De BIV-factoren zijn de peilers onder de informatiebeveiliging. Alle maatregelen die genomen worden in het kader van informatiebeveiliging hebben te maken met één of meer van deze factoren.

De factoren zijn de volgende:

  • Beschikbaarheid betreft de mate van beschikbaarheid van diensten of informatie op afgesproken momenten en de daarop afgegeven gagranties. Kernbegrippen bij de sturing op deze factor zijn robuustheid, tijdigheid en continuïteit.
  • Integriteit is de mate waarin informatie actueel en correct is. Kernbegrippen hier zijn volledigheid, juistheid en het geauthoriseerd zijn voor het uitvoeren van transacties.
  • Vertrouwelijkheid is de factor waar het snelst aan gedacht wordt bij informatiebeveiliging. Het betreft de privacybescherming maar ook de exclusiviteit van het inzien en bewerken van informatie. Wie heeft er toegang tot de informatie, wat zorgt er voor dat de informatie niet kan uitlekken?

Toerekenbaarheid

Hoewel Toerekenbaarheid traditioneel niet bij de BIV-factoren hoort, is deze factor in toenemende mate belangrijk geworden. Het betreft de garanties dat je kunt aantonen welke partij verantwoordelijk is voor een bepaalde transactie. Dit is bij een datalek bijvoorbeeld uitermate belangrijk, maar vaker voorkomend is het verzekeren van herkomst en ontvangst van informatie.

Voorbeelden van maatregelen per BIV-factor

Beschikbaarheid

  • Het plannen van onderhoudswerkzaamheden: door onderhoudswerkzaamheden aan een klantenportaal goed te plannen en te communiceren, blijft de toegankelijkheid van informatie binnen gestelde grenzen.
  • Het regelmatig maken van backups: indien gegevens beschadigd raken, kunnen ze hersteld worden vanuit de backup. De informatie is dan niet geheel verloren, dus onbeschikbaar, geworden.
  • Het kiezen van een betrouwbare service provider voor cloud computing: door het bewust kiezen voor een betrouwbare, gecertificeerde partij stuur je op het maximaal beschikbaar zijn.

Integriteit

  • Monitoring: Het continu en geautomatiseerd monitoren van gebeurtenissen (Events) en processen op werkstations en servers waarborgt de integriteit van systemen en bestanden.
  • Data entry controle: door input van een gebruiker te valideren kan de integriteit van informatie worden afgedwongen.

Vertrouwelijkheid

  • Rollen en verantwoordelijkheden vaststellen: het vaststellen van de verschillende rollen en bijbehorende verantwoordelijkheden maakt inzichtelijk wie bepaalde informatie wel of juist niet mag zien.
  • Scheiding van taken: door taken te scheiden kun je het aantal personen, dat toegang krijgt tot gevoelige informatie, beperken.
  • Encryptie: het versleutelen van informatie (encryptie) is één van de maatregelen om onbevoegden toegang te ontzeggen tot informatie.

Toerekenbaarheid

  • Unieke, persoonlijke inlogcodes: met het afgeven van eigen unieke inlogcodes per persoon ontstaat de mogelijkheid vast te stellen wie toegang krijgt tot bepaalde informatie.
  • Logging: als iedereen een eigen toegangscode heeft, kun je ook op persoonsniveau gaan registreren welke informatie is bekeken, aangepast of verwijderd.
  • Two factor authorization: als een gebruiker niet alleen een wachtwoord moet intypen, maar ook bijvoorbeeld een SMS code, moet een hacker twee los van elkaar staande codes zien te achterhalen. Hierdoor is het nog wat zekerder met wie je van doen hebt.

De BIV-factoren zijn de peilers van informatiebeveiliging. Maar centraal staat de RisicoAnalyse… Lees verder…