Wat geen waarde heeft hoef je niet te beveiligen?!

Een blog over data/gegevens/informatieclassificatie. Welke gegevens heb je eigenlijk als organisatie en waar zit de meeste waarde in? Hopelijk heb je in elk geval inzicht welke informatie voor jouw organisatie van essentieel belang is en waarmee de organisatie eigenlijk haar bestaansrecht kwijt is als dergelijke gegevens even niet (of misschien, nooit!) meer beschikbaar zijn.

Door het systematisch classificeren van informatie, gegevens en/of data wordt inzichtelijk welke verzamelingen er aanwezig zijn, waar deze staan en wat de inhoud is van die verzamelingen. Dit helpt met het effectiever inzetten van de middelen, waaronder het geld voor eventuele beveiligingsmaatregelen. Of, zoals binnen de wereld van informatiebeveiliging altijd gezegd wordt: ‘Je moet geen dubbeltjes met kwartjes beveiligen’

Welke gegevens moet je classificeren?

Elke organisatie moet eigenlijk alle gegevens classificeren. En ja, dat zijn er nogal wat. Zeker als je een inhaalslag gaat maken omdat er op dit moment nog niets geregeld is. Gelukkig zitten deze gegevens in applicaties, dus in tabellen van databases, of in (netwerk)mappen. Vaak kunnen beheerders hier mee helpen om dit inzichtelijk te maken. Ook vanuit taken in verschillende (business)processen die een organisatie heeft is te achterhalen welke gegevens er gecreëerd, gecombineerd, verwerkt, gearchiveerd of verwijderd worden. Al deze soorten gegevens zouden voorzien moeten worden van een classificatiecode waarmee de belangrijkheid wordt aangegeven.

Hoe classificeer je informatie?

Informatie classificeer je met behulp van drie kwaliteitskenmerken, vaak in één term genoemd. In het Nederlands BIV, of CIA in het Engels. Dit staat voor:

  • Beschikbaarheid (availability): Wie heeft (wanneer) toegang tot welke gegevens?
  • Integriteit (integrity); welke foutmarge en updatefrequentie hebben gegevens.
  • Vertrouwelijkheid (confidentiality); welke gevoeligheid hebben de gegevens, privacy

Nb: Zoals wellicht opgevallen is de volgorde tussen de beide talen anders. Laten we ervoor zorgen dat dit geen verwarring in de classificatie oplevert.

De classificatie zelf kan eenvoudig ingericht worden (wel/niet) of net wat meer gradueel (hoog/midden/laag). Die laatste is veelvoorkomend waarbij vaak de mate van relevantie met een cijfer wordt aangeduid van 1 (laag) tot 3 (hoog).

Informatie die van cruciaal belang is voor de organisatie en er te allen tijde moet zijn zal dus een hoge beschikbaarheidsklasse hebben. Waarschijnlijk een B=3.

Van informatie waarop belangrijke beslissingen gemaakt worden zal de wens zijn om een hoge integriteit na te streven.

Informatie over personen, persoonsgegevens of bijzondere persoonsgegevens, zullen hoog vertrouwelijk gemaakt moeten worden.

Een zeer belangrijk, bedrijfskritisch systeem mét gevoelige data zal dus classificatie BIV = 333 krijgen.

Deze lijst kan de verantwoordelijke voor informatiebeveiliging bewaren, bewerken en bijhouden. Het jaarlijks herzien heeft wel de voorkeur, zodat de informatie voldoende actueel blijft.

Natuurlijk is het handig om dergelijke lijsten bij te werken wanneer er wijzigingen in de informatiehuishouding plaatsvinden. Vaak worden deze gegevensverzamelingen geïnitieerd in projecten. Het kan daarom raadzaam zijn om te zorgen dat er enkele triggers in de projectprocessen zitten waardoor deze wijzigingen doorgegeven worden. Dit helpt het project tevens focus te geven over de gevoeligheid van de gegevens en de eventuele maatregelen die zij moeten nemen.

Wat kan ik er nu mee?

Je weet waar gevoelige gegevens zitten, waar de kerngegevens van de organisatie staan en, om het actuele thema over de meldplicht van datalekker erbij te pakken; ook daar is het relevant. Sowieso dient er initieel een verwerkingsmelding gemaakt te worden. Dan is het handig als je weet waar deze plaatsvinden.

Daarnaast, als persoonsgegevens onjuist zijn behandeld dan komen we op het onderwerp van de meldplicht datalekken. Er dient dan een melding bij de Autoriteit Persoonsgegevens gemaakt te worden. Ook daarbij is het handig dat je weet waar persoonsgegevens staan.

Hetzelfde geldt voor meldingen aan het management als relevante gegevens ‘een optater’ hebben gehad. Vaak is het handig om dergelijke zaken te melden zodat er geen verkeerde beslissingen genomen worden of omdat er juridische consequenties aan vast zitten.