In dit blogartikel bespreken we hoe je de BIV-driehoek gebruikt om de waarde en gevoeligheid van je gegevens te bepalen.
Bij de cybersecurity voor je organisatie is het belangrijk om de juiste verhouding te vinden tussen functionaliteit en veiligheid. Want, in de regel is het zo dat meer veiligheid gepaard gaat met minder functionaliteit – en andersom.
Om je beveiligingsrisico’s goed te managen moet je eerst weten hoe gevoelig of waardevol je verschillende gegevens zijn. Daarbij begin je bij de organisatieprocessen en welke data er nodig zijn om die processen draaiende te houden. Om de waarde en gevoeligheid van deze gegevens te bepalen kun je gebruikmaken van de “BIV-driehoek”, ofwel de beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V) van je gegevens.
Hoe je deze drie elementen van de BIV-driehoek beoordeelt, leer je in dit blogartikel.
1. Beschikbaarheid
Als eerste kijk je naar de beschikbaarheid van je verschillende organisatiegegevens. Wat is bijvoorbeeld de impact als jullie 4 uur lang geen beschikking hebben tot gegevens x, y of z? Hoe ernstig is de situatie? Kan de organisatie nog draaien? En wat als dat 8 of 24 uur wordt, of een hele week – maakt dat de impact (exponentieel) groter?
Afhankelijk van het type gegevens kan er een verschillend antwoord van toepassing zijn. Dit betekent ook dat de noodzakelijke maatregelen voor beveiliging niet bij elk type gegevens identiek hoeven te zijn.
2. Vertrouwelijkheid
Dit gaat over het inzien van de organisatiegegevens door een onbevoegde. Hoe ernstig is dat? Bij de teksten voor de corporate website maakt dat vast niet zoveel uit, maar als je bezig bent met een strategische overname van een beursgenoteerd bedrijf, dan kan het desastreuze gevolgen hebben als dit openbaar wordt. Of wat dacht je van bijzondere persoonsgegevens? Wanneer die openbaar worden, kunnen er forse boetes volgen.
Zulke vertrouwelijkheids-issues worden vaak ook misbruikt in het geval van een aanval door cybercriminelen, waarbij data wordt buitgemaakt en de dader dreigt om deze openbaar te maken als er geen losgeld wordt betaald. Hoe gevoeliger de gegevens zijn, hoe groter de kans op succes voor de aanvaller wordt.
3. Integriteit
De derde dimensie in informatieveiligheid is integriteit. Deze dimensie wordt vaak over het hoofd gezien, maar in hoeverre mag je ervan uitgaan dat jouw gegevens correct zijn? Het komt in de praktijk voor dat een intern onbevoegd persoon gegevens kan wijzigen, maar ook dat iemand van buitenaf toegang krijgt. En de gevolgen kunnen groot zijn, bijvoorbeeld wanneer iemand het rekeningnummer van een belangrijke leverancier in de administratie aanpast zodat er geld naar een verkeerde rekening wordt overgemaakt. Dus, wat zijn de gevolgen als er in de gegevens x, y, of z een aantal getallen worden gewijzigd?
BIV-driehoek in de praktijk
Met deze 3 pijlers van informatiebeveiliging breng je in beeld hoe belangrijk bepaalde gegevens zijn en wat daarvoor een passende mate van beveiliging is.
Voor triviale informatie wil je juist weinig obstakels, zodat je systemen gebruiksvriendelijk blijven. Maar voor gevoelige informatie, zoals een strategische meerjarenbegroting, is het belangrijk om meerdere obstakels voor gebruik in te bouwen. Bijvoorbeeld een vereiste om met een beveiligd device in te loggen, gebruik te maken van een authenticator en een timer waardoor je bij inactiviteit automatisch wordt uitgelogd zoals je dat bij DigiD en eHerkenning ziet.