CIA-triaden är en välkänd modell för framtagande av policys och regelverk inom området informationssäkerhet. Dvs. det har inget att göra med den amerikanska underrättelseorganisationen med samma akronym.
I det här sammanhanget står C:et för Confidentiality, eg. ett regelverk för att tillåta eller begränsa access till informationen. I:et står för Integrity, eg. regler för att säkerställa att informationen är tillförlitlig under hela dess livscykel. A:et står för Availability, eg. regelverk eller lösningar för att säkerställa tillförlitlig tillgång till informationen när den behövs.
Konceptet CIA-triaden är format över tid och har inte en enskild skapare. ”Confidentiality” dök upp 1976 i en studie inom U.S. Air Force. Konceptet ”Integrity” återfinns i en avhandling från 1987 med titeln "A Comparison of Commercial and Military Computer Security Policies" skriven av David Clark och David Wilson. I avhandlingen konstaterades att man inom kommersiell data-behandling behöver metoder för att säkerställa datas korrekthet. Vad gäller ”Availability” finns inte någon tydlig initial källa, men konceptet blev välkänt 1988 vilket också var det år då de tre komponenterna sammanfördes och bildade begreppet CIA-triaden.
Confidentiality – säkerställer rätt behörighetsnivå. Tilldelas användare, applikationer eller infrastrukturkomponenter vilket sedan styr vilken behandling, lagring eller överföring av information som får göras. Detta förutsätter bl.a. att informationen (eller hela applikationen, datalagringsplatsen etc) är klassificerad och att tekniska lösningar samt processer finns på plats för att säkerställa att behörighetsreglerna efterlevs såväl internt som externt. Regelverken omfattar applikationer, databaser, lagringsplatser, informationsöverföring etc, dvs alla delar av informationssystemet.
Stöld av information klassas idag som ”den dyraste och snabbast ökande it-brottsligheten". Stulen information kan t.ex. användas till allt från identitetsstöld och bedrägerier, företags- eller regeringsspionage eller utpressning, sk. ransomware-attacker.
Integrity – säkerställ att data är tillförlitlig under hela dess livscykel. T.ex. när det gäller personuppgifter finns idag lagstadgade krav på att de är korrekta, fullständiga, uppdaterade och bara får behandlas så länge det är nödvändigt. Säkerhetslösningar kan också vara nödvändiga för att säkerställa att information inte felaktigt uppdaterats, se även Confidentiality ovan.
Värdet på informationen står i direkt korrelation med hur korrekt den är. Felaktiga underliggande data leder till felaktiga beslut. Felaktig information gör också att osäkerheten ökar vilket ledet till extra kontroller nedströms i processer, högre kostnader och långsamma processer.
Availability - regelverk eller lösningar för att säkerställa tillförlitlig tillgång till informationen när den behövs. För att uppnå högre säkerhet beträffande tillgång kan man t.ex. investera i redundanta tekniska lösningar. Dessa säkerställer att tillgängligheten bibehålls även om en teknisk lösning faller ur, dvs inte fungerar av något skäl.
Varje del i triaden är ett fundament i cybersäkerhet. Tillsammans räknas de som de viktigaste komponenterna inom informationssäkerhet. Se triadens tre delar som ett sammanhållet system och inte som oberoende komponenter.
Genom att se triaden som en helhet skapar de ett ramverk för att upprätta policys och regelverk för organisationer. När man utvärderar krav och behov (use case eller user stories) för nya IT-tjänster kan CIA-triaden hjälpa i frågeställningen hur värde skall skapas inom dessa tre nyckelområden.
På Cegal använder vi CIA-triaden som modell när vi hjälper våra kunder med informationssäkerhet eftersom det är viktigt att ett system för IT-säkerhet uppfyller dessa tre delar som CIA-triaden består av.
Läs om vår tjänst Cyber Security Management >