Eén van de kritische succesfactoren voor informatiebeveiliging is ervoor zorgen dat deze passend is. Maar wat is passend? Het antwoord op deze vraag wordt, naast de dreigingen en kwetsbaarheden, voor een belangrijk deel bepaald door de classificatie van de informatie.
Welke data moet na een calamiteit als eerste weer beschikbaar zijn? Hoe lang mag de salarisadministratie uit de lucht zijn? En wat gebeurt er als een medewerker klantdossiers laat slingeren in de trein?
Hoewel informatiebeveiliging een topic is binnen iedere organisatie, worden deze vragen vaak op ‘gevoel’ beantwoord. In de praktijk bepaalt de it-afdeling hoe lang informatie niet beschikbaar mag zijn en op welke manier deze beveiligd wordt. De it-afdeling kan in veel gevallen echter niet bepalen hoe belangrijk de verschillende soorten informatie voor de organisatie zijn. De enigen die dat kunnen, zijn de eigenaren van de informatie en die bevinden zich juist in ‘de business’. Maar omdat die business informatiebeveiliging meestal vooral als een it-aangelegenheid beschouwt, vindt dataclassificatie niet plaats en wordt het belang van data alleen op gevoel vastgesteld.
De betrouwbaarheid van informatie
Dataclassificatie is bedoeld om aan informatie een bepaalde waarde toe te kennen. Deze waarde kan op verschillende niveaus worden bepaald, maar wordt ten behoeve van informatiebeveiliging doorgaans vastgesteld op de vib-aspecten (vertrouwelijkheid, integriteit en beschikbaarheid). We noemen deze de kernaspecten van de informatie. Samen zijn ze een maat voor de betrouwbaarheid van de informatie.
Vertrouwelijkheid, integriteit en beschikbaarheid
Vertrouwelijkheid is de mate waarin alleen geautoriseerde personen of processen kennis mogen nemen en/of gebruik mogen maken van informatie. Het telefoonnummer van een bedrijf heeft bijvoorbeeld een lage vertrouwelijkheidseis. De salarisgegevens, daarentegen, zijn zeer vertrouwelijk.
Integriteit wordt bepaald door de juistheid, volledigheid en correctheid in tijd van (de verwerking van) informatie. Met andere woorden: in hoeverre is de informatie gelijk aan wat deze zou moeten zijn en hoe hij ooit bedoeld is?
Beschikbaarheid wordt bepaald door de mate waarin de informatie op de juiste momenten, tijdig toegankelijk is voor geautoriseerde personen of processen. Als er brand uitbreekt in een bedrijfspand, is de data dan nog beschikbaar? Of ligt de organisatie dan dagen of misschien wel wekenlang plat? Kortom, door data te classificeren wordt, vanuit de processen bekeken, vastgesteld welke informatie het belangrijkst is voor de organisatie. Deze data kan vervolgens passend beschermd worden.
Business impact analyse
Om de data te kwalificeren wordt typisch een business impact analyse (bia) uitgevoerd door de eigenaren van de data. Doorgaans zijn dat de proceseigenaren of afdelingshoofden. Door de impact van aantasting van de kernaspecten op de organisatie vast te stellen, wordt bepaald of de data laag, middelhoog of hoog scoort op vertrouwelijkheid, integriteit en beschikbaarheid.
Wat betekent de aantasting van de informatie bijvoorbeeld op operationeel, financieel, juridisch, politiek of maatschappelijk gebied? En, niet te vergeten, wat is het gevolg voor het imago? Daarbij worden uiteraard ook wet- en regelgeving meegewogen.
Een voorbeeld zien we in de grote brand die uitbrak in een pand van Vodafone. Hierbij verloor de provider belangrijke gegevens, mede omdat de back-up in dezelfde ruimte stond. Niet alleen besteedde de media veel aandacht aan de gebeurtenis; er werden zelfs Kamervragen over gesteld.
Het begint met dataclassificatie
Het mag duidelijk zijn: dataclassificatie is, naast een informatiebeveiligingsbeleid, het vertrekpunt voor informatiebeveiliging en datamanagement. Het formuleert de eisen die vanuit de processen en de informatie worden gesteld aan de beveiliging en het beheer van de gegevens. Deze eisen kunnen dynamisch zijn. Dataclassificatie zou dan ook geen eenmalige actie moeten zijn, maar een proces waarbij informatie periodiek wordt geclassificeerd.
Uit onderzoek van Centric bleek in 2012 dat slechts 37 procent van de ondervraagde organisaties de business laat bepalen hoe lang data niet beschikbaar mag zijn na een calamiteit. In de overige gevallen stelt de it-afdeling de uitvalsduur vast of is er hierover zelfs helemaal niets vastgelegd.
Blinde vlek
Het merendeel van de organisaties besteedt te weinig aandacht aan dataclassificatie. In veel gevallen bepaalt het gevoel van de it-afdeling hoe lang data uit de lucht mag zijn en in welke mate data beveiligd wordt. Deze blinde vlek binnen organisaties zorgt vaak voor inadequate beveiligingsmaatregelen waardoor men nog weleens voor vervelende verassingen kan komen te staan. Ik roep informatie- en proceseigenaren dan ook op om de verantwoordelijkheid voor hun data te nemen en te starten met de periodieke classificatie ervan. Alleen op die manier kan informatie passend beveiligd worden.
In een eerdere blog belichtte ik de tien meest kritische succesfactoren voor een optimale implementatie van informatiebeveiliging. Wil je de andere negen succesfactoren weten? Bekijk dan de volgende animatie: de tien meest kritische succesfactoren voor informatiebeveiliging.
De 10 meest kritische succesfactoren voor een optimale informatiebeveiliging
