...Read in English here 🇬🇧
Introduktion
Cybersikkerhed og informationssikkerhed… Lyder det ens for dig? Det er du ikke alene om! De to begreber læner sig meget op ad hinanden, hvilket naturligvis gør det sværere at kende forskellen. Begge termer er afgørende i forhold til information risk management.
Engang opbevarede man data i aflåste skabe på kontoret. Her var det afdelingen for informationssikkerheds fornemmeste opgave at sørge for, at det fysiske data var beskyttet mod fysiske personer, der fik uautoriseret adgang til det. I dag er der i langt højere grad fokus på at beskytte digital data mod cyberangreb fra cyberspace, hvorfor begrebet cybersikkerhed opstod.
Så for at vende tilbage til de to termer. Informationssikkerhed danner således den overordnede ramme for beskyttelse af data, mens cybersikkerhed danner ramme om mere specifikke trusler. I denne artikel vil det gennemgås mere dybdegående, hvad informationssikkerhed og cybersikkerhed dækker over, hvordan de overlapper, hvad CIA triaden er, og hvordan .legal kan hjælpe dig med processen.
Læs mere om ISMS her: Introduktion til Informationssikkerheds management systemer (ISMS) og Privacy ISMS Priser
Hvad er informationssikkerhed?
Som nævnt er informationssikkerhed (eller InfoSec, som det også kaldes) et overordnet begreb, der danner grundlag for at sikre, at kun berettigede, autoriserede personer får adgang til data. Man kan forestille sig informationssikkerhed som en paraply – denne omfatter alt data, fysisk såvel som online. Her skal man altså beskytte alle former for data, hvorfor dette også inkluderer cybersikkerhed.
Politikker, procedurer og teknologiske løsninger for compliance er typisk en del af informationssikkerheden. Disse sikrer, at man har en klar måde at håndtere og overvåge sikkerhedsaspekter af at behandle informationer. Disse tiltag skal beskytte mod flere slags ’trusler’; blandt andet mod hackere/cyberangreb, fysisk tyveri og/eller uagtsomhed fra medarbejdere. Tiltag for at forhindre dette kan bl.a. omfatte kryptering, adgangskontrol (fysisk såvel som online), awareness-træning, gennemgang af behandlingsaktiviteter og risikostyring.
Du kan måske også lide: Risikovurdér dine behandlingsaktiviteter eller dokumentér hvor I behandler persondata
På et internt niveau er det vigtigt at uddanne sit personale, således de har en øget bevidsthed om de risici, der er ved at behandle data, hvilket fremmer ansvarlig adfærd og øger fokus på dette. På et eksternt niveau er det derimod vigtigt at sikre sig, at der er implementeret robuste sikkerhedsforanstaltninger mod uautoriseret adgang, herunder ved cyberangreb. Dette kan blandt andet gøres gennem antivirus- og firewall software, datakryptering, adgangspolitikker samt løbende opdateringer og implementeringer af andre vigtige procedurer og politikker.
Generelt er det derfor vigtigt at opretholde en høj standard inden for informationssikkerhed, både på internt og eksternt plan. Derudover er det essentielt, at det, der implementeres, er effektivt og fremmer sikkerheden. For at sikre virkningen af disse tiltag er det derfor også nødvendigt at foretage regelmæssige revisioner, således tiltagene kan testes og evt. optimeres, hvis det er nødvendigt.
Se: Sådan udfører du smarte GDPR datarevisioner
Hvad er cybersikkerhed?
Cybersikkerhed er på det store lærred en del af informationssikkerhed – og måske mere til. Cybersikkerhed søger – modsat informationssikkerhed - at beskytte mod specifikke trusler med fokus på digitale trusler. Det spænder derfor ikke lige så bredt som informationssikkerhed, hvad angår beskyttelsesforanstaltninger. Datasikkerhed rummer derimod både data og informationer.
Den stigende digitalisering forøger afhængigheden af teknologi og digital dataopbevaring – og dette medfører øget risiko for trusler. Cybersikkerhed er derfor et nødvendigt middel og indebærer det praktiske i at sikre data, digitale systemer og netværk mod trusler i form af blandt andet cyberangreb, der potentielt kan give uautoriserede personer adgang. Det er således afgørende, at cybersikkerhed tages alvorligt, og at tiltag hertil implementeres retmæssigt for at opretholde den førnævnte CIA-triade (fortrolighed, integritet og tilgængelighed).
Se: Har du virkelig brug for GDPR Compliance software? Her er hvordan du kan vide det.
Der skal altså beskyttes mod alt uønsket og uautoriseret adgang, der sigter mod at udnytte sårbarheder i virksomheden. Dette gøres gennem brug af opdateret beskyttelsessoftware som firewalls, adgangskontrol og best-practice undervisning. Metoderne hertil minder meget om metoderne til brug for beskyttelse af informationssikkerhed, idet informationssikkerhed også søger at beskytte mod digitale trusler. Både informationssikkerhed og cybersikkerhed kræver derfor en holistisk tilgang, hvor både teknologi, bevidsthed og (i særdeleshed) forberedelse spiller ind.
Læs mere om ISMS lige her: System til håndtering af IT-sikkerhed og NIS2 compliance.
Hvordan overlapper de to termer?
Ikke alt data er information, men alt information er data. Kort og præcist – men måske stadig forvirrende? I dette ligger, at der skal være en gennemskuelig mening bag noget data, før dette kan blive til information.
Eksempelvis er ’100199’ blot en tilfældig talrække, som i sig selv kategoriseres som data – hvis man dog kan regne ud, at det betyder 10. januar 1999, og at dette måske henhører sig til en fødselsdato, så er det pludselig information og ikke længere ’kun’ data. Tanken er god, og denne kan tages med, når man skal forstå forskellen mellem informationssikkerhed og cybersikkerhed.
Informationssikkerhed dækker til dels over cybersikkerhed. Begge termer søger at beskytte informationssystemer fra uautoriseret adgang og cyberangreb, hvortil informationssikkerhed ønsker at beskytte mod de fysiske trusler ligeså. Af den grund vil nogen kategorisere cybersikkerhed under informationssikkerhed. Argumentet herfor er netop, at begge termer vil beskytte informationer mod digitale trusler. Andre mener, at informationssikkerhed på sin vis også kan være en del af cybersikkerhed, idet cybersikkerhed favner både informationer og data.
Ser man det fra et risikostyringsaspekt, så vil cybersikkerhed dog generelt høre ind under informationssikkerhed og ikke omvendt. Dette er grundet, at informationssikkerheden omfatter alle slags sikkerhedsforanstaltninger mod alle slags trusler, dvs. både fysiske og digitale trusler. Dette er til trods for, at der efter digitaliseringen naturligvis ses flere digitale angreb fra hackere eller lignende, der anskaffer sig uautoriseret adgang til informationssystemer og andre sårbarheder.
Hvordan laves en GDPR risikovurdering? Eksempel på hvorfor og hvordan?
Sådan sikrer du forsvarlig databehandling og tilsyn med databehandlere
Informationssikkerhed og cybersikkerhed: Forskelle
Nedenstående tabel viser de mest relevante forskelle, der er mellem cybersikkerhed og informationssikkerhed. Her kan man også se, hvordan de i visse aspekter overlapper hinanden.
Informationssikkerhed |
Cybersikkerhed |
|
Definition |
Generel beskyttelse af information, herunder både fysisk og digital. |
Specifik beskyttelse af digitalt data og information. |
Omfang |
Alle former for informationsopbevaring. |
Alle former for data- og informationsopbevaring i den digitale verden. |
Trussel |
Alle former for trusler. |
Digitale trusler. |
Vigtige kompetencer |
Viden om risikostyring og compliance samt juridisk og teknisk ekspertise. |
Specifik viden om bl.a. computer-, netværks- og informationssikkerhed. |
Fokus |
Kun informationer. | Både informationer og data. |
Følgende er måske relevant for dig at læse: Hvad er en GDPR Data Protection Officer (DPO) og har jeg brug for én?
CIA Triaden: Confidentiality – Integrity – Availability
Målet med både informationssikkerhed og cybersikkerhed er at beskytte informationer og systemerne hertil mod uautoriseret adgang eller brug. Dette gøres gennem det, der kaldes CIA triaden; dette står for fortrolighed, integritet, tilgængelighed (på engelsk: Confidentiality, Integrity, Availability). CIA er dermed en sammenkobling af grundprincipperne inden for informationssikkerhed (og herunder også datasikkerhed). Lad os tage principperne step for step.
Fortrolighed handler om at sikre, at kun autoriserede personer har adgang til data, herunder både almindeligt og følsomt data. Dette kan opnås gennem bl.a. kryptering og adgangskontroller, således adgangen til data begrænses til de personer, der kan og skal have adgang.
Integritet fokuserer på at bevare det originale data – dvs. bevarelse af dataets nøjagtighed og uændrede tilstand, således det er pålideligt og uændret. Her kan der implementeres metoder, som sikrer og opretholder dette – eksempelvis gennem hash-funktioner, digitale signaturer og revisioner. Dette sikrer, at dataet ikke ændret af uautoriserede personer.
Tilgængelighed indebærer at sikre, at dataet er tilgængeligt, når det er nødvendigt. Det kan være at forhindre strømafbrydelser eller hardwarefejl. Derudover opleves der i stigende grad såkaldte DDoS-angreb, som går ud på, at hackere på én gang bombarderer en server eller netværk med trafik med det formål at overbelaste det, således reelle brugere af serveren/netværket ikke kan komme til, og serveren/netværket bliver utilgængeligt. Dette skal princippet om tilgængelighed også søge at forhindre. Tilgængelighed sikres bedst ved at vedligeholde, reparere og erstatte hardware, når det findes nødvendigt, samt at sikre, at alle systemer er opdaterede. Derudover sikres det tillige gennem redundans, backup-systemer og stærke systemdesigns.
Du kan måske lide: Sådan opnår du GDPR-compliance, når du bruger cloudlagring og cloudtjenester
Sammen udgør disse principper fundamentet for informations- og cybersikkerhed. CIA-triaden arbejder sammen om at beskytte en virksomheds data ved at sikre præcision, forhindre uautoriseret adgang og bevare tilgængeligheden, alt sammen med det formål at opfylde organisationens krav, behov og forpligtelser.
GDPR Compliance Checklist: Hvordan du bliver GDPR compliant i 2023
Hvordan kan .legal hjælpe med at beskytte dit data?
Lyder det stadig en smule forvirrende? Få hjælp til både at gennemføre, optimere og strømline din databeskyttelse gennem .legal værktøjet, Privacy ISMS.
Overblik: GDPR, Information og cyber compliance software
Her får du mulighed for at skabe et overblik over dine IT-systemer og enheder samt udføre en risikovurdering af de systemer eller processer, din virksomhed anvender. Desuden tilbyder værktøjet et årshjul, hvor du kan planlægge aktiviteter baseret på compliance-områder. Hvis du ikke har specifikke krav, kan du også benytte .legal’s standarder og best practice inden for forskellige compliance-områder som f.eks. IT-sikkerhed eller NIS2.
Ved at implementere dette kan du effektivt styre og opretholde compliance inden for dine IT-systemer og processer, samtidig med at du sikrer, at de nødvendige opgaver bliver udført i overensstemmelse med gældende planer samt med involvering af de rette ressourcer.
Endvidere muliggør Privacy ISMS håndtering af planlagte opgaver i årshjulet, der automatisk integreres med et ’task management’-værktøj. Dette giver dig et nemt overblik over de opgaver, der skal udføres, hvortil du effektivt kan delegere dem videre til relevante kollegaer eller andre ansvarlige. Derved sikres korrekt og rettidig udførelse af opgaverne – hver gang!
Læs mere om hvordan du kan optimere data mapping: GDPR data mapping gjort simpelt med vores GDPR data mapping værktøj.
Håndtér alt InfoSec & Cybersikkerhed Compliance ét sted - Prøv .legal's Privacy ISMS
Du kunne måske også være interesseret i disse artikler:
Vi introducerer Privacy Starter: Din nye gratis GDPR platform
Alt du skal vide om GDPR (og GDPR ordbogen)
Tag dit Privacy arbejde til det næste niveau med Privacy Pro
.jpg)
.jpeg)
.jpg)
.jpg)
.jpg)
.png)
.jpeg)
