CIA-triaden er en velkjent modell for utvikling av retningslinjer og regelverk innen informasjonssikkerhet. Dvs. det har ingenting å gjøre med det amerikanske etterretningsbyrået som bruker samme akronym.
I denne sammenhengen står C for Confidentiality (konfidensialitet), f.eks. et sett med regler for å tillate eller begrense tilgang til informasjonen. I står for Integrity (integritet), f.eks. regler for å sikre at informasjonen er pålitelig gjennom hele livssyklusen. A står for Availiability (tilgjengelighet), f.eks. regelverk eller løsninger for å sikre pålitelig tilgang til informasjonen ved behov.
Konseptet CIA-triaden er formet over tid og har ikke én skaper. "Confidentiality" dukket opp i 1976 i en studie i USAs luftforsvar. Begrepet "Integrity" finnes i en avhandling fra 1987 med tittelen "A Comparison of Commercial and Military Computer Security Policies" skrevet av David Clark og David Wilson. Avhandlingen slo fast at det ved kommersiell databehandling trengs metoder for å sikre nøyaktigheten av data. Når det gjelder «Availability» finnes det ingen tydelig kilde, men begrepet ble godt kjent i 1988, året da de tre komponentene ble samlet og dannet konseptet CIA-triaden.
Confidentiality – sikrer riktig autorisasjonsnivå. Tildeles brukere, applikasjoner eller infrastrukturkomponenter, som deretter kontrollerer hvilken behandling, lagring eller overføring av informasjon som kan gjøres. Dette forutsetter bl.a. at informasjonen (eller hele applikasjonen, datalagringsstedet etc.) er klassifisert og at tekniske løsninger og prosesser er på plass for å sikre at autorisasjonsreglene overholdes både internt og eksternt. Regelverket omfatter applikasjoner, databaser, lagringssteder, informasjonsoverføring, dvs. alle deler av informasjonssystemet.
Tyveri av informasjon er i dag klassifisert som "den dyreste og raskest voksende nettkriminaliteten". Stjålet informasjon kan for eksempel brukes til alt fra identitetstyveri og svindel, bedrifts- eller statlig spionasje eller utpressing, såkalte løsepengevirus-angrep.
Integrity – sørger for at data er pålitelige gjennom hele livssyklusen. For eksempel er det i dag lovfestede krav om at personopplysninger skal være korrekte, fullstendige, oppdaterte og kun kan behandles så lenge det er nødvendig. Sikkerhetsløsninger kan også være nødvendig for å sikre at informasjon ikke oppdateres feil, se også Confidentiality ovenfor.
Verdien av informasjonen er i direkte sammenheng med hvor nøyaktig den er. Feil underliggende data fører til feil beslutninger. Feil informasjon øker også usikkerheten, noe som fører til ekstra kontroller nedstrøms i prosesser, høyere kostnader og langsomme prosesser.
Availability - regelverk eller løsninger for å sikre pålitelig tilgang til informasjonen ved behov. For å oppnå høyere sikkerhet vedrørende tilgang kan man f.eks. investere i flere av samme type tekniske løsninger. Disse sørger for at tilgjengeligheten opprettholdes selv om en teknisk løsning svikter, dvs. ikke fungerer av en eller annen grunn.
Hver del av triaden er et fundament i cybersikkerhet. Sammen regnes de som de viktigste komponentene innen informasjonssikkerhet. Se de tre delene av triaden som et sammenhengende system og ikke som uavhengige komponenter.
Ved å se triaden som en helhet, skaper de et rammeverk for å etablere retningslinjer og regelverk for virksomheter. Ved vurdering av krav og behov (use case eller user stories) for nye IT-tjenester kan CIA-triaden hjelpe i spørsmålet om hvordan verdiskaping skal skapes innenfor disse tre nøkkelområdene.
I Cegal bruker vi CIA-triaden som modell når vi hjelper våre kunder med informasjonssikkerhet fordi det er viktig at et system for IT-sikkerhet oppfyller disse tre delene som utgjør CIA-triaden.