informasjonssikkerhet

Fagområdet informasjonssikkerhet legger vekt på konsekvensen og sannsynligheten ved truslene, og ser bort fra om truslene skyldes ondsinnede handlinger (security) eller uhell og feil (safety). De prioriterte områdene er de tre sikkerhetstjenestene

• konfidensialitet
• integritet
• tilgjengelighet

Sentralt i informasjonssikkerhet står risikostyring og oppfølging av dette gjennom utøving av sikkerhetsledelse. Overordnet benyttes som regel et styringssystem for informasjonssikkerhet. Den senere tiden har også sikkerhetskultur blitt et stadig mer sentralt begrep, da man innser at kun en del av alle mulige angrep foregår utelukkende gjennom teknologi.

Selv om informasjonssikkerhet er et mye brukt begrep, finnes det ingen definisjon som alle er enige om. Det blir stadig vanligere å benytte begrepet cybersikkerhet i stedet for informasjonssikkerhet, riktignok da kun om de truslene som kommer av at informasjon, systemer og brukere er tilgjengelig via internett.

Et viktig moment ved informasjonssikkerhet er at fokus ikke er på å hindre hendelsene i seg selv, men å hindre konsekvensene av hendelsene. Arbeidet med datasikkerhet er derimot fokusert på å blokkere flest mulig sårbarheter. I arbeid med informasjonssikkerhet er det viktig å kunne avdekke og håndtere både kjente og ukjente sikkerhetshendelser gjennom gode rutiner og beredskapsplaner.

Et viktig prinsipp er at informasjonssikkerhet ikke har som mål å oppnå best mulig sikkerhet, men heller er en prosess for forsøke balansere kostnader til sikkerhetstiltak opp mot potensielle tap. Det er altså forventet at sikkerhetshendelser kommer til å skje, og kun de hendelsene som har et tiltak som er økonomisk lønnsomt vil bli utbedret.

Det er imidlertid svært vanskelig å anslå tapet knyttet til en sikkerhetshendelse, siden faktorer som dårlig omdømme og mulig kundeflukt vanskelig lar seg fastsette helt nøyaktig. Sannsynligheten for at en hendelse inntreffer vil også være vanskelig å anslå.

Et interessant aspekt ved informasjonssikkerhet er at både det å innføre relevante sikkerhetstiltak og det å la være, er knyttet til kostnader. Informasjonssikkerhetsarbeidet søker å gjøre dette tapet så lite som mulig. I enkelte tilfeller kan sikkerhetsarbeid også medføre en økonomisk gevinst, slik som å være et konkurransefortrinn i anbud, øke bedriftens omdømme, eller når kunder skal velge mellom produkter fra ulike produsenter.

Informasjonssikkerhet skal ha forankring i hele driften og oppover i ledelsen, og er ikke en aktivitet som drives av IT-drift alene. Selve arbeidet gjennomføres ved bruk av prosesser, ikke verktøy og teknologier. Resultatet av arbeidet med informasjonssikkerhet kan operasjonaliseres med teknologi og verktøy, men vel så viktig er operasjonalisering gjennom policyer, opplæring og rutiner.

• datasikkerhet
• cybersikkerhet
• sikkerhet