łatwo jest chronić niektóre dane, które są cenne tylko dla Ciebie. Możesz przechowywać swoje zdjęcia, pomysły lub notatki na zaszyfrowanym pendrive ' ie, zamkniętym w miejscu, w którym tylko Ty masz klucz.

ale firmy i organizacje muszą sobie z tym poradzić na ogromną skalę., W końcu to dane firmy—Produkty, dane klientów i pracowników, pomysły, badania, eksperymenty—czynią Twoją firmę użyteczną i cenną. („Zasoby”, o których zwykle myślimy, takie jak sprzęt i oprogramowanie, są po prostu narzędziami, które umożliwiają pracę i zapisywanie danych firmy.)

w jaki sposób organizacja chroni te dane? Oczywiście, istnieją strategie bezpieczeństwa i rozwiązania technologiczne, które mogą pomóc, ale jedna koncepcja podkreśla je wszystkie: Triada bezpieczeństwa CIA.,

ta koncepcja łączy trzy elementy—poufność, integralność i dostępność—aby pomóc w zarządzaniu środkami bezpieczeństwa, kontrolami i ogólną strategią. Zobaczmy.

(Ten artykuł jest częścią naszego Przewodnika po zgodności z przepisami&. Użyj menu po prawej stronie, aby nawigować.)

Definiowanie CIA w bezpieczeństwie

TRIADA CIA reprezentuje funkcje systemów informatycznych. Twój system informatyczny obejmuje zarówno systemy komputerowe, jak i dane., Ben Dynkin, współzałożyciel& CEO firmy Atlas Cybersecurity, wyjaśnia, że są to funkcje, które można zaatakować—co oznacza, że są to funkcje, których musisz bronić.

Triada bezpieczeństwa CIA składa się z trzech funkcji:

• poufności. Zdolność systemu do zapewnienia, że tylko prawidłowy, autoryzowany użytkownik / system / zasób może przeglądać, uzyskiwać dostęp, zmieniać lub w inny sposób wykorzystywać dane.
• uczciwość. Zdolność systemu do zapewnienia, że system i informacje są dokładne i poprawne.
• dostępność., Zdolność systemu do zapewnienia, że systemy, informacje i usługi są dostępne przez większość czasu.

przyjrzyjmy się każdemu dokładniej.

poufność

w sensie braku bezpieczeństwa poufność to twoja zdolność do zachowania czegoś w tajemnicy. W prawdziwym świecie możemy powiesić rolety lub zasłonić okna. Możemy poprosić przyjaciela, żeby dochował tajemnicy. Poufność wchodzi również w grę z technologią. Może to rozegrać się inaczej na poziomie użytku osobistego, gdzie używamy VPN lub szyfrowania dla własnego dobra prywatności., Możemy wyłączyć urządzenia domowe, które zawsze nasłuchują.

ale w zabezpieczeniach korporacyjnych poufność jest naruszana, gdy nieupoważniona osoba może przeglądać, pobierać i / lub zmieniać Twoje pliki. Poufność jest istotna, ponieważ Twoja firma chce chronić swoją przewagę konkurencyjną—wartości niematerialne, które wyróżniają Twoją firmę na tle konkurencji.

integralność

w systemach komputerowych integralność oznacza, że wyniki tego systemu są precyzyjne i rzeczowe., W świecie danych jest to znane jako wiarygodność danych—czy można ufać wynikom danych, systemów komputerowych?

podczas zabezpieczania dowolnego systemu informatycznego integralność jest jedną z funkcji, którą próbujesz chronić. Nie chcesz, aby źli aktorzy lub błędy ludzkie celowo lub przypadkowo zniszczyły integralność systemów komputerowych i ich wyniki.

dostępność

Dostępność to termin szeroko stosowany w IT—dostępność zasobów do obsługi Twoich usług. W dziedzinie bezpieczeństwa dostępność Oznacza, że dostęp do Twoich systemów informatycznych mają odpowiednie osoby., Jeśli użytkownik z uprawnieniami dostępu nie ma dostępu do swojego dedykowanego komputera, nie ma dostępności.

dostępność jest dużym problemem w bezpieczeństwie, ponieważ może być atakowana. Atak na Twoją dostępność może ograniczyć dostęp użytkowników do niektórych lub wszystkich Twoich usług, pozostawiając Szyfrowanie, aby posprzątać bałagan i ograniczyć przestoje.

TRIADA CIA w enterprise security

OK, więc mamy pojęcia wyłączone, ale co zrobimy z triadą?,

w swej istocie TRIADA CIA jest modelem zabezpieczeń, którego możesz—powinieneś-przestrzegać w celu ochrony informacji przechowywanych w lokalnych systemach komputerowych lub w chmurze. Pomaga to:

• zachować w tajemnicy informacje (poufność)
• utrzymać oczekiwany, dokładny stan tych informacji (integralność)
• zapewnić, że Twoje informacje i usługi są gotowe do działania (dostępność)

to równowaga: żaden zespół ds. bezpieczeństwa nie może w 100% zapewnić, że poufność, integralność i dostępność nigdy nie zostaną naruszone, bez względu na przyczynę.,

zamiast tego specjaliści ds. bezpieczeństwa używają triady CIA do zrozumienia i oceny ryzyka organizacyjnego. Dynkin sugeruje rozbicie każdego potencjalnego zagrożenia, ataku i podatności na jakąkolwiek funkcję triady. Na przykład:

• naruszenie danych atakuje poufność danych.
• incydent ransomware atakuje dostępność systemów informatycznych.

zrozumienie tego, co jest atakowane, to sposób budowania ochrony przed tym atakiem., Weźmy na przykład ransomware—wszyscy specjaliści ds. bezpieczeństwa chcą zatrzymać ransomware. Tam, gdzie mamy tendencję do postrzegania ransomware szeroko, jako „ezoteryczny atak złośliwego oprogramowania”, Dynkin mówi, że powinniśmy postrzegać go jako atak zaprojektowany specjalnie w celu ograniczenia dostępności.

Kiedy myślisz o tym jako o próbie ograniczenia dostępności, powiedział mi, że możesz podjąć dodatkowe kroki łagodzące, niż gdybyś próbował tylko „zatrzymać ransomware”.

Triada może pomóc ci w przewierceniu się w określone elementy sterujące. Ma również zastosowanie na poziomie strategii i Polityki., Dynkin kontynuuje: kiedy zrozumiesz triadę CIA, możesz rozszerzyć swój pogląd na bezpieczeństwo ” poza konkretne drobiazgi (które są nadal krytycznie ważne) i skupić się na organizacyjnym podejściu do bezpieczeństwa informacji.”

ustalaj priorytety każdej rzeczy, którą musisz chronić, na podstawie tego, jak poważne będą konsekwencje naruszenia poufności, integralności lub dostępności. Na przykład, w jaki sposób każde zdarzenie może naruszyć jedną lub więcej części triady CIA:

• przerwa w świadczeniu usług: atakujący może przerwać dostęp jako kartę przetargową na coś innego.,
• Przechwytywanie: atakujący może zablokować lub przejąć wiadomości e-mail, aby dowiedzieć się o aktywności firmy.
• modyfikacja lub fabrykowanie: atakujący może zmodyfikować lub sfałszować Twoje informacje.

Co jeśli jakiś incydent może naruszyć dwie funkcje naraz? Zastanów się, zaplanuj i podejmij działania w celu poprawy każdej funkcji bezpieczeństwa w jak największym stopniu. Na przykład posiadanie kopii zapasowych-redundancji-poprawia ogólną dostępność. Jeśli dostępność jakiegoś systemu zostanie zaatakowana, masz już przygotowaną kopię zapasową.,

TRIADA CIA w akcji

będziesz wiedział, że twój zespół ds. bezpieczeństwa stara się zabezpieczyć triadę CIA, gdy zobaczysz takie rzeczy, jak:

• limity praw administratora
• niezdolność do korzystania z własnych, nieznanych urządzeń
• korzystanie z VPN do dostępu do pewnych wrażliwych informacji o firmie

wszystko, co jest aktywem—namacalny sprzęt i oprogramowanie, niematerialna wiedza i talent—powinno być w jakiś sposób chronione przez Twoją firmę.Ochrona. I to jest praca zespołu ds. bezpieczeństwa: ochrona wszelkich aktywów, które firma uzna za cenne., I najwyraźniej nie jest to łatwy projekt.

dodatkowe właściwości zabezpieczeń

specjaliści od bezpieczeństwa już wiedzą, że bezpieczeństwo komputera nie kończy się na triadzie CIA. ISO-7498-2 zawiera również dodatkowe właściwości bezpieczeństwa komputera:

• uwierzytelnianie: zdolność systemów do potwierdzania tożsamości.
• brak odrzucenia lub odpowiedzialności: zdolność twoich systemów do potwierdzenia ważności czegoś, co występuje w systemie. Jest to zapewnienie o pochodzeniu i integralności danych.,

poufność, integralność, dostępność

te trzy elementy są podstawą dla każdego specjalisty ds. bezpieczeństwa, celem każdego zespołu ds. bezpieczeństwa. John Svazic, założyciel EliteSec, mówi, że Triada CIA „działa jako punkt kontaktowy dla każdego rodzaju prac związanych z bezpieczeństwem”. Oznacza to, że jest to sposób dla specjalistów SecOps, aby odpowiedzieć:

w jaki sposób praca, którą wykonujemy, aktywnie poprawia jeden z tych czynników?,

Kiedy Twoja firma buduje program zabezpieczający lub dodaje kontrolę bezpieczeństwa, możesz użyć triady CIA, aby uzasadnić potrzebę kontroli, którą wdrażasz. Zawsze odwołaj swoje działania bezpieczeństwa z powrotem do jednego lub więcej elementów CIA.

dlatego Svazic uważa triadę CIA za „użyteczną” miarkę, która pomaga zapewnić, że kontrole, które wdrażasz, są rzeczywiście użyteczne i konieczne—a nie placebo.

podobne odczyty

• BMC Security& Compliance Blog
• ryzyko a zagrożenie a Luka: jakie są różnice?,
• Lista kontrolna odzyskiwania naruszeń dla Ciebie & Twoja firma
• 8 najlepszych sposobów, w jaki hakerzy będą usuwać dane z twojego komputera mainframe
• zarządzanie zasobami IT: 10 najlepszych praktyk dla udanego ITAM