Triada CIA to założenie z dziedziny cyberbezpieczeństwa, wskazujące na najważniejsze obszary i kierunki rozwoju dla firmowego modelu ochrony. Firmy mogą obierać wiele różnych dróg do realizacji tych trzech filarów bezpieczeństwa, a ich zastosowanie świadczy o dojrzałości organizacji.

 

W skład triady bezpieczeństwa wchodzą następujące zagadnienia:

 

• Poufność (ang. confidentiality) – dane powinny być nieustannie chronione przed dostępem osób i systemów nieuprawnionych. Szczególną uwagę należy poświęcić zapobieganiu wyciekom i kradzieży danych za pośrednictwem niedostatecznie dobrze chronionych sieci firmowych. W dzisiejszych czasach, gdy niemal każde urządzenie połączone jest w ramach sieci wewnętrznych i publicznych, zapewnienie poufności to podstawa.


• Integralność (ang. integrity) – dane, przez cały cykl życia, nie powinny być modyfikowane ani usuwane w inny niż autoryzowany sposób.


• Dostępność (ang. availability) – dostęp do danych może decydować o możliwości prowadzenia procesów biznesowych. Należy więc dążyć do stanu, w którym dane są odpowiednio zabezpieczone przed ujawnieniem, a jednocześnie zawsze dostępne dla osób i systemów upoważnionych – bez względu na ataki i awarie.

 

Nieuwzględnienie choćby jednego z trzech wymienionych kierunków rozwoju podczas planowania systemów i funkcjonowania firmy może skutkować częstymi incydentami bezpieczeństwa. Te z kolei zawsze odbijają się na wynikach finansowych, a w przypadku wycieku danych – również wizerunkowych.

 

Rozszerzona triada bezpieczeństwa – co jeszcze może zawierać?

 

Triada CIA funkcjonuje w niezmienionej formie od lat 80. ubiegłego stulecia i od tamtego czasu stanowi podstawę dla organizacji firmowych systemów bezpieczeństwa, a także bazę do stworzenia wielu krajowych i europejskich dokumentów prawnych (m.in. RODO). Założenie powstało jednak w zupełnie innych realiach. Dzisiejszy krajobraz zagrożeń obejmuje ewentualności, które ponad 40 lat temu były niemal futurystycznymi ideami. Nowe modele nadające kierunek rozwoju systemów cyberbezpieczeństwa, proponowane przez specjalistów w branży, uwzględniają nowe rodzaje ataków i podatności wynikające z rozwoju IoT, AI czy rosnącej popularności przetwarzania w chmurze.

 

Jednym z pierwszych rozszerzeń dla tradycyjnej formy triady CIA była powstała w 1998 roku tzw. Heksada Parkera, dodająca do znanej koncepcji kolejne trzy filary/obszary:

 

• posiadanie,


• użyteczność,


• autentyczność.

 

Dosyć dobrze rozpowszechnionymi modelami są także model DIE i NIST. Co ważne – wspomniane podejścia nie stanowią negacji bardziej konserwatywnej triady bezpieczeństwa, a jedynie jej rozszerzenie. Ich autorzy chcą skierować uwagę na nowe typy zagrożeń i nowoczesne metody ochrony.

 

Promowanym współcześnie kierunkiem rozwoju systemów cyberbezpieczeństwa, który również może stanowić rozszerzenie triady CIA, jest między innymi prywatność użytkowników i ich prawo do informacji o rodzaju, sposobie i celach przetwarzania danych.

 

Wymienić można także odporność systemów i sieci na ataki z zewnątrz oraz czas powrotu do sprawności po awarii. Wiąże się to pośrednio z rozwijaniem polityk backupowych i przeprowadzaniem testów penetracyjnych.

 

Bardzo ważnym kierunkiem rozwoju jest także odpowiedzialność i świadomość zagrożeń cybernetycznych poprzez szkolenia i wdrażanie procedur oraz polityk bezpieczeństwa. Istotnym rozszerzeniem dla klasycznej triady jest także zgodność z obowiązującymi w danym obszarze i czasie regulacjami prawnymi.

   

Rozwijanie systemu cyberbezpieczeństwa w firmie jest procesem, który nigdy nie osiąga punktu docelowego. Działanie zgodnie z założeniami triady CIA pozwala spojrzeć na proces całościowo i rozwijać bezpieczeństwo równomiernie dla wszystkich jej filarów. Oznacza to, że praca nad poprawą poufności nie może obyć się bez poprawy dostępności oraz dbałości o integralność.

 

Na przykład, gdy organizacja planuje wdrożyć rozwiązanie dwuskładnikowego uwierzytelniania, dostarczane przez zewnętrzną firmę, poprawi w ten sposób poziom poufności informacji. Planując taki krok, trzeba jednak ocenić, czy nie ucierpi na tym dostępność informacji. Należy rozważyć, czy firma posiada wystarczającą liczbę urządzeń (np. urządzeń mobilnych lub sprzętu do kontroli biometrii) do skutecznego logowania do systemów za każdym razem, gdy będzie tego wymagał proces biznesowy. Czy uwierzytelnianie dwuskładnikowe nie spowoduje przestojów w firmie?

 

Rosnąca popularność i nowe zastosowania dla AI będę podsuwać nam coraz skuteczniejsze narzędzia do administrowania danymi. Zwiększa się w ten sposób skuteczność i dostępność do informacji dla pracowników i klientów. Jednocześnie koniecznym staje się kontrolowanie poufności i sprawdzanie, czy nowe rozwiązania nie powodują niebezpiecznych luk. Czy generowane w bardzo szybkim tempie raporty i dokumenty będą zawierały kompletne i zgodne z prawdą, a więc integralne dane?

 

Postępowanie zgodnie z założeniami triady bezpieczeństwa pomaga organizacji w zachowaniu odpowiedniej równowagi. Wyznacza kierunek rozwoju, pozwala identyfikować zagrożenia i opracowywać strategię działania.

 

Triada CIA w cyberbezpieczeństwie i modelach SaaS

 

W czasach formowania się triady CIA nikt nie mógł przypuszczać, że całkiem niedaleka przyszłość przyniesie tak duży wzrost udziału rozwiązań opartych na modelu SaaS. Oprogramowanie jako usługa zachęca obniżeniem kosztów prowadzenia działalności i poprawą konkurencyjności firmy, jednak niesie za sobą również nowe zagrożenia. Nie oznacza to jednak, że w świecie nowych standardów założenia triady CIA są już nieaktualne. Zmieniają się jednak narzędzia do wypełniania jej założeń.

 

Dużym wyzwaniem dla współczesnych organizacji jest coraz powszechniej wykorzystywane przetwarzanie w chmurze oraz dostępne za jej pośrednictwem bazy danych, aplikacje i narzędzia bezpieczeństwa.

 

W kwestii zachowania poufności organizacje decydują się na wdrożenie koncepcji Zero-Trust w zarządzaniu dostępami i tożsamością (IAM). Traktowanie każdego użytkownika wewnętrznego i zewnętrznego, jako domyślnie niezaufanego, poprawia bezpieczeństwo danych i zapobiega ich wyciekowi. Rozproszone środowiska hybrydowe wymagają ponadto szczególnej uwagi w kwestii zachowania spójności danych. Stały przepływ informacji wymusza użycie narzędzi do weryfikacji integralności. W ten sposób firma ma kontrolę nad stanem posiadanych danych i wgląd w ewentualne zmiany w ich obszarze.

 

Dostęp na żądanie do zasobów zlokalizowanych w chmurze ma znaczenie zarówno dla procesów wewnątrz firmy, jak i aplikacji klienckich. Braki w dostępności mogą powodować zarówno straty finansowe, jak i wizerunkowe. Rozwiązania SaaS dają jednak możliwość stosunkowo łatwej poprawy dostępności poprzez redundancję infrastruktury lub poszczególnych jej elementów oraz kopie zapasowe gromadzonych zasobów.