Vad är informationssäkerhet?

Informationssäkerhet handlar om att förhindra att information hamnar i orätta händer, eller att den förvanskas eller förstörs. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, i rätt tid.

En förutsättning för att detta ska vara möjligt är att alla känner till vad som är skyddsvärt och hur skyddsvärt det är, eftersom det är först då som informationen kan tas om hand och skyddas på rätt sätt. En metod för att identifiera skyddsvärden är därför helt nödvändig.

Informationsklassificering

Genom informationsklassificering bedömer man informationens skyddsvärde utifrån de tre grundläggande principerna för informationssäkerhet:

• Konfidentialitet
• Riktighet
• Tillgänglighet

Det handlar om att analysera vilka konsekvenserna skulle bli om informationen är tillgänglig för obehöriga, förvanskas genom manipulation eller inte är tillgänglig när den behövs. Man skulle kunna säga att informationsklassificering handlar om att göra en skadebedömning i förväg.

Precision i säkerhetsarbetet

När skyddsvärdet är känt kan man planera sina skyddsåtgärder. Det är viktigt att ha hög precision i det här arbetet, vilket innebär att skyddet ska vara tillräckligt bra, det vill säga vare sig för svagt eller för krångligt eller kostsamt. Inte överskydd, inte underskydd utan rätt skydd.

Hotbild

För att kunna skydda informationen på rätt sätt bör du, förutom att känna till informationens skyddsvärde, även ha kunskap om hur hotbilden ser ut. Hotbilden ser olika ut beroende på vilken information och organisation det handlar om. Fortifikationsverket delar exempelvis in hoten i tre kategorier:

• Statliga aktörer
• Kriminella
• Administrativa hot
  

Statliga aktörer

Att kunna verka på distans under lång tid med liten risk att bli utpekad eller påkommen är något de statliga hotaktörerna satsar stora resurser på. Flertalet har stor förmåga att tillskansa sig information via både teknisk och personbaserad inhämtning. Syftet är att störa eller förstöra, inte att dra ekonomisk vinning.

Kriminella

Kriminella genomför bland annat phishing-attacker och sprider skadlig kod. Till skillnad från statliga aktörer drivs de av ekonomiska intressen. Genom att ”sälja” attacker, verktyg och tjänster till andra aktörer tjänar de mycket pengar. Kriminella kan agera i statliga aktörers intresse. De kan vara oerhört kreativa och är alltid på jakt efter sårbarheter som kan utnyttjas.

Administrativa hot

Handlar exempelvis om att information har hanterats på ett felaktigt sätt på grund av okunskap eller brister i regelverket. Det kan även handla om bristande kontroll och uppföljning.