Hoe gaat uw organisatie om met gevoelige informatie en mogelijk dual-use onderzoek? Kunnen de medewerkers doorwerken als systemen uitvallen? Wie kan in de systemen en kan zaken aanpassen?

Informatiebeveiliging kent drie deelgebieden: Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). Beschikbaarheid waarborgt de beveiliging van systemen waardoor de risico’s van uitval, storingen en incidenten gemanaged worden. Integriteit of betrouwbaarheid zorgt er voor dat informatie correct en actueel is. Vertrouwelijkheid of exclusiviteit, waarborgt dat alleen geautoriseerde personen toegang krijgen tot systemen en informatie. Informatiebeveiliging is een cyclus: risicoanalyses en risicomanagement zijn essentiële en regelmatig terugkerende onderdelen voor een organisatie.

Beschikbaarheid en continuïteit 

Beschikbaarheid van systemen is belangrijk voor de beveiliging van informatie. Bij uitval van een netwerk moeten medewerkers zo snel mogelijk weer aan het werk kunnen en mogen geen gevaarlijke situaties ontstaan. Denk hierbij aan continuïteit van ICT-systemen en opslag van data, maar ook aan back-upsystemen voor gebouwmanagementsystemen, zoals het behouden van onderdruk in laboratoria, beveiliging en autorisatie van ruimten. 

Integriteit

Integriteit of betrouwbaarheid beschrijft de mate waarin gegevens, IT-diensten of IT-middelen correct, volledig en actueel zijn. Denk bijvoorbeeld aan autorisatiesystemen, maar ook aan het voorkomen van (identiteits)fraude, diefstal, of het hacken van computersystemen. De weerbaarheid tegen incidenten en calamiteiten is belangrijk. Een informatiebeveiligingsincident moet dan ook zo snel mogelijk worden gedetecteerd en gemeld, om schade te voorkomen en snel weer operationeel te zijn. Bewuste en goed opgeleide medewerkers weten wat ze moeten doen als een incident zich voordoet.

Vertrouwelijkheid

Vertrouwelijkheid of exclusiviteit betekent dat gegevens alleen te benaderen zijn door iemand die hiertoe gerechtigd is. Hiervoor moet je weten welke ‘kroonjuwelen’ van de organisatie beveiligd moeten worden. Informatie of data is vertrouwelijk wanneer deze schade ontstaat als deze bekend wordt buiten de groep die hiertoe geautoriseerd is. Denk hierbij aan gegevens over onderzoek met hoogrisico pathogenendual-use onderzoek, gegevens over opslag of gebouwmanagementsystemen,  of persoonsgegevens. Door de informatie te  classificeren (bij de overheid noemt men dit rubriceren) en de toegankelijkheid van de informatie te beperken wordt onderscheid gemaakt in de vertrouwelijkheid van informatie. De mate van vertrouwelijkheid kan met behulp van ‘labels’ aan informatie in verschillende vormen toegekend worden. Voor de rijksoverheid geldt het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI), wellicht biedt dit in andere organisaties ook handvatten voor rubricering.

Bewustwording

Hoe goed informatie ook beveiligd wordt, het gedrag van medewerkers is heel belangrijk om beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen binnen de organisatie. Onzorgvuldig gedrag kan er toe leiden dat gevoelige informatie in verkeerde handen valt. Het is dus van belang dat medewerkers zich bewust zijn dat veilig omgaan met gevoelige informatie afhangt van verschillende aspecten , zoals beleid, classificatie, toegang en uitwisseling. Ook dual-use aspecten van onderzoek zijn hierbij van belang, ook als deze gaandeweg het onderzoek ontstaan. Voor het publiceren van onderzoek en exportregels zie ook: ‘publiceren en exportcontrole’ onder de tab transportbeveiliging. Het opleiden en trainen en bewust maken van medewerkers is een belangrijke component van de pijler van informatiebeveiliging.