CIA-triaden er en velkendt model inden for udvikling af retningslinjer og regler inden for informationssikkerhed. Det har altså intet at gøre med, at den amerikanske efterretningstjeneste bruger det samme akronym.
C står for Confidentiality (fortrolighed) f.eks. et sæt regler for at tillade eller begrænse adgang til oplysningerne. I står for Integrity (integritet) f.eks. regler for at sikre, at oplysningerne er pålidelige gennem hele livscyklussen. A står for Availiability (tilgængelighed) f.eks. regler eller løsninger til at sikre pålidelig adgang til oplysninger, når det er nødvendigt.
Konceptet CIA-triaden er formet over tid og har ikke kun en skaber. "Confidentiality" dukkede op i 1976 i en undersøgelse i United States Air Force. Udtrykket "Integrity" kommer fra en afhandling fra 1987 med titlen "A Comparison of Commercial and Military Computer Security Policies" skrevet af David Clark og David Wilson. Afhandlingen slog fast, at der i kommerciel databehandling er behov for metoder til at sikre dataens nøjagtighed. Når det kommer til "Availability", er der ingen klar kilde, men begrebet blev velkendt i 1988, året hvor de tre komponenter blev kombineret og dannede begrebet CIA-triaden.
Confidentiality – sikrer det korrekte autorisationsniveau. Tildeles til brugere, applikationer eller infrastrukturkomponenter, som derefter kontrollerer, hvilken behandling, lagring eller overførsel af information, der kan foretages. Dette forudsætter bl.a. at oplysningerne (eller hele applikationen, datalagringsstedet mv.) er klassificeret, og at tekniske løsninger og processer er på plads til at sikre, at autorisationsreglerne overholdes både internt og eksternt. Reglerne omfatter applikationer, databaser, lagersteder, informationsoverførsel, altså alle dele af informationssystemet.
Tyveri af information er i dag klassificeret som "den dyreste og hurtigst voksende cyberkriminalitet". Stjålne oplysninger kan for eksempel bruges til alt fra identitetstyveri og bedrageri, virksomheds- eller statsspionage eller afpresning, såkaldte ransomware-virusangreb.
Integrity – sikrer, at data er pålidelige gennem hele livscyklussen. Eksempelvis er der i dag lovkrav om, at personoplysninger skal være korrekte, opdaterede og kun må behandles og opbevares så længe, det er nødvendigt. Sikkerhedsløsninger kan også være nødvendige for at sikre, at oplysninger ikke opdateres forkert, se Confidentiality ovenfor.
Værdien af oplysningerne er direkte relateret til, hvor nøjagtige de er. Forkerte underliggende data fører til forkerte beslutninger. Ukorrekte informationer øger også usikkerheden, hvilket fører til yderligere kontroller nedstrøms i processer, højere omkostninger og langsomme processer.
Availability - regler eller løsninger for at sikre pålidelig adgang til information, når det er nødvendigt. For at opnå højere sikkerhed omkring adgange, kan man f.eks. investere i ekstra tekniske løsninger, som sørger for at tilgængeligheden opretholdes, selvom en enkelt teknisk løsning svigter.
Hver del af triaden er et fundament i cybersikkerhed. Sammen regnes de som de vigtigste komponenter inden for informationssikkerhed. Se de tre dele af triaden som et sammenhængende system og ikke som uafhængige komponenter.
Ved at se triaden som en helhed, skabes et rammeværk for at etablere retningslinjer og regelsæt for virksomheder. Ved vurdering af krav og behov (use case eller user stories) for nye IT-tjenester kan CIA-triaden hjælpe med spørgsmålet om, hvordan man kan skabe værdi inden for disse tre nøgleområder.
Hos Cegal bruger vi vi triaden, når vi hjælper vores kunder med informationssikkerhed, fordi det er et vigtigt system for IT-sikkerhed.