Skip to content

CIA Triad

De CIA Triad is een toegankelijke manier om verschillende cybersecurity-aspecten van een gegeven situatie in kaart te brengen. De originele afkorting staat voor Confidentiality, Integrity, en Availability. Het framework gaat ervan uit dat hoewel we verschillende gebieden hebben waarop een cybersecurity-aanval kan worden uitgevoerd, de impact van deze aanval altijd kan worden gecategoriseerd in een of meer van deze categorieën. De CIA triad kan je loslaten op alle vier de technologische gebieden van cyber security: data, software, systemen, of netwerken.

    graph TD
        CIA((CIA Triad))
        C[<b>C</b>onfidentiality]
        I[<b>In</b>tegrity]
        A[<b>A</b>vailability]


        C --- CIA
        CIA --- I
        CIA --- A

Confidentiality (Vertrouwelijkheid)

Confidentiality gaat over de vertrouwelijkheid van informatie. Vertrouwelijkheid houdt in dat ongeautoriseerde derde partijen niet kunnen zien welke data je hebt opgeslagen of verzonden. Voor de confidentiality is het geen probleem dat kwaadwillenden data in handen krijgen, zolang de (versleutelde) gegevens niet ingezien kunnen worden. Sommigen zien privacy ook als onderdeel van confidentiality: het recht om te bepalen wat er wordt gedaan met je persoonsgegevens.

Integrity (Integriteit)

Integrity gaat over of gegevens niet tussentijds zijn aangepast door ongeautoriseerde derden. Als er een schending van de integrity is geweest, dan is er sprake van een situatie waarin gegevens zijn gewijzigd ten opzichte van wat het zou moeten zijn.

Availability (Beschikbaarheid)

Availability gaat over de beschikbaarheid van data, systemen, netwerken, of software. Als iets niet meer beschikbaar is, bijvoorbeeld doordat een server met een DOS-aanval offline is gehaald, dan is er sprake van een schending van de availability.

Aanvullingen

De CIA triad wordt veel gebruikt binnen cybersecurity. In de praktijk worden er nog twee factoren aan toegevoegd: authenticity en accountability. Authenticity houdt in dat de identiteit van betrokken actoren, bijvoorbeeld de verzender van een e-mail, kan worden geverifieerd. Accountability draait erom dat wanneer er iets fout gaat, dat te achterhalen is wat er is gebeurd. Bijvoorbeeld, dat wordt bijgehouden wat gebruikers doen op een systeem of welke verzoeken er binnenkomen bij een webserver.

Meer informatie

Voor meer informatie over dit onderwerp kan je de volgende bronnen raadplegen:

Gebruikte bronnen

Stallings, W.; Brown, L. (2018). Computer Security, Principles and Practice Pearson