informasjonssikkerhet

Artikkelstart

Informasjonssikkerhet er en utvidelse av fagområdet datasikkerhet, som tar for seg både digital og analog informasjon. Informasjonssikkerhet fokuserer på organisasjoners overordnede prosesser og rutiner rundt sikring av informasjon og tjenester, mer enn metodene og verktøyene.

Faktaboks

Også kjent som

information security

Det er vanlig å skille datasikkerhet og informasjonssikkerhet ved at informasjonssikkerhet først og fremst fokuserer på organisasjoners overordnede prosesser og rutiner rundt sikring av sin informasjon og tjenester, mens datasikkerhet dreier seg mer om metodene og verktøyene som benyttes i dette arbeidet innen IKT.

Fagområdet informasjonssikkerhet legger vekt på konsekvensen og sannsynligheten ved truslene, og ser bort fra om truslene skyldes ondsinnede handlinger (security) eller uhell og feil (safety). De prioriterte områdene er de tre sikkerhetstjenestene konfidensialitet, integritet og tilgjengelighet.

Sentralt i informasjonssikkerhet står risikostyring og oppfølging av dette gjennom utøving av sikkerhetsledelse. Den senere tiden har også sikkerhetskultur blitt et stadig mer sentralt begrep, da man innser at kun en del av alle mulige angrep foregår utelukkende gjennom teknologi.

Selv om informasjonssikkerhet er et mye brukt begrep, finnes det ingen definisjon som alle er enige om.

Informasjonssikkerhetsarbeid

Et viktig moment ved informasjonssikkerhet er at fokus ikke er på å hindre hendelsene i seg selv, men å hindre konsekvensene av hendelsene. Arbeidet med datasikkerhet er derimot fokusert på å blokkere flest mulig sårbarheter. I arbeid med informasjonssikkerhet er det viktig å kunne avdekke og håndtere både kjente og ukjente sikkerhetshendelser gjennom gode rutiner og beredskapsplaner.

Et viktig prinsipp er at informasjonssikkerhet ikke har som mål å oppnå best mulig sikkerhet, men heller er en prosess for forsøke balansere kostnader til sikkerhetstiltak opp mot potensielle tap. Det er altså forventet at sikkerhetshendelser kommer til å skje, og kun de hendelsene som har et tiltak som er økonomisk lønnsomt vil bli utbedret.

Det er imidlertid svært vanskelig å anslå tapet knyttet til en sikkerhetshendelse, siden faktorer som dårlig omdømme og mulig kundeflukt vanskelig lar seg fastsette helt nøyaktig. Sannsynligheten for at en hendelse inntreffer vil også være vanskelig å anslå.

Et interessant aspekt ved informasjonssikkerhet er at både det å innføre relevante sikkerhetstiltak og det å la være, er knyttet til kostnader. Informasjonssikkerhetsarbeidet søker å gjøre dette tapet så lite som mulig. I enkelte tilfeller kan sikkerhetsarbeid også medføre en økonomisk gevinst, slik som å være et konkurransefortrinn i anbud, øke bedriftens omdømme, eller når kunder skal velge mellom produkter fra ulike produsenter.

Informasjonssikkerhet skal ha forankring i hele driften og oppover i ledelsen, og er ikke en aktivitet som drives av IT-drift alene. Selve arbeidet gjennomføres ved bruk av prosesser, ikke verktøy og teknologier. Resultatet av arbeidet med informasjonssikkerhet kan operasjonaliseres med teknologi og verktøy, men vel så viktig er operasjonalisering gjennom policyer, opplæring og rutiner.

Les mer i Store norske leksikon

Kommentarer

Kommentaren din publiseres her. Fagansvarlig eller redaktør svarer når de kan.

Du må være logget inn for å kommentere.

eller registrer deg