De tre hörnstenarna i informationssäkerhet: Konfidentialitet, Riktighet och Tillgänglighet

Informationssäkerhet handlar inte bara om teknik, det handlar om förtroende. För att skapa det krävs en tydlig struktur som säkerställer att information hanteras på ett tryggt, korrekt och tillgängligt sätt. Kärnan i detta arbete utgörs av tre grundprinciper: konfidentialitet, riktighet och tillgänglighet – tillsammans kallade CIA-triaden.

Vad innebär informationssäkerhetens tre hörnstenar?

För att förstå informationssäkerhet måste man börja med dessa tre begrepp. De utgör grunden för alla säkerhetsstrategier, standarder och regelverk.

• Konfidentialitet (Confidentiality)
  Syftar till att endast behöriga personer ska kunna ta del av informationen. Det handlar om att skydda känsliga uppgifter mot obehörig åtkomst, både internt och externt.
  
  Exempel: Kundregister, patientjournaler eller ekonomiska uppgifter får inte spridas eller läsas av fel person.
  Skyddet uppnås genom:

• • Tydlig behörighetsstyrning och identitetshantering
  • Kryptering av data, både vid lagring och överföring
  • Informationsklassificering som definierar vad som är hemligt, internt eller publikt
    
    
• Riktighet (Integrity)
  Handlar om att informationen ska vara korrekt, aktuell och oförändrad. Det innebär att ingen vare sig av misstag eller medvetet ska kunna ändra data utan spårbarhet.
  
  Exempel: Ett manipulerat belopp i ett ekonomisystem kan ge felaktiga beslut eller ekonomiska förluster.
  För att säkerställa riktighet används bland annat:

• • Loggning och versionshantering
  • Kontrollmekanismer som signering, checksummor och validering
  • Tydliga rutiner för ändringshantering och godkännande
    
    
• Tillgänglighet (Availability)
  Informationen måste finnas tillgänglig när den behövs oavsett driftstörningar, incidenter eller kriser.
  
  Exempel: Om ett journalsystem ligger nere på ett sjukhus påverkar det patientsäkerheten direkt.
  För att garantera tillgänglighet krävs:

• • Redundanta system och robust infrastruktur
  • Backup och återställningstester
  • Planer för verksamhetskontinuitet och incidenthantering

När dessa tre principer balanseras på rätt sätt uppstår det som kännetecknar en mogen informationssäkerhetskultur: trygghet, förtroende och effektivitet.

Varför CIA-triaden fortfarande är aktuell i en föränderlig värld

Tekniken utvecklas snabbt, men grunderna står fasta. CIA-triaden är fortfarande högst relevant eftersom alla moderna säkerhetsutmaningar kan kopplas till en eller flera av dessa principer:

• Ransomware hotar tillgängligheten genom att låsa information.
• Dataintrång kränker konfidentialiteten genom obehörig åtkomst.
• Systemfel eller sabotage påverkar riktigheten och leder till förlust av tillit.

Därför är CIA-triaden också central i internationella standarder som ISO/IEC 27001, NIS2-direktivet och GDPR. Alla bygger de på samma grundidé: skydda informationens värde genom struktur, processer och kontinuerlig förbättring.

Så implementerar du principerna i praktiken

Att känna till principerna är en sak, att omsätta dem i organisationens vardag är en annan.
Här är fyra steg som gör det möjligt:

1. Klassificera informationen
   Identifiera vilken information som är mest kritisk. Det gör det lättare att prioritera rätt skyddsåtgärder.
   
   Fråga dig: Vilken information vore mest skadlig att förlora, få spridd eller inte kunna komma åt?
   
   
2. Inför rätt skyddsnivåer
   Använd tekniska lösningar (kryptering, multifaktorautentisering) i kombination med tydliga rutiner och utbildning.
3. Övervaka och följ upp
   Sätt upp mätbara mål, följ loggar och hantera avvikelser strukturerat. Säkerhet är inget projekt, det är en process.
4. Förankra arbetet i ledningen
   Informationssäkerhet måste ses som en affärsstrategisk fråga, inte bara en IT-fråga. Ledningens engagemang avgör om säkerhetsarbetet lyckas över tid.

Vanliga fallgropar och hur de undviks

Trots goda ambitioner faller många organisationer i samma mönster:

• Överfokus på teknik: Säkerhet är minst lika mycket människor och processer.
• Otydligt ansvar: När ingen äger frågan blir inget gjort.
• Ingen uppföljning: Policys skrivs men följs inte upp eller mäts.

Ett helhetsgrepp med CIA-triaden som bas hjälper till att skapa balans. Målet är inte att eliminera alla risker, utan att hantera dem smartare och mer medvetet.

Balansen mellan skydd och tillgänglighet

Informationssäkerhet är inte ett hinder, det är en möjliggörare. När organisationen hittar balansen mellan konfidentialitet, riktighet och tillgänglighet skapas förutsättningar för tillit, innovation och stabil drift. Den verkliga styrkan ligger i att bygga en säkerhetskultur där medarbetare, ledning och teknik samverkar mot samma mål: att skydda verksamhetens information, värden och rykte.

Vanliga frågor om CIA-triaden och informationssäkerhet

Vad betyder CIA i informationssäkerhet?
CIA står för Confidentiality, Integrity, Availability, på svenska konfidentialitet, riktighet och tillgänglighet. Det är de tre grundprinciperna för säker informationshantering.

Är CIA-triaden fortfarande relevant idag?
Ja, absolut. Trots ny teknik och nya hot bygger alla moderna säkerhetsramverk fortfarande på dessa tre grundpelare.

Hur skiljer sig informationssäkerhet från IT-säkerhet?
IT-säkerhet handlar främst om tekniska skydd, medan informationssäkerhet omfattar både teknik, processer och människor oavsett var informationen finns.

Hur kan man mäta informationssäkerhet?
Genom indikatorer som antal incidenter, tillgänglighet i system, efterlevnad av policy och resultat från revisioner eller riskanalyser.

Hur börjar man bygga ett ledningssystem för informationssäkerhet?
Ett bra första steg är att genomföra en nulägesanalys och informationsklassning. Därefter definieras mål, ansvar och styrande dokument enligt exempelvis ISO 27001.