Classificeer meer

Computable Expert

ir.drs. Jurgen van der Vlugt

Senior auditor

Expert van Computable voor het topic Beleid

Meer

De laatste tijd lezen we weer over grote digitaliseringsprojecten. Bedoeld wordt dan meestal scan-projecten voor pre-digitale informatieopslag. Interessant en ingewikkelder dan het lijkt, maar veel ingewikkelder dan dat is hoe de informatie in het digitale tijdperk nou eigenlijk moet worden beheerd. Want de archiefkasten van gisteren zijn de petabytes van vandaag, alleen konden we gisteren nog de tekst op de archiefdoos lezen en vandaag staat jouw data ergens in de cloud. Onbekend en onbemind. Of nee, onbemind door jou, bemind door de foute loverboys van de informatiemaatschappij.

Tijd dus om weer meer, veel meer, aandacht te geven aan gegevensclassificatie. Dat is in principe al van alle tijden. Er was altijd al publieke informatie en er waren geheimen. Het bestaan van geheimen werd geheim gehouden. Ook dat werd geheim gehouden. Degene die wisten wat de informatie waard was, classificeerden de informatie als geheim, maar dat hielden ze geheim. Security by obscurity werkt, in zulke situaties...

Hoe ging dat dan? Nou gewoon. De opsteller van zekere informatie beschouwde die aan de hand van criteria en besliste op basis daarvan wat geheim was en wat niet. De ontvanger van de informatie kreeg bij ontvangst te horen dat als hij niet alles deed wat bij geheimhouding hoorde, zijn kop eraf ging. In de termen van de klerkenkaste heette dat eeuwenlang een prima preventieve 'internal control', namelijk dreigen met een repressieve (correctieve?) controle.

Maar zie, informatie, gegevens en de opslagmedia werden in de loop der tijd steeds meer onderscheiden en geheimhouding kristalliseerde uit tot een attribuut aan gegevens volgend uit mogelijke schade door bekendwording van informatie bij anderen dan rechtmatig en bedoeld. Uitgebreide spoorboekjes ontstonden over de criteria voor classificatie of rubricering, zoals het niveau van geheimhoedanigheid (geheimheid?) of de bedoelde verspreidingskring, over de vereiste markering (een groot stempel 'Geheim' of nou juist niet) en over de vele, vele te nemen maatregelen om een eenmaal of andermaal vastgesteld niveau van vertrouwelijkheid hoog te houden. Dit leidde tot duidelijke maar tegen-intuïtieve resultaten als het Bell - La Padula-model of onduidelijke resultaten zoals jouw classificatieschema.

De vele, vele maatregelen zouden wel moeten worden genomen, maar werden het niet... Veels te ingewikkeld, al die crypto-dingen. Als een mailtje zo simpel is gestuurd, is de informatie toch bij de bedoelde ontvanger, dat was toch het primaire doel van informatie? Beveiliging, da's heel veel overhead voor weinig tot geen zichtbaar resultaat en dus lastig en als het dan ook nog eens zo moeilijk is... Al die anderen dan wij zelf leven voor productieve dingen, niet voor de bureaucratie. Laat staan dat er ruimte zou zijn voor onderhoud aan de classificatie, bijvoorbeeld na ‘verrijking' van gegevens.

En terwijl ook de versleuteling tegenwoordig steeds sneller kan worden gekraakt, te meer door degenen die met alle geweld bij de gegevens willen komen en die jij juist bij uitstek op afstand wilt houden. Of vertrouw je ‘hiding in plain sight' met steganografie bijvoorbeeld? Waarom niet...? Jouw collega's zijn al meer dan genoeg vertrouwd met plaatjessites. Problemen zat dus. En dat moeten ‘ze' maar oplossen. Helaas, jij bent ‘ze'.

Dan het probleem: hoe de classificatie te verzinnen? Alles versleutelen dan maar? Terwijl meer dan ooit gegevens moeten worden uitgewisseld met een steeds grotere, steeds moeilijker in de gaten te houden, groep gebruikers buiten de eigen organisatie. Of willen we terug naar de ooit bedoelde granulariteit van classificatie, die je niet zomaar van langs de zijlijn kunt bedenken maar zoals gezegd in de overwerkte ‘business' zelf moet worden opgesteld en uitgevoerd, dag in, dag uit. Net zoals bij risk management en al die andere stafdisciplines zit de echte kennis over het hoe en wat van invulling van de middenkolom uit Maes' negen-vlaksmodel in de middenkolom, tussen ‘de business' en ict in.

Bovendien krijgen we steeds meer te maken met de vergankelijkheid van waarde(n). Kwartaalcijfers zijn vandaag nog zeer geheim, tot de perspublicatie dan zijn ze ineens ongerubriceerd. Hoe hangen we een geldigheidsduur als attribuut aan een classificatie-attribuut? En welke maatregelen kunnen we loslaten bij verminderd belang? Misschien moeten we vertrouwen op de kraakbaarheid van cryptomechanismen om informatie allengs meer publiek te maken...?

Dan hebben we het nog niet over de explosie van ongestructureerde informatie, die de gestructureerde informatie qua belang zowat naar de marge verdringt. Hoe krijgen we daar qua classificatie vat op? Doe het eens wat vaker dus. Classificeren bedoel ik. En creatief zijn; het eens wat anders aanpakken dan anders kan veel inzicht en plezier verschaffen. Vaker doen, met meer sparringpartners, buiten het eigen handwerk in isolatie, gaat hier hand in hand met meer veiligheid.

Hierboven staan vele vragen en maar weinig antwoorden, van mij dan. Want ik wil van jou weten hoe jij classificatie aanpakt. Hoe kunnen we het leuker maken zodat onze tegenpartijen het vaker willen doen?