Safe Storage: Part 2
10 min
Classification of Information &
Strong access controls
In this series:
- Secure Storage: Introduction
- Klassificering av information & Starka åtkomstkontroller
- Secure information sharing & Prevent data theft and dissemination
- Traceability and logging & Encryption
Classification of information
Classifying information based on its sensitivity is a fundamental step in applying the right security strategies. By classifying information into categories such as "public", "internal", "confidential" or "critical", organizations can ensure that the right security measures are applied depending on the sensitivity of the data. Classification also helps determine which access controls should be applied and how the information may be shared both inside and outside the organization.
Classification with safety labels
To facilitate the handling of classified information, security labels can be used. A security label is a label assigned to data based on its classification. These labels make the data's sensitivity visible to users and systems, making it easier to follow guidelines for how the information should be handled. Security labels can be applied manually by users or administrators, but also automated based on predefined rules and patterns.
For example, a document containing personal data can automatically be labelled "confidential", which restricts access and enables additional security measures, such as encryption and access logging. By using security labels, organizations can ensure that data is handled correctly throughout its lifecycle – from creation to archiving or deletion.
Automatic classification
För att förenkla och effektivisera klassificeringsprocessen finns det idag avancerade verktyg som kan automatisera klassificeringen av data. Dessa system kan skanna innehållet i dokument, e-postmeddelanden och filer för att identifiera känslig information baserat på innehåll, metadata eller mönster.
Till exempel kan systemet känna igen personnummer, kreditkortsnummer eller andra känsliga nyckelord, och automatiskt tilldela en lämplig säkerhetsetikett.
Automatic classification reduces the risk of human error, where important information can potentially be forgotten or misclassified. It also ensures that large amounts of data can be managed consistently and with minimal administrative effort.
Watermarking
För att ytterligare skydda känslig information kan vattenmärkning användas som ett komplement till klassificering och säkerhetsetiketter. Vattenmärken kan appliceras på dokument för att synligt indikera deras känslighetsnivå, vilket gör det svårare att oavsiktligt dela eller missbruka informationen.
Vattenmärken kan exempelvis inkludera etiketter som ”Konfidentiellt” eller ”Endast för internt bruk” direkt på dokumentets innehåll, både i digital och utskriven form.
Vattenmärken fungerar även som en avskräckande faktor för obehöriga som försöker sprida känsliga dokument, då de gör det tydligt att materialet är spårbart och märkt som känsligt.
I vissa fall kan vattenmärken även innehålla information om dokumentets ägare eller skapare, vilket gör att eventuella dataläckor kan spåras tillbaka till källan.
Strong access controls
Åtkomstkontroller är en av hörnstenarna i säker lagring och en kritisk komponent för att säkerställa att endast behöriga personer får tillgång till rätt information.
Genom att tillämpa granulära och flexibla åtkomstkontroller kan organisationer definiera exakt vem som har tillgång till vilken data, under vilka omständigheter och med vilka rättigheter.
Detta hjälper till att minska risken för obehörig åtkomst och skyddar känslig information från att hamna i fel händer.
Role-Based Access (RBAC) and Attribute-Based Access (ABAC)
Traditionellt har rollbaserad åtkomstkontroll (RBAC) varit en vanlig metod för att hantera åtkomst inom organisationer. Denna modell tilldelar åtkomst baserat på användarens roll inom organisationen.
Till exempel kan en användare med rollen ”administratör” ha bredare rättigheter än en ”användare”, och dessa roller styr vilken information som kan ses, redigeras eller delas.
RBAC är relativt enkel att implementera och förstå, men kan vara begränsad i situationer där mer flexibla och dynamiska åtkomstbeslut krävs.
Attributbaserad åtkomstkontroll (ABAC) erbjuder en mer sofistikerad och flexibel metod för att hantera åtkomst. I stället för att endast basera åtkomst på en användares roll, tar ABAC hänsyn till flera attribut.
Dessa kan inkludera användarens identitet, tid, plats, enhetstyp, datans känslighetsnivå och andra kontextuella faktorer. Detta ger organisationer möjlighet att skapa mer dynamiska åtkomstkontroller som kan anpassas till specifika situationer och risknivåer.
Granular access controls with ABAC
Med ABAC kan åtkomstkontroller preciseras på en mycket detaljerad nivå. Några av de centrala faktorerna som kan användas i attributbaserad åtkomstkontroll inkluderar:
- Vem som får åtkomst – Tillgång baseras inte bara på användarens roll utan också på deras individuella attribut såsom säkerhetscertifikat, anställningsstatus eller relation till datan.
- När och varifrån åtkomst kan ske – Åtkomst kan bero på tid och plats. En användare kan till exempel endast få tillgång under kontorstid eller från företagets nätverk.
- Vilken typ av åtkomst som ges – ABAC gör det möjligt att styra vad en användare får göra med informationen, exempelvis läsa, redigera eller dela data.
Advantages of ABAC in Safe storage
Dynamisk och flexibel åtkomsthantering – Genom att använda flera attribut kan organisationer skapa mer avancerade åtkomstregler.
Förbättrad säkerhet – Faktorer som plats och tid kan användas för att minska risken för obehörig åtkomst.
Bättre efterlevnad – Organisationer kan lättare uppfylla lagar och regulatoriska krav genom automatiserade åtkomstregler.
Examples of using ABAC
An employee may be able to access an internal report when they are on the company network during work hours but be denied access when they try to log in from a personal device outside of work hours.
Känslig data, såsom affärshemligheter eller personuppgifter, kan automatiskt skyddas beroende på vilken enhet som används, så att endast enheter som uppfyller säkerhetskraven får full åtkomst.