Waar draait informatiebeveiliging om?
CIA Triad is het Engelstalige begrip waarmee de aspecten van informatiebeveiliging worden aangeduid. De afkorting CIA staat voor Confidentiality, Integrity en Availability. In Nederland gebruiken we de vertaling hier van. Beschikbaarheid, Integriteit, Vertrouwelijkheid (BIV). Bij informatiebeveiliging draait alles om betrouwbaarheid. Betrouwbaarheid wordt binnen de informatiebeveiliging gedefinieerd als beschikbaarheid, integriteit en vertrouwelijkheid.
CIA Triad
De CIA Triad is geen theorie, maar een model om de verschillende randvoorwaarden van goede informatiebeveiliging weer te geven. Met andere woorden: wanneer de aspecten van de CIA Triad goed verzorgd zijn, is de informatiebeveiliging van goede kwaliteit. We onderscheiden de volgende aspecten:
- vertrouwelijkheid
- integriteit
- beschikbaarheid
Deze drie begrippen vormen de basis van informatiebeveiliging. De CIA Triad, ofwel het CIA-drietal zijn in het Engels: confidentiality, integrity and availability.
BIV is de Nederlandse variant van de CIA Triad: beschikbaarheid, integriteit en vertrouwelijkheid. We zullen de genoemde aspecten één voor één behandelen.
Vertrouwelijkheid
Met vertrouwelijkheid bedoelen we in de CIA Triad de privacy van de informatie. De vertrouwelijkheid van de informatie moet ervoor zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Bijvoorbeeld: meestal hoeven alleen de boekhouder en de directeur toegang tot de informatie van de zakelijke bankrekening te hebben. Het gaat de secretaresse meestal niets aan hoeveel er op de bankrekening staat.
Integriteit
Integriteit betekent, binnen de CIA Triad, dat informatie volledig en juist is. De integriteit van de informatie moet ervoor zorgen dat de informatie waar we toegang toe hebben, de juiste informatie is en dat er niets ontbreekt. Bijvoorbeeld: we hebben een document dat beschrijft hoe je veilig naar Guatemala op vakantie kunt gaan. Dit document telt vijftig pagina's, maar vier pagina's zijn zoekgeraakt. Op dit moment is de integriteit van onze informatie aangetast. Ook al zijn het 'maar' vier pagina's, dan nog weten we niet zeker of we het juiste beeld van de situatie hebben. Op deze vier pagina's kan net die informatie staan over welke streek heel onveilig is. Dan missen we essentiële informatie.
Beschikbaarheid
Met beschikbaarheid bedoelen we in de CIA Triad dat de informatie en de informatiebeveiliging beschikbaar zijn op het moment dat het nodig is. Bijvoorbeeld: wanneer een manager zijn informatiesysteem wil raadplegen, moet het informatiesysteem op dat moment werken en moet de informatie beschikbaar zijn. Echter: wanneer een hacker bij het informatiesysteem wil komen, moet de beveiliging werken (beschikbaar zijn) en moet het de hacker zo moeilijk mogelijk worden gemaakt.
Als men binnen het vakgebied van informatiebeveiliging een risicoanalyse maakt, wordt er meestal een BIV-klasse bepaald.
Ezelsbruggetje
Om de BIV factoren makkelijk te onthouden, kan het volgende ezelsbruggetje gebruikt worden: Neem als voorbeeld internetbankieren bij de ING. Jij wil online inzien hoeveel je saldo is op een bepaald moment. 'Mijn ING' moet op dat moment dus
beschikbaar zijn. Vervolgens moet je inloggen. Dit is
vertrouwelijkheid, want doormiddel van je gebruikersnaam en wachtwoord, ben jij de enige die kan inloggen op jouw bankaccount. Als je eenmaal bent ingelogd, wil je dat je saldo juist is. Je wilt niet dat er staat dat je saldo 200 euro is, terwijl dit in werkelijkheid 2000 euro is. Dit is
integriteit.