det är lätt att skydda vissa data som är värdefulla för dig bara. Du kan lagra dina bilder eller idéer eller anteckningar på en krypterad USB-enhet, låst bort på en plats där bara du har nyckeln.

men företag och organisationer måste hantera detta i stor skala., Det är trots allt företagets data-produkter, kund—och anställdas detaljer, idéer, forskning, experiment-som gör ditt företag användbart och värdefullt. (De ”tillgångar” som vi normalt tänker på, som hårdvara och mjukvara, är helt enkelt de verktyg som gör att du kan arbeta med och spara dina företagsdata.)

Så, hur går en organisation om att skydda dessa data? Visst, det finns säkerhetsstrategier och tekniska lösningar som kan hjälpa, men ett koncept understryker dem alla: CIA Security Triad.,

detta koncept kombinerar tre komponenter—sekretess, integritet och tillgänglighet—för att hjälpa till att vägleda säkerhetsåtgärder, kontroller och övergripande strategi. Låt oss ta en titt.

(den här artikeln är en del av vår säkerhet& Compliance Guide. Använd menyn till höger för att navigera.)

definiera CIA i säkerhet

CIA-triaden representerar funktionerna i dina informationssystem. Ditt informationssystem omfattar både dina datorsystem och dina data., Ben Dynkin, medgrundare & VD för Atlas Cybersecurity, förklarar att dessa är de funktioner som kan attackeras – vilket innebär att dessa är de funktioner du måste försvara.

CIA security triad består av tre funktioner:

• Sekretess. Ett systems förmåga att säkerställa att endast rätt, auktoriserad användare/system/resurs kan visa, komma åt, ändra eller på annat sätt använda data.
• integritet. Ett system förmåga att säkerställa att systemet och informationen är korrekt och korrekt.
• tillgänglighet., Ett system förmåga att se till att system, information och tjänster är tillgängliga den stora majoriteten av tiden.

låt oss titta på var och en i mer detaljer.

Sekretess

i en icke-säkerhetsmässig mening är Sekretess din förmåga att hålla något hemligt. I den verkliga världen kan vi hänga persienner eller lägga gardiner på våra fönster. Vi kanske ber en vän att hålla en hemlighet. Sekretess kommer också i spel med teknik. Det kan spela ut på olika sätt på en personlig nivå, där vi använder VPN eller kryptering för vår egen privatlivssökande skull., Vi kan stänga av enheter i hemmet som alltid lyssnar.

men i företagssäkerhet bryts sekretess när en obehörig person kan visa, ta och / eller ändra dina filer. Sekretess är betydande eftersom ditt företag vill skydda sin konkurrensfördel – de immateriella tillgångar som gör ditt företag sticker ut från din konkurrens.

integritet

i datorsystem innebär integritet att resultaten av det systemet är exakta och faktiska., I datavärlden är det känt som data trustworthiness—kan du lita på resultaten av dina data, av dina datorsystem?

När du säkrar ett informationssystem är integritet en funktion som du försöker skydda. Du vill inte ha dåliga skådespelare eller mänskliga fel att, med avsikt eller av misstag, förstöra integriteten hos dina datorsystem och deras resultat.

tillgänglighet

tillgänglighet är en term som ofta används i den—tillgången på resurser för att stödja dina tjänster. I säkerhet innebär tillgänglighet att rätt personer har tillgång till dina informationssystem., Om en användare med behörighetsåtkomst inte har tillgång till sin dedikerade dator finns det ingen tillgänglighet.

tillgänglighet är ett stort problem i säkerhet eftersom det kan attackeras. En attack på din tillgänglighet kan begränsa användarens tillgång till vissa eller alla dina tjänster, lämnar din förvränga att städa upp röran och begränsa driftstopp.

CIA-triaden i enterprise security

OK, så vi har begreppen nere, men vad gör vi med triaden?,

i sin kärna är CIA—triaden en säkerhetsmodell som du kan—bör-följa för att skydda information som lagras i datorsystem på plats eller i molnet. Det hjälper dig:

• Håll information hemlig (konfidentialitet)
• behåll det förväntade, korrekta tillståndet för den informationen (integritet)
• se till att din information och tjänster är igång (tillgänglighet)

det är en balans: inget säkerhetsteam kan 100% säkerställa att sekretess, integritet och tillgänglighet aldrig kan brytas, oavsett orsak.,

i stället använder säkerhetspersonal CIA-triaden för att förstå och bedöma dina organisatoriska risker. Dynkin föreslår att bryta ner alla potentiella hot, attacker och sårbarhet i någon funktion av triaden. Till exempel:

• ett databrott angriper sekretessen för dina data.
• en ransomware incident angriper tillgängligheten av dina informationssystem.

att förstå vad som attackeras är hur du kan bygga skydd mot den attacken., Ta fallet med ransomware-alla säkerhetspersonal vill stoppa ransomware. Där vi tenderar att se ransomware i stort sett, som vissa ”esoteriska malware attack”, Dynkin säger att vi bör se det som en attack som utformats speciellt för att begränsa din tillgänglighet.

När du tänker på detta som ett försök att begränsa tillgängligheten, berättade han för mig, Du kan ta ytterligare mildrande steg än du kanske har om du bara försökte ”stoppa ransomware”.

triaden kan hjälpa dig att borra ner i specifika kontroller. Det gäller också på strategi-och policynivå., Dynkin fortsätter: när du förstår CIA triaden, du kan utöka din syn på säkerhet ” utöver de specifika minutiae (som fortfarande är kritiskt viktigt) och fokusera på en organisatorisk strategi för informationssäkerhet.”

prioritera varje sak du behöver skydda baserat på hur allvarliga konsekvenserna skulle vara om sekretess, integritet eller tillgänglighet överträddes. Till exempel, hur kan varje händelse här bryta en del eller flera av CIA triaden:

• ett serviceavbrott: en angripare kan avbryta din åtkomst som ett förhandlingschip för något annat.,
• avlyssning: en angripare kan blockera eller kapa dina e-postmeddelanden för att lära sig om företagsaktivitet.
• modifiering eller tillverkning: en angripare kan ändra eller förfalska din information.

vad händer om någon incident kan bryta mot två funktioner samtidigt? Tänk på, planera och vidta åtgärder för att förbättra varje säkerhetsfunktion så mycket som möjligt. Till exempel, med säkerhetskopior—redundans—förbättrar övergripande tillgänglighet. Om vissa systemets tillgänglighet attackeras, har du redan en säkerhetskopia redo att gå.,

CIA triad in action

Du vet att ditt säkerhetsteam lägger fram viss säkerhet för CIA—triaden när du ser saker som:

• gränser för administratörsrättigheter
• oförmåga att använda dina egna, okända enheter
• användningen av VPN för att få tillgång till viss känslig företagsinformation

allt som är en tillgång—materiell hårdvara och mjukvara, immateriell kunskap och talang-bör på något sätt skyddas av ditt säkerhetsteam. Och det är säkerhetsgruppens arbete: att skydda alla tillgångar som företaget anser värdefulla., Och det är uppenbarligen inte ett enkelt projekt.

ytterligare säkerhetsegenskaper

säkerhetspersonal vet redan att datasäkerhet inte slutar med CIA-triaden. ISO-7498-2 innehåller även ytterligare egenskaper för datasäkerhet:

• autentisering: systemets förmåga att bekräfta en identitet.
• non-repudiation or accountability: förmågan hos dina system för att bekräfta giltigheten av något som uppstår över systemet. Det är en försäkran om data ursprung och integritet.,

sekretess, integritet, tillgänglighet

dessa tre komponenter är hörnstenen för alla säkerhetspersonal, syftet med något säkerhetsteam. John Svazic, grundare av EliteSec, säger att CIA-triaden ”fungerar som beröringspunkter för alla typer av säkerhetsarbete som utförs”. Det är, det är ett sätt för SecOps-proffs att svara:

hur är det arbete vi gör aktivt förbättra en av dessa faktorer?,

När ditt företag bygger ut ett säkerhetsprogram, eller lägger till en säkerhetskontroll, kan du använda CIA-triaden för att motivera behovet av kontroller som du implementerar. Dra alltid tillbaka dina säkerhetsåtgärder till en eller flera av CIA-komponenterna.

det är därför Svazic anser CIA triaden ”en användbar” måttstock ”” som hjälper dig att se till att de kontroller du genomför är faktiskt användbara och nödvändiga—inte en placebo.

relaterad läsning

• BMC Security & Compliance Blog
• Risk vs Threat vs Vulnerability: Vad är skillnaderna?,
• Breach Recovery checklista för dig & ditt företag
• topp 8 sätt hackare kommer att exfiltrera Data från din stordator
• IT Asset Management: 10 bästa praxis för framgångsrik ITAM