Cybersikkerhet, IT-sikkerhet og informasjonssikkerhet

Det er vanlig at begrepene cybersikkerhet, IT-sikkerhet og informasjonssikkerhet blandes sammen, både i media og på arbeidsplasser. Likevel viser de til ulike deler av sikkerhetsarbeidet. For å kunne beskytte både virksomhetens informasjon og teknologi på en god måte, må man forstå forskjellene – og hvordan alt henger sammen.

Hva er informasjonssikkerhet?

Informasjonssikkerhet handler om å beskytte all informasjon, ikke bare den digitale. Det kan dreie seg om alt fra papir og harddisker til muntlig informasjon. Målet er at informasjonen alltid er korrekt, tilgjengelig når den trengs, og ikke havner i feil hender. Det er her begreper som konfidensiell informasjon, kritikalitet og integritet kommer inn.

En gjennomtenkt informasjonssikkerhet innebærer at sensitiv informasjon beskyttes uavhengig av om den lagres digitalt eller i en perm, og at det finnes tydelige regler for hvordan den håndteres.

Hva er IT-sikkerhet?

IT-sikkerhet er den tekniske delen av sikkerhetsarbeidet. Her handler det om å beskytte datamaskiner, servere og nettverk mot inntrengning, virus og datainnbrudd. Dette gjøres ved hjelp av tekniske løsninger som brannmurer, antivirusprogrammer, VPN for sikrere tilkobling og regelmessig sikkerhetskopiering.

IT-sikkerhet omfatter også rutiner for å oppdatere programvare, håndtere tilgangsrettigheter og raskt oppdage og stoppe trusler som kan ramme IT-systemene. Målet er å sørge for at digital informasjon ikke går tapt, blir stjålet eller manipulert.

Hva er cybersikkerhet?

Cybersikkerhet brukes ofte som en samlebetegnelse for alt som gjelder beskyttelse av digitale eiendeler, tjenester og nettverk mot ulike typer angrep. Her ligger fokuset på å forhindre, oppdage og håndtere angrep fra hackere og andre trusler på internett. Cybersikkerhet omfatter både tekniske løsninger og rutiner for å oppdage inntrengninger, stoppe skadelig programvare og gjenopprette systemer etter et angrep.

Vanlige trusler innen cybersikkerhet er for eksempel:

  • Skadelig programvare (malware) og løsepengevirus (ransomware)
  • Phishing, altså svindel-e-poster eller forsøk på å lure til seg innloggingsopplysninger
  • DDoS-angrep, der et nettsted overbelastes og blir utilgjengelig
  • Innsidetrusler, der noen i organisasjonen misbruker sine rettigheter

Cybersikkerhet handler altså både om å bygge sterke digitale forsvar og om å ha en plan for hva som skal gjøres dersom noe likevel skjer.

Hvordan henger alt sammen?

Informasjonssikkerhet er det bredeste begrepet og omfatter all informasjon, enten den er digital eller ikke. IT-sikkerhet er en del av informasjonssikkerheten og fokuserer på den tekniske beskyttelsen. Cybersikkerhet er på sin side den delen som handler om å beskytte mot angrep på internett og i digitale systemer.

For å bygge et godt sikkerhetsarbeid må man kombinere tekniske beskyttelsestiltak med tydelige rutiner og opplæring. Noen eksempler på hva som vanligvis inngår er:

  • Informasjonssikkerhetspolicy som beskriver hvordan informasjon skal håndteres
  • Risikoanalyser for å finne ut hva som er viktigst å beskytte
  • Opplæring slik at alle på arbeidsplassen kjenner igjen phishing-e-poster og andre vanlige trusler
  • Tekniske løsninger som brannmurer, antivirus, VPN og sikkerhetskopiering
  • Rutiner for å rapportere og håndtere hendelser, for eksempel dersom noen mottar en phishing-e-post eller oppdager en mistenkelig fil
  • Kontinuerlig forbedring – regelmessig evaluering og oppdatering av beskyttelsen

Roller og ansvar

Alle på en arbeidsplass har et ansvar for sikkerheten, men det er også behov for tydelige roller. Det kan finnes en IT-ansvarlig, en informasjonssikkerhetsansvarlig eller et team som arbeider med disse spørsmålene. Tydelige rutiner gjør det enklere å oppdage mangler, rapportere hendelser og raskt handle dersom noe skjer.

Et systematisk sikkerhetsarbeid reduserer risikoen for både små og store hendelser. Ved å forstå og kombinere informasjonssikkerhet, IT-sikkerhet og cybersikkerhet kan man skape en beskyttelse som fungerer i hverdagen – enten det gjelder en liten virksomhet eller en større organisasjon.