Beschikbaarheid, integriteit en vertrouwelijkheid (BIV): geclassificeerde informatie is key bij informatiebeveiliging

Data is essentieel voor moderne organisaties, maar zonder de juiste beveiliging van die data kan het een risico vormen in plaats van een troef. Als organisatie wil je niet dat je data op straat komt te liggen of niet benaderbaar is. Hoe zorg je ervoor dat je data niet alleen veilig blijft, maar ook toegankelijk en betrouwbaar is? Dit begint met dataclassificatie, waarbij je bepaalt hoe kritisch informatie is en welke bescherming het nodig heeft. Het BIV-model – wat staat voor Beschikbaarheid, Integriteit en Vertrouwelijkheid – helpt organisaties inzicht te krijgen in de risico’s en daarvoor passende beheersmaatregelen te nemen. In dit artikel leggen we je uit wat BIV-classificatie is en hoe je deze classificatie toepast binnen jouw organisatie.

Als organisatie verwerk en bewaar je informatie die waardevol of ondersteunend is aan de informatiesystemen en -processen. Deze informatieverwerking brengt bepaalde risico’s met zich mee. Deze risico’s stel je vast met een risicoanalyse. In deze risicoanalyse worden de risico’s beschreven met de bijbehorende invloeden op de Beschikbaarheid, Integriteit en Vertrouwelijkheid. Op basis hiervan bepaalt de organisatie en de wetgeving welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen dienen te worden om de risico’s te beheersen of terug te brengen op een aanvaardbaar niveau.

Dataclassificatie is het labelen van informatie om er een bepaalde waarde aan toe te kennen en zo te kunnen bepalen welk niveau van bescherming er nodig is. De classificatie van de data bepaalt dus de hoeveelheid maatregelen en mate van beveiligingseisen die genomen moeten worden om de informatie te kunnen beschermen. Dataclassificatie dwingt bedrijven om na te denken over de mate waarin Beschikbaarheid, Integriteit en Vertrouwelijkheid van data moet worden gegarandeerd. Met bepaalde informatie ga je immers vertrouwelijker om dan met andere. Zo vraagt je salarisadministratie om een ander beveiligingsniveau dan de bedrijfswebsite.

Het beschermingsniveau van data wordt aangeduid met behulp van classificatieniveaus voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. Maar wat houden de waarden van de BIV-classificatie precies in?

Alle informatie krijgt dus een classificatieniveau toegekend en op basis daarvan wordt, met het oog op de risico’s, bepaald welke beveiligingseisen en maatregelen genomen worden. Kortom, de BIV-classificatie van de data bepaalt dus de mate van informatiebeveiliging.

Het toekennen en delen van BIV-classificatie aan informatie zorgt voor het creëren van bewustwording. Omdat je als organisatie wordt gedwongen om bewust te handelen en te denken over het beveiligen van data. Een document waarop vertrouwelijk staat, laat je immers niet zomaar op een USB-stick door het bedrijfspand slingeren.

Door data te classificeren breng je precies in kaart welke data er in de organisatie aanwezig is en welke waarde deze heeft. Wanneer je dat niet hebt gedaan, weet je niet altijd (direct) welke data er gestolen is of waar je moet zoeken. Tot slot draagt het classificeren van data bij aan het voldoen aan eisen vanuit wet- en regelgeving. Denk bijvoorbeeld aan de AVG-wet. En mocht je op weg zijn naar een ISO 27001 certificering, de internationaal erkende norm voor informatiebeveiliging, dan is dataclassificatie een verplicht onderdeel.

Natuurlijk brengt het classificeren van data niet enkel voordelen met zich mee. Het vergt ook investering. Dataclassificatie zorgt ervoor dat medewerkers hier bewust van moeten zijn en hiernaar behoren te handelen. Dit kost tijd en soms een investering. Daarnaast dien je passende technische en organisatorische beveiligingsmaatregelen te treffen om de risico’s te mitigeren. Tot slot kun je niet alle data in eigen beheer beveiligen. Denk bijvoorbeeld aan data die is opgeslagen in de cloud. Hiervoor ben je in sommige gevallen overgeleverd aan externe partijen.

Dataclassificatie is geen doel op zich. Door data te classificeren ga je niet bewerkstelligen dat je data veiliger is en er minder kans is op datalekken. Ga dus niet classificeren om het classificeren, maar juist met het doel om je informatie beter te beveiligen. Dataclassificatie maakt namelijk onderdeel uit van een groter geheel en draagt samen met andere maatregelen bij aan het verbeteren van de informatiebeveiliging binnen je organisatie. Het dient geïntegreerd te worden in je dagelijkse werkzaamheden. Het is daarom belangrijk dat je als organisatie de intrinsieke motivatie hebt om serieus met informatiebeveiliging aan de slag te gaan. Om aan te kunnen tonen dat je inderdaad serieus bezig bent met informatiebeveiliging kun je jezelf ISO 27001 laten certificeren.

Wil je meer weten over dataclassificatie binnen informatiebeveiliging? Of juist over ISO 27001? Neem dan gerust contact met ons op. Onze adviseur helpt je graag op weg en vertelt je alles over de mogelijkheden.