Al een tijdje ben ik geïntrigeerd door het onderwerp informatiebeveiliging. Ik kom er zowel in mijn werk als in mijn privéleven mee in aanraking, net als vele anderen. Zelfs mensen die er via hun werk weinig of niets mee te maken hebben, worden er steeds vaker mee geconfronteerd. Voor sommigen is het een abstract, vaag en ook grandioos onderwerp. En het lijkt te blijven groeien in omvang en toepassing. Ik zie het ook steeds meer als een leuke uitdaging om aan "leken" uit te leggen wat informatiebeveiliging inhoudt en waarom het een steeds belangrijkere rol speelt.
De definitie van informatiebeveiliging
Mijn uitdaging begint online. Hier is immers een enorme hoeveelheid informatie beschikbaar. Ik vond de volgende (volledige) definitie van informatiebeveiliging: "het geheel van preventieve, detectieve, correctieve en herstelmaatregelen, samen met procedures en processen, die de beschikbaarheid, integriteit en vertrouwelijkheid (exclusiviteit) van alle vormen van informatie binnen een organisatie of samenleving waarborgen, met als doel de continuïteit van informatie en informatievoorziening te waarborgen en de gevolgen van beveiligingsincidenten te beperken tot een acceptabel, vooraf bepaald niveau." Dit is een vrij lange zin met veel informatie. Ik denk dat deze definitie het beeld bevestigt dat de meeste mensen van informatiebeveiliging hebben. Zelfs mensen met enige kennis en ervaring in IT of risk management moeten deze zin laten bezinken om volledig te begrijpen wat de definitie inhoudt. Des te leuker is het om deze definitie uit te splitsen en tastbaar te maken voor iedereen als werknemer en als burger.
Een twee- of driedelige serie
Dit artikel richt zich op wat wordt bedoeld met de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie binnen een organisatie of samenleving. Ik zal me (voorlopig) niet richten op wat wordt bedoeld met het geheel van preventieve, detectieve, correctieve en herstelmaatregelen, evenals procedures en processen. Misschien kan ik hier in de toekomst een twee- of driedelige serie van maken, wie weet?
Ik zal proberen om de eerder genoemde onderwerpen uit te leggen aan de hand van veel voorbeelden in een poging om deze concepten tastbaar te maken. Voordat we in de uitleg duiken, is het belangrijk om informatiebeveiliging te visualiseren. Door de jaren heen heb ik het ervaren als een soort matrix. Hieronder zie je hoe het er voor mij uitziet.
Het belang van informatie
Het is voor iedereen duidelijk geworden dat we in een tijd leven waarin we (zowel persoonlijk als
professioneel) veel informatie bij alles wat we doen, dat organisaties meer data verzamelen en gebruiken voor verschillende doeleinden, en dat dit ook leidt tot meer misbruik van deze data. In een notendop is dit de belangrijkste reden voor de noodzaak om informatie (beter) te beveiligen. We gaan langzaam richting cybercriminaliteit, een ander interessant onderwerp dat prominenter is geworden door de toenemende digitalisering en digitale opslag van informatie.
We genereren en gebruiken dus meer informatie. Daarom is het belangrijk dat we:
- Toegang hebben tot of de informatie kunnen raadplegen => beschikbaarheid
- Zorg ervoor dat de informatie up-to-date en accuraat is => integriteit
- Ervoor zorgen dat de informatie alleen toegankelijk is voor mensen die gemachtigd zijn om de informatie te zien => vertrouwelijkheid
Organisaties verzamelen en gebruiken steeds meer data voor verschillende doeleinden en dat leidt ook tot meer misbruik van deze data. In een notendop is dit de belangrijkste reden voor de noodzaak om informatie (beter) te beveiligen.
Beschikbaarheid
Ik denk dat dit onderwerp het gemakkelijkst te begrijpen en het meest aantrekkelijk is. Zoals de naam van het onderwerp al suggereert, gaat dit onderwerp over de mate waarin informatie beschikbaar is. Met andere woorden, is het toegankelijk (of beschikbaar) wanneer je het wilt gebruiken of openen? Als medewerker kun je denken aan het kunnen gebruiken of raadplegen van bepaalde systemen of het vinden van informatie. Voorbeelden hiervan zijn de toegankelijkheid van Belastingdienst.nl wanneer je je jaarlijkse belastingaangifte wilt doen of het kunnen inloggen op een portaal van een organisatie waarvan je "klant" bent. Denk aan energieleveranciers, zorginstellingen, telecomproviders, pensioenfondsen en vooral je bank.
Uit deze voorbeelden maak ik op dat we vooral last hebben van het feit dat we geen toegang hebben tot de informatie (of dienst). Dit is wat we logischerwijs onthouden, waar we zelfs nerveus van worden en waar we over klagen. En als iets niet prettig is, zowel om te ontvangen als om te doen, dan is het ergens om een klacht in te dienen. Vanuit deze klantervaring is het ook begrijpelijk dat organisaties of instellingen analyseren welke informatie (of diensten) altijd beschikbaar moet zijn en hiervoor maatregelen nemen of processen opzetten.
Integriteit
Dit onderwerp is nogal suggestief, omdat het in de Nederlandse taal meestal betrouwbaarheid betekent. In de context van informatiebeveiliging betekent dit dat informatie up-to-date en correct is. Met andere woorden, je kunt ervan uitgaan dat de informatie die je ziet correct is.
Het meest voor de hand liggende voorbeeld hiervan voor zowel werknemers als burgers is informatie in of uit de Basisregistratie Personen (BRP). Verschillende organisaties of instanties in Nederland hebben een koppeling met dit overheidsregister, waarin onder andere je adresgegevens, burgerservicenummer en data van een potentiële partner zijn opgenomen. Bij een adreswijziging in de BRP ontvangen deze organisaties of instanties je nieuwe adres als wijziging. In de meeste gevallen werkt dit goed, maar er gebeuren natuurlijk fouten. Ik ben inmiddels een paar keer verhuisd en zelfs nadat ik al drie jaar op mijn huidige adres woon, ontvang ik nog steeds af en toe post van de bank van de vorige bewoner.
Ik speel badminton voor een club in de najaarscompetitie. De badmintonbond deelt ons (gemengde) team elk jaar in bij een regionale poule van zeven of acht teams, en vervolgens plannen de clubs de wedstrijden in en melden deze aan de bond. De informatie over de competitiewedstrijden wordt ingevoerd op toernooi.nl. Voorafgaand aan de wedstrijd bestaat deze informatie uit de datum en tijd van de wedstrijd, het adres van de sporthal en de spelers die deelnemen aan de wedstrijd. Na de wedstrijd worden de resultaten verwerkt en zijn de uitslagen van alle gespeelde wedstrijden en de ranglijst binnen de poule voor iedereen zichtbaar. In dit voorbeeld komen beschikbaarheid en integriteit samen. Het is essentieel voor een wedstrijd dat je toegang hebt tot informatie over de wedstrijd en dat deze informatie correct is. Dit voorkomt dat je op het verkeerde tijdstip of in de verkeerde sporthal verschijnt. Na de wedstrijd is het essentieel dat de uitslag snel en correct wordt verwerkt, zodat alle teams in de poule weten waar ze staan in het klassement.
Vertrouwelijkheid
Dit onderwerp richt zich voornamelijk op het privacy aspect van informatie en betekent dat alleen degenen die bevoegd zijn om de informatie in te zien, de mogelijkheid hebben om de informatie in te zien.AVG De afgelopen jaren is dit onderdeel van informatiebeveiliging onder de loep genomen door de invoering van de Algemene Verordening Gegevensbescherming ( Data ) en de veranderende rol van de toezichthoudende autoriteit, de Nederlandse Data Beschermingsautoriteit. Bijna elke week staat er wel een kop in de krant over een data inbreuk. Er is sprake van een data inbreuk als persoonlijke data die niet voor iemand bestemd was, met die persoon is gedeeld of op een of andere manier beschikbaar was. Dit laatste gebeurt op grote schaal online met databases, inclusief die welke via hacks zijn verkregen. Het eerste gebeurt op kleinere schaal en dan kun je denken aan de bankpost die ik kreeg en die eigenlijk bedoeld was voor de vorige bewoners van mijn huis.
Om terug te komen op mijn voorbeeld van de badmintonvereniging: ik heb mijn gegevens ingevuld op het inschrijfformulier toen ik lid werd. De club kan (van mij) beschikken over de gegevens die zij nodig heeft om de ledenadministratie te voeren en om de benodigde informatie uit te wisselen met de badmintonbond. De badmintonvereniging verstuurt maandelijks digitaal een nieuwsbrief, waarbij alle e-mailadressen zijn opgenomen in de BCC, zodat een ander lid van de vereniging mijn e-mailadres niet kan achterhalen via de nieuwsbrief. Waar vroeger het adres en telefoonnummer voor iedereen op te zoeken waren in het telefoonboek (weet je dat nog?), vinden we het nu niet meer zo prettig als mensen die we niet kennen ons adres achterhalen. Wat ik hiermee wil zeggen is dat de bestuursleden natuurlijk wel mogen beschikken over de gegevens die ik heb verstrekt voor mijn lidmaatschap, maar dat het ook bij hen moet blijven.
De BIV-classificatie
Informatiebeveiliging bestaat uit drie onderwerpen: beschikbaarheid, integriteit en vertrouwelijkheid. Binnen veel (IT-)bedrijven wordt gesproken over de BIV-score of BIV-classificatie, een afkorting van de beginletters van de drie onderwerpen. Op basis van risk analyses krijgt elk systeem dat een organisatie gebruikt en/of een groep informatie een score van 1 tot 4 per letter op een schaal van 1 tot 4. 1 is het laagste niveau en 4 het hoogste. Dit geeft aan wat het gewenste beveiligingsniveau is voor dit systeem of deze informatie. De cijfers voor de onderwerpen worden in de onderstaande figuur beschreven.
We kunnen online toegang tot onze bank data als voorbeeld gebruiken om te begrijpen hoe de BIV-classificatie werkt. In bijna alle gevallen moet bankieren data beschikbaar zijn, zowel voor particulieren als zeker voor organisaties/ondernemers. Daarom kennen we in dit voorbeeld het nummer 3 toe aan de B. Wanneer we onze bank data raadplegen, hebben we het liefst de meest actuele informatie, hoewel de meesten van ons het acceptabel vinden als transacties 's avonds en in het weekend niet onmiddellijk worden verwerkt. Daarom geven we in dit voorbeeld het cijfer 3 aan integriteit. Tot slot vinden we het onaanvaardbaar dat iemand anders dan wijzelf (of een bevoegd persoon) toegang heeft tot onze bank data. Daarom kennen we het cijfer 3 toe aan vertrouwelijkheid. Dit leidt tot een BIV-classificatie voor ons bankieren data van 3-3-3. De BIV-classificatie bepaalt grotendeels hoeveel inspanning (denk aan geld en aandacht) nodig is om de informatie te beveiligen. Met andere woorden, welke maatregelen worden genomen, welke processen worden ingericht, welke procedures worden toegepast en aan welke normen wordt voldaan.
Wet- en regelgeving en normen
In de loop der jaren zijn diverse nationale en internationale wetten van kracht geworden die van invloed zijn op informatiebeveiliging. Mede hierdoor zijn richtlijnen en normen voor informatiebeveiliging ontwikkeld, zoals de ISO 27000-serie (internationaal) en de NEN 7500-serie (Nederland). Als een organisatie of instelling gecertificeerd is volgens één van deze standaarden, dient dit als bewijs dat de organisatie de benodigde maatregelen, processen en procedures heeft om de informatie te beveiligen.
Het geheel van wetten en regels, normen, maatregelen, processen en procedures is zo uitgebreid en interessant dat het een eigen artikel verdient. Zorg ervoor dat u de Projective Group pagina als u op de hoogte wilt blijven.
Over Projective Group
Projective Group is opgericht in 2006 en is een toonaangevende veranderspecialist voor de financiële sector. Met diepgaande expertise op practices in Data, Payments, Transformatie en Risk & Compliance.
We worden binnen de sector erkend als een leverancier van complete oplossingen, die samenwerkt met klanten in de financiële dienstverlening om oplossingen te bieden die zowel holistisch als pragmatisch zijn. We hebben ons ontwikkeld tot een betrouwbare partner voor bedrijven die willen gedijen en bloeien in een steeds veranderend landschap van financiële dienstverlening.