CIA-Triaden: Ofte Stillede Spørgsmål

CIA-triaden er en fundamental sikkerhedsmodel bestående af tre kerneprincipper:

• Fortrolighed: Sikre at følsomme oplysninger kun er tilgængelige for autoriserede personer
• Integritet: Garantere datanøjagtighed og troværdighed gennem hele dets livscyklus
• Tilgængelighed: Sikre at information og systemer er tilgængelige når det er nødvendigt for autoriserede brugere

Disse tre principper danner fundamentet for udvikling af sikkerhedspolitikker, valg af kontroller og vurdering af en organisations sikkerhedsstatus.

Dataklassificering er direkte forbundet med CIA-triaden ved at hjælpe organisationer med at bestemme passende sikkerhedskontroller baseret på datafølsomhed:

• Fortrolighed: Klassificeringsniveauer (f.eks. offentlig, intern, fortrolig, begrænset) bestemmer adgangskontroller
• Integritet: Mere følsomme klassificeringer kan kræve strengere validering, checksummer eller godkendelsesworkflows
• Tilgængelighed: Kritiske dataklassificeringer kræver ofte redundans og højere oppetidskrav

Ved at klassificere data kan organisationer anvende proportionale sikkerhedskontroller på tværs af alle tre dimensioner af CIA-triaden.

CIA-triaden danner grundlaget for større compliance frameworks:

• NIST Frameworks: Inkorporerer CIA-principper gennem kontroller der adresserer hvert aspekt
• ISO 27001: Strukturerer sine kontrolmål omkring beskyttelse af fortrolighed, integritet og tilgængelighed
• GDPR: Understreger fortrolighed og integritet af personlige data
• PCI DSS: Fokuserer på kortholderdata sikkerhed på tværs af alle tre dimensioner

Organisationer kortlægger typisk deres CIA-baserede kontroller til specifikke framework-krav under compliance-indsatser.

Flere værktøjer assisterer med CIA-triaden sikkerhedsvurdering:

• CIA Compliance Manager: Giver omfattende vurdering af sikkerhedskontroller på tværs af alle tre domæner
• Sårbarhedsscannere: Identificerer svagheder der påvirker fortrolighed og integritet
• Tilgængelighedsovervågningsværktøjer: Sporer system oppetid og ydeevne
• Dataklassificeringsværktøjer: Hjælper med at kategorisere information til passende beskyttelse
• Risikovurderingsplatforme: Evaluerer trusler mod hver CIA-komponent

Balancering af CIA-triaden involverer:

1. Risikovurdering for at identificere den relative betydning af hvert element for specifikke systemer/data
2. Implementering af passende kontroller baseret på dataklassificering
3. Brug af princippet om mindste privilegium til adgangskontrol
4. Implementering af forsvar i dybden strategier
5. Regelmæssig sikkerhedsvurdering og test på tværs af alle tre domæner
6. Oprettelse af politikker der anerkender kompromiser mellem elementerne
7. Justering af kontroller baseret på skiftende forretningsbehov og trusselsbillede

Fortrolighedstrusler:

• Databrud
• Uautoriseret adgang
• Aflytning
• Social engineering

Integritetstrusler:

• Uautoriserede ændringer
• Man-in-the-middle angreb
• Ukorrekte adgangskontroller
• Datakorruption

Tilgængelighedstrusler:

• DDoS-angreb
• Hardwarefejl
• Naturkatastrofer
• Strømafbrydelser
• Ressourceudmattelse

Effektivitet kan måles gennem:

• Sikkerhedsmetrikker: Specifikke for hvert element (f.eks. antal databrud for fortrolighed)
• Sikkerhedsvurderinger: Regelmæssig evaluering mod frameworks som NIST eller ISO 27001
• Penetrationstestning: Resultater fra kontrollerede sikkerhedstest
• Incident response: Effektivitet i håndtering af sikkerhedshændelser
• RTO'er og RPO'er: Genoprettelsestidsmål og gendannelsespunktmål
• Forretningspåvirkningsanalyse: Forståelse af sikkerhedskontrol effektivitet i forhold til forretningskrav

CIA Compliance Manager giver robuste værktøjer til måling og sporing af disse metrikker.