mikä on CIA (kyberturvallisuudessa)?

Ei, kyse ei ole Keskustiedustelupalvelusta.

kuten muutkin maailmassa olevat epäonniset lyhenteet (yksi suosikeistamme on WTF eli World Trade Federation), CIA voi usein tarkoittaa muutamaa asiaa. Yleensä kyllä, se viittaa Keskustiedustelupalveluun. Mutta kun puhutaan kyberturvallisuudesta, se tarkoittaa jotain aivan muuta.

kyberturvallisuudessa CIA viittaa CIA: n triadiin — käsitteeseen, joka keskittyy tiedon luottamuksellisuuden, eheyden ja saatavuuden tasapainoon tietoturvaohjelman suojauksen alla.

tämä konsepti on noussut viimeisen kahden vuosikymmenen aikana tietoturva-alan ammattilaisten keskeiseksi opiksi, sillä se auttaa suoriutumaan toimista, kuluttamisesta ja tuntimääristä yritettäessä luoda ja optimoida kyberturvallisuusohjelmaa ja mukauttaa sitä liiketoiminnan tarpeisiin.

Lue lisää: Kyberturvallisuussanasto maallikon termein

CIA: n CIA: n murtaminen

luottamuksellisuus

tietojen suojaaminen

sen ytimessä on luottamuksellisuuden periaate, joka koskee sen pitämistä, minkä on oltava yksityistä, yksityistä. Hallituksen sääntely, alan vaatimustenmukaisuusvaatimukset, liikekumppaneidesi odotukset ja yrityksesi omat liiketoiminnalliset prioriteetit vaikuttavat kaikki siihen, mitä tietoja on pidettävä luottamuksellisina.

käytännössä salassapidossa on kyse tietojen käyttöoikeuksien valvonnasta niin, että vain valtuutetut käyttäjät voivat käyttää niitä tai muokata niitä. Ei ole väliä millä toimialalla yritys on, se on, että yrityksen velvollisuus pitää tietonsa ja niiden asiakkaiden / asiakkaiden tiedot pois käsistä, jotka käyttävät sitä väärin. Tämä on ehkä sitten ilmeisin kolmesta CIA: n osasta.

luottamuksellisuutta voidaan loukata sekä tahallisesti että tahattomasti, suorilla hyökkäyksillä, joiden tarkoituksena on päästä verkkoon haavoittuvien osien kautta, tai huolimattomuudella ja inhimillisellä virheellä. Vahva valvonta ja työntekijöiden hyvä koulutus auttavat säilyttämään yrityksen luottamuksellisuuden.

eheys

tietojen pitäminen puhtaana

eheys keskittyy pitämään tiedot puhtaina ja tahrattomina sekä silloin, kun ne ladataan että tallennetaan. Tämä tarkoittaa sen varmistamista, että vain ne, joilla on lupa muokata sitä, muokkaavat sitä.

vaikka tietojen vuotaminen on ongelma, tietojen tahallinen tai vahingossa tapahtuva muuttaminen voi myös aiheuttaa ongelmia ja viikkojen päänvaivaa yrityksille. Kun näin käy, luottamus lentää ikkunasta ulos. Yritysten, niiden kumppaneiden ja asiakkaiden on voitava luottaa aina tarkkoihin, luotettaviin ja ajantasaisiin tietoihin. Jos näin ei voi olla, on ongelma.

tämä vaatimus ei koske vain tietoja, jotka on pidettävä luottamuksellisina. Myös yrityksen verkkosivujen sisällön on oltava tarkkaa. Hinnoittelun, kuvausten ja jopa kauppojen aukioloaikojen on oltava tarkkoja. Tämänkaltaisten julkisesti näkyvien tietojen eheys on myös suojattava.

saatavuus

tietojen saatavuus

saatavuus tarkoittaa käytännössä sitä, että kun valtuutettu käyttäjä tarvitsee pääsyä tietoihin, hän voi. Se voidaan joskus sekoittaa tai jopa näyttää olevan ristiriidassa luottamuksellisuuden kanssa.

luottamuksellisuudessa on kyse sen varmistamisesta, että vain henkilöt, joilla on tarve päästä tietoihin käsiksi, pääsevät niihin käsiksi, mutta käytettävyydessä on kyse sen varmistamisesta, että tietoihin on helppo päästä käsiksi, jos valtuutettu henkilö sitä tarvitsee. Tähän voi sisältyä sen varmistaminen, että verkot ja sovellukset toimivat kuten pitääkin, että turvaprotokollat eivät estä tuottavuutta tai että resurssi on käytettävissä, kun ongelma syntyy ja tarvitsee korjausta.

kun saatavuus joutuu hyökkäyksen kohteeksi tai jää tien sivuun, liiketoiminta voi pysähtyä. Onko se estää palkkalistoilla tai sähköposti tai luottamuksellisia tietoja tarvitaan liiketoiminnan, jos työntekijät eivät pääse mitä he tarvitsevat työtä, no, he eivät voi työskennellä. Tasapainon löytäminen tietojen käytön ja sen varmistamisen välillä, että yrityksesi voi edelleen toimia, on keskeinen osa CIA: n Triadia.

esimerkki

luottamuksellisuus, eheys ja käytettävyys luovat perustan kaikille turvallisuuskehyksille. Köydenveto, joka joskus vallitsee niiden välillä, vaihtelee toimialoittain ja auttaa asettamaan tärkeysjärjestyksen kyberturvallisuusryhmille. Mikä on CIA kyberturvallisuuden toiminnassa?

kuvittele esimerkiksi pyörittäväsi menestyvää verkkokauppabisnestä.

• PCI-vaatimusten noudattaminen edellyttää — ja asiakkaasi odottavat-luottokorttitietojen turvallista säilyttämistä, jotta vilpillisiä liiketoimia ei tapahdu (luottamuksellisuus).
• verkkokauppasivustosi on oltava käytettävissä 24 tuntia vuorokaudessa, 7 päivää viikossa, jotta voit palvella asiakkaita aina, kun he haluavat tehdä ostoksia (saatavuus).
• ja kun heidän tilauksensa saapuu, he eivät halua saaneensa väärää asiaa, koska sivuston Tuotekuvaus ei vastannut tuotetta oikein, tai koska jokin takapuolella meni pieleen (eheys).

jokaisen näistä hoitaminen vaatii turvallisuusryhmän ja elinkeinoelämän yhteistyötä. Kehittäjiä pyydetään kirjoittamaan PCI-vaatimusten mukaista koodia. Sitä pyydetään turvaamaan ja ylläpitämään laadukasta laitteistoa (tai pilvipalveluja) ja ohjelmistoa, jotta verkkosivustoa voidaan käyttää luotettavasti. Myynnin ja tilauksen täyttämisen on toimittava sen varmistamiseksi, että he laittavat oikeat tiedot verkkosivustolle ja että asianmukaiset menetelmät ovat käytössä sen varmistamiseksi, että oikea paketti lähetetään oikealle ostajalle. Turvallisuuden on tehtävä yhteistyötä kaikkien näiden osastojen kanssa, jotta nämä tavoitteet saavutetaan.

tässä tilanteessa, vaikka kaikki ovat ilmeisen tärkeitä, luottamuksellisuus ja saatavuus menevät todennäköisesti koskemattomuuden edelle, koska varastettu henkilöllisyys ja vilpilliset vaateet ovat tärkeämpiä kuin väärä paketti.

mutta kuvittele nyt olevasi valtion urakoitsija. Turvallisuusluokitellut tiedot, joiden kanssa työskentelet päivittäin (luottamuksellisuus) ja tietojen luotettavuus (eheys) ovat etusijalla siihen nähden, kuinka helppoa jonkun on käyttää niitä (saatavuus), määrittämällä prioriteettisi tähän suuntaan. Muutama ylimääräinen sisäänkirjautumisvaihe ei merkitse mitään, kun kansallinen turvallisuus on vaakalaudalla.

oikean tasapainon löytäminen CIA-Triadin eri osien välillä ei ole aina helppoa ja vaatii vahvaa kumppanuutta organisaatiosi liiketoiminnan tarpeiden kanssa, jotta voit tehdä sen kunnolla. Mutta kun se on epätasapainossa, yrityksesi kärsii.

tehokkaat turvallisuusoperaatiot ovat kriittisiä CIA: n tavoitteiden saavuttamisen kannalta

ilman ympäristön turvallisuustapahtumien tehokasta seurantaa, analysointia ja varoittamista, et pysty mittaamaan, kuinka hyvin saavutat CIA: n tavoitteet, ja saatat jättää näiden tavoitteiden rikkomukset väliin, kärjistäen tapahtumat vaaratilanteiksi.

deepwatch on rakennettu tarjoamaan arvokkaita hallittuja tietoturvaoperaatiopalveluja, joiden avulla asiakkaat voivat säilyttää näkyvyyden suorituksiinsa, tunnistaa tietoturvatapahtumat ja vaaratilanteet sekä täyttää CIA: n kyberturvallisuustavoitteet.

Lue lisää siitä, keitä olemme ja miten muutamme hallitun kyberturvallisuuden palvelua tai ota meihin yhteyttä tänään.