Cybersecurity of het minder trendy klinkende informatiebeveiliging is een hot topic tegenwoordig in bedrijven, organisaties en instellingen. Velen daarvan voldoen aan een ISO27001, een zorgsector aan de NEN7510 en de overheid heeft haar eigen norm, de BIO. Echter de kern van al deze normen bestaat sinds jaar en dag uit de zogenaamde CIA triad. De CIA-triad, of de CIA-driehoek, is een basisconcept in de informatiebeveiliging dat staat voor Confidentiality (vertrouwelijkheid), Integrity (integriteit) en Availability (beschikbaarheid) van informatie. Hoewel de CIA-triad een nuttig framework is, is het alleen niet afdoende voor een holistische benadering van informatiebeveiliging. Er zijn meer aspecten aan informatieveiligheid waaronder authenticity (authenticatie), accountability(aansprakelijkheid) en Non-repudiation (onweerlegbaarheid) bijvoorbeeld. In dit artikel leg ik uit wat de verschillende concepten inhouden en welke aanvullende aspecten er zijn om informatiebeveiliging holistisch te kunnen benaderen wat uiteindelijk de veiligheid ten goede komt in een organisatie.

De bestaande principes van de CIA triad

De vertrouwelijkheid (Confidentiality) van informatie richt zich op het waarborgen dat gevoelige gegevens alleen toegankelijk zijn voor geautoriseerde personen of systemen. Dit omvat het implementeren van maatregelen zoals toegangscontroles, versleuteling en veilige opslag van gegevens. Het doel is om ongeautoriseerde openbaarmaking of onbevoegde toegang tot vertrouwelijke informatie te voorkomen. Vertrouwelijkheid is vooral van belang bij het beschermen van persoonsgegevens, bedrijfsgeheimen en andere gevoelige gegevens. Gegevens met een bepaalde classificatie.

Integriteit (Integrity) heeft betrekking op de nauwkeurigheid, volledigheid en betrouwbaarheid van informatie. Het waarborgen van de integriteit betekent dat gegevens niet ongeautoriseerd kunnen worden gewijzigd, gemanipuleerd of beschadigd. Maatregelen zoals gegevensvalidatie, hashing en controlemechanismen worden gebruikt om ervoor te zorgen dat informatie niet onopgemerkt wordt gewijzigd. Integriteit is van cruciaal belang bij het voorkomen van gegevenscorruptie, ongeautoriseerde wijzigingen of vervalsingen van informatie.

Beschikbaarheid (Availability) houdt in dat informatie toegankelijk en beschikbaar is voor geautoriseerde gebruikers wanneer ze deze nodig hebben. Het omvat maatregelen om te zorgen voor continue werking van systemen, gegevensback-ups, redundantie en responsiviteit bij storingen. Het doel is om ervoor te zorgen dat informatie beschikbaar blijft voor degenen die er recht op hebben, zonder onnodige onderbrekingen of uitval. Backup en restore beleid maar ook datarecovery beleid liggen hieraan ten grondslag.

Hoewel de CIA-triad belangrijke pijlers van informatiebeveiliging vertegenwoordigt, zijn er enkele beperkingen en aanvullende aspecten die moeten worden overwogen zoals hieronder weergegeven.

Aanvullende principes

Er zijn andere belangrijke principes van informatiebeveiliging, zoals Authenticity (authenticiteit), Non-repudiation (onweerlegbaarheid) en Accountability (verantwoordelijkheid), die vaak worden toegevoegd aan de CIA-triad. Deze principes richten zich op het waarborgen van de identificatie en verificatie van de afzender en ontvanger van informatie, het voorkomen van ontkenning van betrokkenheid bij een actie en het vaststellen van verantwoordelijkheid voor beveiligingsincidenten. Nou is het wel zo dat in de praktijk authenticatie, onweerlegbaarheid en aansprakelijkheid al wordt toegepast maar het worden niet als aparte principes gezien.

De reden om ze toch als aanvullende principes te zien heeft ook te maken met bewustwording van mensen op dit vlak. Zo kunnen mensen zich een betere voorstelling geven van wat authenticeren eigenlijk inhoud en wat de aansprakelijkheid en verantwoordelijkheid is op het gebied van informatieveiligheid. Het vaststellen dat iemand is wie die zegt te zijn door middel van authenticatie is een essentieel onderdeel van het verkrijgen van autorisatie en tenslotte toegang tot informatie welke hoort bij dat niveau van autorisatie. Daarnaast is in het hedendaagse aan elkaar verbonden wereld van netwerken waarover informatie wordt overgedragen van belang zeker te weten dat de toegestuurde informatie ook onweerlegbaar is en dat achteraf niet kan worden gezegd dat heb ik niet verstuurd. Wat een inbreuk op de veiligheid van informatie zou betekenen.   

De aanvullende principes van authenticatie, onweerlegbaarheid en aansprakelijkheid zijn een belangrijk onderdeel bij een bewustwording van mensen ineen organisatie. Tevens zal door deze principes de risicobeheersing verder kunnen worden verbeterd en aansprakelijkheid en verantwoordelijkheid in de organisatie duidelijker worden gemaakt zodat beter rekening kan worden gehouden met opkomende bedreigingen en kansen. Denk daarbij aan nieuwe technologieën, zoals cloud computing, het Internet of Things (IoT) en kunstmatige intelligentie (AI), welke nieuwe uitdagingen met zich meebrengen die verder gaan dan de CIA-triad.

Tot slot

De CIA-triad is een waardevol concept binnen informatiebeveiliging dat de vertrouwelijkheid, integriteit en beschikbaarheid van informatie benadrukt. Het is echter belangrijk om te erkennen dat informatiebeveiliging een veel breder en complexer domein is, dat aanvullende principes, risicobeheer, menselijke factoren en de evoluerende aard van bedreigingen omvat. Een uitgebreide en holistische benadering van informatiebeveiliging is noodzakelijk om een effectieve bescherming van informatie te waarborgen.