Begin jaren tachtig was Rubiks kubus een ware rage. Overal waar je keek, zag je mensen in de weer met de puzzel. De gekleurde breinkraker was mateloos populair. Op het eerste gezicht lijkt Rubiks kubus een haast onoplosbare puzzel. Veel puzzelaars wagen zich er niet eens aan. Ook informatiebeveiliging is voor velen zo’n complexe puzzel die bovendien heel mooi in de vorm van een kubus is weer te geven.
De vorm van informatie
Op de zijden van de eerste as projecteren we de diverse vormen van de informatie: digitaal, analoog en kennis.
Steeds meer informatie is tegenwoordig digitaal. In it-systemen, op het netwerk, maar ook op informatiedragers als disks, usb-sticks en back-uptapes. Toch wordt veel informatie ook nog op andere wijze vastgelegd. Denk aan papieren documenten en informatie op bijvoorbeeld whiteboards. Voor het gemak noem ik die informatie analoog. En tenslotte is informatie vaak opgeslagen in de hoofden van de medewerkers, in de vorm van kennis. Informatie over werkwijzen, collega’s en de organisatie. Maar ook fragmenten van de gegevens die in de eerder genoemde vormen vastgelegd is.
De kernaspecten van informatiebeveiliging
Op de zijden van de tweede as zetten we de kernaspecten van informatiebeveiliging: vertrouwelijkheid, integriteit en beschikbaarheid.
De vertrouwelijkheid geeft de mate aan waarin alleen geautoriseerde personen of processen de informatie mogen kennen en gebruiken. De integriteit van informatie wordt bepaald door de juistheid, de volledigheid en de correctheid in tijd van (de verwerking van) informatie. In hoeverre is de informatie (nog) gelijk aan hoe die zou moeten zijn en bedoeld is? En de beschikbaarheid tenslotte, wordt bepaald door de mate waarin de informatie op de juiste momenten toegankelijk is voor de juiste personen en processen. De vertrouwelijkheids-, integriteits- en beschikbaarheidseisen (vib) van jouw informatiestromen bepalen mede welke beheersmaatregelen je moet treffen.
Beheersmaatregelen
Op de zijden van de derde as zetten we de beheersmaatregelen. Deze vallen typisch binnen drie categorieën: mens, techniek en organisatie.
Je kunt bijvoorbeeld techniek inzetten om it-kwetsbaarheden aan te pakken, maar ook om ruimtes automatisch af te sluiten of ongeregeldheden snel te signaleren. Een ander belangrijk beheerselement is de mens zelf: het stimuleren van bewustzijn en training van medewerkers zijn menselijke maatregelen, maar bijvoorbeeld ook de fysieke surveillance. Tenslotte is ook organisatie een beheerselement. Daarmee doel ik op taken, verantwoordelijkheden, afspraken, processen en procedures.
De beveiligingskubus
Met het invullen van deze drie dimensies van informatiebeveiliging is een complete beveiligingskubus gevormd. Deze beslaat in feite het hele speelveld van informatiebeveiliging voor elke afzonderlijke informatiestroom – een speelveld met 27 unieke aandachtsgebieden. Elk blokje vertegenwoordigt een combinatie van vorm, aspect en maatregel. Zo is er een blokje dat het raakvlak vertegenwoordigt van digitale informatie en de technische maatregelen die integriteit ervan moeten waarborgen, maar ook een blokje dat staat voor de organisatorische maatregelen die de beschikbaarheid van je analoge kennis moeten waarborgen.
Ieder blokje van de kubus speelt zijn eigen rol in het informatiebeveiligingslandschap. Toch wordt het speelveld in de praktijk helaas vaak gereduceerd tot één enkel blokje. Onder invloed van de media, technologische actualiteiten en onterechte aannames, wordt er vooral gekeken naar de bescherming van de vertrouwelijkheid van digitale informatie en worden maatregelen uitsluitend in de techniek gezocht. Effectieve informatiebeveiliging geeft echter elk afzonderlijk blokje van de kubus de aandacht die het verdient.
Toegegeven, in de praktijk zijn de afmetingen van de afzonderlijke blokken zelden gelijk. Zo kan bepaalde informatie binnen jouw organisatie bijvoorbeeld vooral in papieren vorm aanwezig zijn, terwijl andere informatie vooral digitaal is. Ook kan de beschikbaarheid van bepaalde informatie zwaarder wegen dan de integriteit ervan. Maar hoe je de puzzel ook wendt of keert: deze puzzel telt 27 blokjes en om de puzzel op te lossen moeten ze allemaal op de juiste plek zitten.
Succesvolle informatiebeveiliging benadert de puzzel dus in zijn geheel. Door van tevoren al je informatiestromen te bestuderen en te classificeren, leg je de basis voor een succesvol informatiebeveiligingsbeleid. Een beleid dat rekening houdt met de verschillende behoeften van alle vormen van informatie en daaraan de juiste maatregelen koppelt. Alleen als je alle puzzelstukjes de aandacht geeft die zij verdienen, kun je de puzzel als geheel oplossen.
Tot slot
Wat veel mensen niet weten, is dat Rubiks kubus vanuit iedere willekeurige positie binnen slechts 20 draaiingen op te lossen is. De kunst, zo kan iedere fanatieke kubusdraaier je uitleggen, is om de complete kubus eerst goed te bestuderen. Als je van tevoren weet welke stappen je moet zetten om de puzzel op te lossen, kun je ze zo snel en effectief mogelijk zetten. Het wereldrecord kubusdraaien (5,55 seconden) kwam dan ook niet zomaar uit de lucht vallen. Omdat hij zich goed had voorbereid, wist Mats Valk precies wat hem te doen stond.