Upplýsingaöryggi
Tilgangurinn með upplýsingaöryggi er að tryggja áframhaldandi rekstur og lágmarka tjón með því að koma í veg fyrir eða lágmarka áhrif af öryggisbrestum.
Upplýsingaöryggisstjórnun auðveldar samnýtingu gagna, en verndar um leið verðmæti sem felast í upplýsingunum og tölvuvinnslunni. Venjan er að skipta upplýsingaöryggi í þrjá þætti:
- Gagnavernd. Verndun viðkvæmra upplýsinga fyrir óleyfilegri birtingu, aðgangi eða hlerun.
- Heilleiki gagna. Tryggja þarf að upplýsingar séu réttar og óskemmdar og hugbúnaður virki rétt.
- Aðgengileiki. Tryggja að upplýsingarnar og þjónusta séu til staðar fyrir notendur, þegar þeirra er þörf.
Upplýsingar taka á sig margvíslega mynd. Þær geta verið vistaðar á tölvum, sendar yfir tölvunet, prentaðar út eða skrifaðar á pappír og komið fram í tali fólks. Frá sjónarmiði öryggis þarf að nota viðeigandi vörn fyrir sérhverja birtingu upplýsinganna þar á meðal á pappír, í gagnagrunnum, á filmum, glærum, líkönum, segulböndum, disklingum, í umræðu og hverri annarri aðferð sem notuð er til að miðla þekkingu og hugmyndum.
Fyrirtæki og stofnanir treysta mjög mikið á upplýsingakerfi í rekstri sínum. Góð upplýsingakerfi veita stjórnendum mikilvægar upplýsingar um stöðu rekstursins. Þau varðveita bókhaldsgögn, sölutölur, rannsóknaniðurstöður, markaðsáætlanir og önnur trúnaðargögn, sem notuð eru við úrvinnslu, stefnumótun, markaðssetningu og almenna ákvörðunartöku. Þessar upplýsingar þarf að vernda eins vel og kostur er á hverjum tíma.
Mikilvægi upplýsingakerfa fyrirtækja er það mikið, að kerfisbilanir hafa áhrif á starfsgetu þeirra. Að missa út tölvukerfið er eitt alvarlegasta áfall sem fyrirtæki getur lent í. Rannsóknir í Bandaríkjunum sýna að sífellt algengara er að fyrirtæki, sem verða fyrir alvarlegu tjóni í tölvumiðstöðvum og hafa ekki trygga neyðaráætlun, komast í þrot og hætta rekstri. Á 8. áratugnum var þetta hlutskipti um 75% fyrirtækja, 10 árum síðar var þetta hlutfall komið í 82%, en á þessum áratug er talan komin í 90 af hundraði. Því má segja að öryggi upplýsingakerfa er orðið einn mikilvægasti þátturinn í að tryggja rekstraröryggi fyrirtækja.
Þegar talað er um öryggi upplýsinga og þjónustu tengdri þeim, er oftast gengið út frá þremur atriðum:
- Gagnavernd (confidenciality)
- Heilleika (integrity)
- Aðgengileika (availability)
Einnig er hægt að bæta við:
- Ábyrgð (accountability)
- Áreiðanleiki (reliability)
Alþjóðlega stöðlunarstofnunin (International Standard Organisation, ISO) hefur auk þess bætt við ábyrgð á upplýsingum og áreiðanleika þeirra. Efnahags- og framfarastofnunin (OECD) hefur í ritinu Guidelines for the Security of Information Systems gengið út frá níu grundvallaratriðum:
- Ábyrgð (Accountability)
- Vitund (Awareness)
- Siðferði (Ethics)
- Fjölbreytileiki (Multidisciplinary)
- Samræmi (Proportionality)
- Samþáttun (Integration)
- Tímasetningu (Timeliness)
- Endurskoðun (Reassessment)
- Lýðræði (Democracy)
National Institute of Standards and Technology (NIST) í Bandaríkjunum tók þessi grundvallaratriði, sameinaði sum og bjó til ný og kom upp með eftirfarandi átta grundvallaratriði:
- Upplýsingaöryggi styður stefnu fyrirtækisins
- Upplýsingaöryggi er hluti af góðri stjórnun
- Upplýsingaöryggi þarf að vera hagkvæmt
- Eigendur upplýsingakerfa bera ábyrgð á öryggi utan fyrirtækja sinna.
- Ábyrgð á upplýsingaöryggi á að vera gerð afdráttarlaus.
- Upplýsingaöryggi krefst vandaðra og skipulagðra vinnubragða.
- Upplýsingaöryggi þarf að endurmeta reglulega.
- Upplýsingaöryggi getur verið takmarkað af samfélagslegum þáttum.
Mörg fyrirtæki hafa gert ýmislegt til að tryggja öryggi upplýsinga. Þau hafa mótað sér stefnu, útbúið öryggishandbók, framkvæmt áhættumat og jafnvel fengið vottun. En þetta er ekki nóg. Oft eiga þessi fyrirtæki í samstarfi við önnur fyrirtæki sem ekki hafa gert eins mikið í sínum málum. Þessi fyrirtæki deila með sér viðkvæmum upplýsingum, sem varða viðskiptaleyndarmál hvors um sig. Í slíku tilfellum er mikilvægt að báðir aðilar hafi örugga vörslu upplýsinga og vinnu eftir verkferlum þess tryggi það. Mörg fyrirtæki áttuðu sig á veikleikum samstarfsaðila sinna, þegar þau fóru í gegnum úttektir vegna 2000 vandans, svo kallaða. Þá áttuðu þau sig á því hvaða áhrif það hefði á eigin rekstur, ef t.d. truflun yrði á afhendingu aðfanga. Sem betur fer komu upp fá tilvik, þar sem 2000 vandinn hafði áhrif á starfshæfni tölvukerfa, en var það vegna þess að menn of mátu vandann eða vegna þess að tekið var á honum? Svarið við þessu verður líklega aldrei vitað