Embedded Files
Som grafen viser: Hvis et system er 100% tilgængeligt, altså åbent for alle, så er der ingen sikkerhed. Hvis et system 100% sikkert, så er det imidlertid ingen tilgængelighed. For den største sikkerhedsrisiko for et IT-system er altid brugerne.
CIA-modellen
CIA-modellen
Der er næsten ikke grænser for hvad der kan vise sig at være en usikkerhed i et IT-system. Af den årsag har man fundet på CIA-modellen for at forsøge at sortere alle aspekter af IT-sikkerhed i tre, overskuelige kategorier (C, I og A).
Modellen handler først og fremmest om de data som et system indeholder (navne, passwords etc.), for et system uden data er som udgangspunkt ikke et interessant mål for hackere, eller en stor bekymring for brugere.
CIA-modellen kort fortalt
CIA-modellen kort fortalt
Confidentiality (fortrolighed) - tommelfingerregel: "hold data sikre"
Fortrolighed handler først og fremmest om at private data skal være private.
Hvis en bruger eller et program får adgang til at anvende nogle informationer eller funktioner, som det ikke er tiltænkt, så er det et brud med systemets fortrolighed.
At opretholde fortrolighed med brugernes data kan også gå galt ved et uheld. F.eks. ved at en bruger glemmer at logge af og får sin computer stjålet, eller at en uagtsom programmør kommer til at lave en fejl der giver de forkerte adgang.
Integrity (integritet) - tommelfingerregel: "hold data rene"
Urene data kan være mange ting. Som udgangspunkt siger man at data skal reflektere virkeligheden. At sige at data er urene kan derfor være det samme som at sige at de ikke reflekterer virkeligheden. Det kan f.eks. være at en bruger ikke har skrevet deres rigtige navn eller kreditkort-info ind. Det kan være at databasedesigneren ved et uheld har gjort at postnumre bliver gemt som tal og ikke tekst, og at nogen som kommer til at lave beregninger med postnumre.
Integritet vedrører sikring og vedligeholdelse af et IT-systems data. Data må ikke ændres, håndteres eller slettes på uhensigtsmæssige måder, om det så er ved angreb, handlinger eller fejl fra brugernes side. Mange moderne IT-systemer og særligt cloud-systemer, tillader mange brugere at arbejde med de samme data på samme tid og derfor er det vigtigt at have fokus på integritet. Et it-system skal kunne håndtere når en bruger f.eks. vil slette noget som en anden bruger er ved at redigere.
Availability (tilgængelighed) - tommelfingerregel: "hold data tilgængelighed"
Samtidig med at ikke alle skal have adgang til de samme dele af systemet (fortrolighed) og at systemets integritet skal opretholdes, så skal de personer som har adgang til en given del af systemet kunne anvende det når de vil. Med andre ord kan et IT-system aldrig være 100% sikkert fordi det skal være åbent nok til at de som skal anvende det kan anvende det når de skal. 100% sikkerhed betyder at ingen har adgang til systemet. Af samme årsag er det almindeligt at se brugeren som den største sikkerhedsrisiko.
Eksempler på metoder til at efterleve CIA-modellen
Eksempler på metoder til at efterleve CIA-modellen
Fortrolighed
Fortrolighed
Måder hvorpå man typisk opretholder fortrolighed i et IT-system:
Bruger identifikation (navne, e-mails etc.).
Passwords.
Kryptering af data.
Sikkerhedscheck af brugere (captcha etc.).
Integritet
Integritet
Måder hvorpå man typisk opretholder integritet i et IT-system:
Rolleinddelinger (administrator, bruger etc.).
Tilladelser (Kun læse, redigere, slette etc.).
Diverse former for databasevedligeholdelse.
Tilgængelighed
Tilgængelighed
Måder hvorpå man typisk opretholder tilgængeligheden i et IT-system:
Vedligeholdelse af hardware.
Backup i tilfælde af crash.
Opretholdelse af forbindelser.
Page updated
Report abuse