten organisaatio edetä suojella tiedot? Toki on olemassa turvallisuusstrategioita ja teknologiaratkaisuja, jotka voivat auttaa, mutta yksi konsepti alleviivaa niitä kaikkia: CIA: n Turvallisuuskolmikko.,

Tämä käsite yhdistää kolme osatekijää—luottamuksellisuus, eheys ja saatavuus—auttaa opas turvallisuus toimenpiteiden tarkastukset, ja yleinen strategia. Katsotaanpa.

(Tämä artikkeli on osa meidän Turvallisuus & Compliance-Opas. Navigoi oikean käden valikosta.)

Määritellään CIA security

CIA: N kolmikko edustaa toiminnot tietojärjestelmät. Tietojärjestelmäsi kattaa sekä tietokonejärjestelmäsi että tietosi., Ben Dynkin, Co-Perustaja & TOIMITUSJOHTAJA Atlas Plus, selittää, että nämä ovat toimintoja, jotka voidaan hyökätä—mikä tarkoittaa, että nämä ovat toimintoja, sinun täytyy puolustaa.

CIA: N turvallisuus-kolmikko koostuu kolmesta toimintoja:

• Luottamuksellisuus. Järjestelmä on kyky varmistaa, että vain oikea, valtuutettu käyttäjä/järjestelmä/resurssi voi tarkastella, käyttää, muuttaa, tai muutoin käyttää tietoja.
• eheys. Järjestelmän kyky varmistaa, että järjestelmä ja tieto ovat tarkkoja ja oikeita.
• saatavuus., Järjestelmän kyky varmistaa, että järjestelmät, tieto ja palvelut ovat käytettävissä suurimman osan ajasta.

katsotaan jokaista tarkemmin.

Luottamuksellisuus

ei-turvallisuuden tunne, luottamuksellisuus on kyky pitää jotain salassa. Todellisessa maailmassa voisimme ripustaa kaihtimet tai laittaa verhot ikkunoihimme. Voisimme pyytää ystävää pitämään salaisuuden. Vaitiolovelvollisuus liittyy myös teknologiaan. Se voi pelata eri tavalla henkilökohtaisen käytön tasolla, jossa käytämme VPN: iä tai salausta Oman yksityisyydensuojan vuoksi., Saatamme sammuttaa kotona olevat laitteet, jotka kuuntelevat aina.

Mutta yrityksen turvallisuutta, luottamuksellisuutta on rikottu, kun luvaton henkilö voi katsoa, ottaa, ja/tai muuttaa tiedostoja. Luottamuksellisuus on merkittävä, koska yritys haluaa suojella sen kilpailuetua—aineettomat hyödykkeet, jotka tekevät oman yrityksen erottumaan kilpailu.

Rehellisyys

tietojärjestelmien eheys tarkoittaa, että tämän järjestelmän tulokset ovat tarkkoja ja tosiasioihin., Tiedot maailmassa, se tunnetaan tietojen luotettavuus—voit luottaa tulokset tietoja, tietokoneen järjestelmät?

Kun kiinnität minkä tahansa tietojärjestelmän eheys on yksi toiminto, jota yrität suojella. Et halua, että pahat näyttelijät tai inhimilliset virheet tahallaan tai vahingossa pilaavat tietokonejärjestelmiesi eheyden ja niiden tulokset.

Saatavuus

Saatavuus on termi, jota käytetään laajasti IT—resurssien saatavuus, jotka tukevat palvelut. Turvallisuus, saatavuus tarkoittaa sitä, että oikeat ihmiset on pääsy tietojärjestelmiin., Jos käyttäjä, jolla on etuoikeus käyttää ei ole pääsyä hänen oma tietokone, niin ei ole saatavuutta.

saatavuus on tietoturvassa iso kysymys, koska siihen voi hyökätä. Hyökkäys saatavuus voi rajoittaa käyttäjien pääsyä joihinkin tai kaikki palvelut, jättäen muokkaamisella siivota sotku ja raja seisokkeja.

CIA triad enterprise security

OK, joten meillä on käsitteitä alas, mutta mitä me teemme triad?,

sen ytimessä, CIA-triad on turvallisuus malli, että voit olisi noudatettava, jotta voidaan suojata tiedot tallennetaan paikallisesti, tietojärjestelmien tai pilvi. Se auttaa sinua:

• Pitää tiedot salassa (Luottamuksellisuus)
• Säilyttää odotettavissa, tarkka tila, että tietoja (Eheys)
• Varmistaa tiedot ja palvelut ovat käynnissä (Saatavuus)

Se on tasapaino: ei suojausta joukkue voi 100% varmistaa, että luottamuksellisuus, eheys ja saatavuus voi olla koskaan rikottu, ei ole väliä syy.,

sen Sijaan, turvallisuus ammattilaiset käyttävät CIA triad ymmärtää ja arvioida organisaation riskejä. Dynkin ehdottaa jokaisen mahdollisen uhan, hyökkäyksen ja haavoittuvuuden murtamista mihin tahansa Triadin funktioon. Esimerkiksi:

• tietomurto rikkoo tietojesi luottamuksellisuutta.
• ransomware tapaus hyökkäyksiä saatavuus tietojärjestelmien.

sen ymmärtäminen, mitä vastaan hyökätään, on se, miten voit rakentaa suojaa tuota hyökkäystä vastaan., Ota ransomware-tapaus-kaikki tietoturva-ammattilaiset haluavat lopettaa ransomware-ohjelman. Jos meillä on taipumus tarkastella ransomware laajasti, kuten jotkut ”esoteerinen haittaohjelmien hyökkäys”, Dynkin sanoo meidän pitäisi pitää sitä hyökkäys suunniteltu erityisesti rajoittaa saatavuuttasi.

Kun ajattelet tätä yritetään rajoittaa saatavuus, hän kertoi minulle, voit ottaa ylimääräisiä rajoittamis vaiheet kuin voisi olla jos olisit vain yrittää ”lopettaa ransomware”.

triadi voi auttaa porautumaan tiettyihin kontrolleihin. Sitä sovelletaan myös strategian ja politiikan tasolla., Dynkin jatkaa: – Kun ymmärtää CIA-triad, voit laajentaa näkymää turvallisuus ”pidemmälle erityiset pikkuseikat (joka on edelleen erittäin tärkeää) ja keskittyä organisaation lähestymistavan tietoturvan.”

priorisoi jokainen suojattava asia sen perusteella, kuinka vakavia seuraukset olisivat, jos luottamuksellisuutta, eheyttä tai saatavuutta rikottaisiin. Esimerkiksi, miten voisi jokainen tapahtuma tässä rikotaan yksi osa tai useamman CIA-triad:

• palvelun keskeytys: hyökkääjä voi keskeyttää käyttää pelinappulana jotain muuta.,
• telekuuntelu: hyökkääjä voisi estää tai kaapata sähköpostisi oppiakseen yrityksen toiminnasta.
• muokkaus tai valmistus: hyökkääjä voi muokata tai väärentää tietojasi.

entä jos jokin tapaus voi rikkoa kaksi toimintoa kerralla? Harkitse, suunnittele ja ryhdy toimiin kunkin turvallisuusominaisuuden parantamiseksi mahdollisimman paljon. Esimerkiksi varmuuskopioiden-redundanssien-käyttö parantaa yleistä saatavuutta. Jos jonkin järjestelmän saatavuuteen hyökätään, sinulla on jo varmuuskopio valmiina.,

CIA-triad-toimintaa

tiedät, että sinun turvallisuus joukkue on nostamassa esiin joitakin turvallisuus CIA-triad, kun näet asioita, kuten:

• Rajat järjestelmänvalvojan oikeudet
• Kyvyttömyys käyttää omaa, tuntemattomia laitteita
• käyttää VPN käyttää tiettyjä arkaluonteisia yrityksen tiedot

– Mitään, että on etu—aineelliset laitteisto ja ohjelmisto, aineeton osaaminen ja lahjakkuus—pitäisi jollakin tavalla olla suojattu turvallisuus joukkue. Ja se on turvallisuusryhmän työtä: suojella kaikkia omaisuutta, jota yhtiö pitää arvokkaana., Eikä se selvästikään ole helppo projekti.

Lisää turvallisuutta ominaisuudet

Tietoturva-ammattilaisia jo tietää, että tietoturva ei lopu CIA-triad. ISO-7498-2 sisältää myös muita ominaisuuksia tietoturva:

• Autentikointi: kyky järjestelmien vahvistaa identiteettiä.
• kiistämättömyys tai vastuullisuutta: kyky järjestelmien päteviksi jotain, joka tapahtuu järjestelmässä. Se on varmuus datan alkuperästä ja eheydestä.,

Luottamuksellisuus, eheys, käytettävyys

Nämä kolme osatekijää on kulmakivi tahansa turvallisuus ammattilainen, tarkoitus mitään turvallisuus joukkue. John Svazic, Perustaja EliteSec, sanoo, että CIA triad ”toimii kosketuspisteet tahansa turvallisuustyötä tehdään”. Se on, se on tapa, jolla SecOps ammattilaisten vastaus:

Miten työtä teemme aktiivisesti parantaa yksi näistä tekijöistä?,

Kun yritys rakentaa ulos suojaus-ohjelma, tai lisää turvallisuuden valvonta, voit käyttää CIA-triad perustella tarvetta valvonta olet täytäntöön. Vedä turvatoimesi aina yhteen tai useampaan CIA: n osaan.

siksi Svazic pitää CIA: n Triadia ”hyödyllisenä” mittapuuna”, joka auttaa varmistamaan, että toteuttamasi kontrollit ovat todella hyödyllisiä ja välttämättömiä—eivät lumelääkettä.

samankaltaisia reading

• BMC Turvallisuus & Compliance-Blogi
• Riski vs Uhka vs Haavoittuvuus: Mitkä ovat Erot?,
• Rikkominen Recovery Tarkistuslista Sinulle & Yritys
• Top 8 Tapoja Hakkerit Noutaa Tietoja Mainframe
• IT Asset Management: 10 Parhaita Käytäntöjä Onnistuneen ITAM