Kevin Henry: Warum verwenden wir die CIA-Informationssicherheits-Triade?

Viele Menschen haben Schwierigkeiten, das Wort "Sicherheit" zu definieren. Es ist ein abstrakter Begriff, der für jeden Einzelnen unterschiedliche Bedeutungen und Bedeutungen hat. Es wird oft als "Sicherheit" definiert (und in manchen Sprachen ist es dasselbe Wort) oder als Zusicherung, Schutz oder physische Kontrolle.

Als Fachleute für Informationssicherheit fällt es uns auch schwer, zu beschreiben, was Sicherheit ist, was sie bewirkt und warum sie wichtig ist. Selbst für uns, die in diesem Bereich arbeiten, kann Sicherheit ein abstrakter Begriff sein, der schwer sinnvoll zu definieren ist.

Noch mehr für die Manager und Nutzer sind wir da, um sie zu unterstützen. Sie sehen Informationssicherheit oft als ein sinnloses und teures Unterfangen, das im Weg steht – wenn sie einfach nur ihre Arbeit machen wollen.
Aus diesem Grund ist es gut, dass wir eine Möglichkeit haben, Informationssicherheit so zu definieren, dass auch Nicht-Sicherheitsleute sie verstehen können. Das Modell Vertraulichkeit, Integrität und Verfügbarkeit spiegelt eine Methode zur Beschreibung von Informationssicherheit wider, die weit mehr ist als nur Privatsphäre.

Es ist wichtig, dass wir den Wert der CIA-Triade verstehen und wie sie uns helfen kann, den Wert und die Vorteile der Sicherheit allen in unserer Organisation zu vermitteln. Vertraulichkeit basiert auf Vertrauen und der Fähigkeit, Vertrauen unter unseren Kunden, Mitarbeitern und Aktionären zu schaffen. Sie können uns Ihre Daten anvertrauen. Bei uns ist es sicher. Wir sind uns des Risikos unsachgemäßer Offenlegung und der Notwendigkeit bewusst, Privatsphäre und Geheimhaltung zu schützen.

Integrität ist in mehr als einer Hinsicht wichtig. Das gängigste Verständnis ist, die Genauigkeit oder Genauigkeit der Daten zu schützen – sind die Daten richtig, korrekt, präzise? Aber wir wissen auch, wie wichtig es ist, die Prozesse zu schützen, die unsere Daten beeinflussen. Um sicherzustellen, dass 'der richtige Betrag auf das richtige Konto gutgeschrieben wird!'

Der Begriff "Sensibilität" wird häufig im Zusammenhang mit Vertraulichkeit und Integrität verwendet – würde eine Person oder Organisation geschädigt werden, wenn die Daten oder der Prozess falsch offengelegt oder verändert würden? Wenn ja, wie groß wäre der Einfluss? Niedrig, mittlere oder hohe Werte?

Oft wird dem Konzept der Verfügbarkeit zu wenig Aufmerksamkeit geschenkt – ist das wirklich die Aufgabe der Informationssicherheit? Ich glaube, dass es so ist – wir müssen mit den Managern von Netzwerken, Anwendungen, Datenbanken und anderen unterstützenden Systemen zusammenarbeiten, um sicherzustellen, dass das Unternehmen die Daten und Prozesse hat, die es zum Betrieb benötigt. Wir müssen einzelne Schwachstellen finden. Einschließlich des heutigen Problems mit vielen Systemen, die von einer Einzelperson unterstützt werden – und niemand sonst weiß, wie man diese Systeme wartet oder bedient. Wir müssen mit Projektteams zusammenarbeiten, um sicherzustellen, dass das Risiko der Unverfügbarkeit frühzeitig im Prozess der Planung eines neuen Systems oder Prozesses erkannt wird, damit Redundanz und Resilienz in die Systeme eingebaut werden können. Verfügbarkeit wird oft mit Kritikalität assoziiert.

Daraus erkennen wir, dass die CIA-Triade nicht nur ein Sprichwort oder eine alte Ideologie ist – sie ist ein Weg, um die Bedürfnisse der Informationssicherheit an die Manager und Nutzer, mit denen wir interagieren, zu kommunizieren – und ein besseres Verständnis dafür zu schaffen, wie wir alle auf den Schutz von Informationen und Geschäftsprozessen hinarbeiten können.