Déjà vu all over again.
Sinds mensenheugenis, in elk geval de mijne, worden Confidentiality, Integrity en Availability beschouwd als de drie meest cruciale componenten van informatiebeveiliging. Confidentiality waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken, Integrity is de garantie dat informatie betrouwbaar en accuraat is, en Availability richt zich op tijdigheid, continuïteit en robuustheid van de informatievoorziening. En het heeft even op zich laten wachten maar Privacy doet nu zijn intrede als vierde component en voila: CIAP!
Is het terecht om Privacy als component op te nemen voor het beveiligen van informatie? Een argument hiervoor is dat Privacy complexer van aard is. Het kan al in het gedrang komen als in wezen afzonderlijk 'onschuldige' informatie wordt gecombineerd ten dienste van bijvoorbeeld profilering en monitoring. En dit zonder dat hierbij de CIA componenten geweld hoeft worden aangedaan. Door Privacy toe te voegen als vierde component is er de juiste aandacht voor privacy-gevoelige situaties die anders wellicht door het CIA-net zouden glippen.
Maar stelt Privacy dan als enige aanvullende eisen aan de informatiebeveiliging? De vraag stellen is hem in dit geval beantwoorden. Ook andere aspectgebieden, zoals bijvoorbeeld Finance en Operations, stellen hun specifieke eisen aan de informatiebeveiliging. Het voldoen daaraan is in de loop der tijd dusdanig gemeengoed geworden en vertaald naar de CIA componenten, dat we dat niet meer als aanvullend zien.
Dit zal ook gebeuren voor de vertaling van de Privacy specifieke eisen naar de CIA componenten. Privacy stelt eisen aan de informatiebeveiliging, maar is er geen onderdeel van.
Ergo, er is geen aanleiding om Finance, Operations of Privacy toe te voegen aan de CIA componenten. Waarmee overigens wel de kans verloren is gegaan om prachtig mooie nieuwe afkortingen te bedenken.
