Eén van de kritische succesfactoren voor informatiebeveiliging is ervoor zorgen dat deze passend is. Maar wat is passend? Het antwoord op deze vraag wordt, naast de dreigingen en kwetsbaarheden, voor een belangrijk deel bepaald door de classificatie van de informatie.
Welke data moet na een calamiteit als eerste weer beschikbaar zijn? Hoe lang mag de salarisadministratie uit de lucht zijn? En wat gebeurt er als een medewerker klantdossiers laat slingeren in de trein?
Hoewel informatiebeveiliging een topic is binnen iedere organisatie, worden deze vragen vaak op ‘gevoel’ beantwoord. In de praktijk bepaalt de it-afdeling hoe lang informatie niet beschikbaar mag zijn en op welke manier deze beveiligd wordt. De it-afdeling kan in veel gevallen echter niet bepalen hoe belangrijk de verschillende soorten informatie voor de organisatie zijn. De enigen die dat kunnen, zijn de eigenaren van de informatie en die bevinden zich juist in ‘de business’. Maar omdat die business informatiebeveiliging meestal vooral als een it-aangelegenheid beschouwt, vindt dataclassificatie niet plaats en wordt het belang van data alleen op gevoel vastgesteld.
De betrouwbaarheid van informatie
Dataclassificatie is bedoeld om aan informatie een bepaalde waarde toe te kennen. Deze waarde kan op verschillende niveaus worden bepaald, maar wordt ten behoeve van informatiebeveiliging doorgaans vastgesteld op de vib-aspecten (vertrouwelijkheid, integriteit en beschikbaarheid). We noemen deze de kernaspecten van de informatie. Samen zijn ze een maat voor de betrouwbaarheid van de informatie.
Vertrouwelijkheid, integriteit en beschikbaarheid
Vertrouwelijkheid is de mate waarin alleen geautoriseerde personen of processen kennis mogen nemen en/of gebruik mogen maken van informatie. Het telefoonnummer van een bedrijf heeft bijvoorbeeld een lage vertrouwelijkheidseis. De salarisgegevens, daarentegen, zijn zeer vertrouwelijk.
Integriteit wordt bepaald door de juistheid, volledigheid en correctheid in tijd van (de verwerking van) informatie. Met andere woorden: in hoeverre is de informatie gelijk aan wat deze zou moeten zijn en hoe hij ooit bedoeld is?
Beschikbaarheid wordt bepaald door de mate waarin de informatie op de juiste momenten, tijdig toegankelijk is voor geautoriseerde personen of processen. Als er brand uitbreekt in een bedrijfspand, is de data dan nog beschikbaar? Of ligt de organisatie dan dagen of misschien wel wekenlang plat? Kortom, door data te classificeren wordt, vanuit de processen bekeken, vastgesteld welke informatie het belangrijkst is voor de organisatie. Deze data kan vervolgens passend beschermd worden.
Business impact analyse
Om de data te kwalificeren wordt typisch een business impact analyse (bia) uitgevoerd door de eigenaren van de data. Doorgaans zijn dat de proceseigenaren of afdelingshoofden. Door de impact van aantasting van de kernaspecten op de organisatie vast te stellen, wordt bepaald of de data laag, middelhoog of hoog scoort op vertrouwelijkheid, integriteit en beschikbaarheid.
Wat betekent de aantasting van de informatie bijvoorbeeld op operationeel, financieel, juridisch, politiek of maatschappelijk gebied? En, niet te vergeten, wat is het gevolg voor het imago? Daarbij worden uiteraard ook wet- en regelgeving meegewogen.
Een voorbeeld zien we in de grote brand die uitbrak in een pand van Vodafone. Hierbij verloor de provider belangrijke gegevens, mede omdat de back-up in dezelfde ruimte stond. Niet alleen besteedde de media veel aandacht aan de gebeurtenis; er werden zelfs Kamervragen over gesteld.
Het begint met dataclassificatie
Het mag duidelijk zijn: dataclassificatie is, naast een informatiebeveiligingsbeleid, het vertrekpunt voor informatiebeveiliging en datamanagement. Het formuleert de eisen die vanuit de processen en de informatie worden gesteld aan de beveiliging en het beheer van de gegevens. Deze eisen kunnen dynamisch zijn. Dataclassificatie zou dan ook geen eenmalige actie moeten zijn, maar een proces waarbij informatie periodiek wordt geclassificeerd.
Uit onderzoek van Centric bleek in 2012 dat slechts 37 procent van de ondervraagde organisaties de business laat bepalen hoe lang data niet beschikbaar mag zijn na een calamiteit. In de overige gevallen stelt de it-afdeling de uitvalsduur vast of is er hierover zelfs helemaal niets vastgelegd.
Blinde vlek
Het merendeel van de organisaties besteedt te weinig aandacht aan dataclassificatie. In veel gevallen bepaalt het gevoel van de it-afdeling hoe lang data uit de lucht mag zijn en in welke mate data beveiligd wordt. Deze blinde vlek binnen organisaties zorgt vaak voor inadequate beveiligingsmaatregelen waardoor men nog weleens voor vervelende verassingen kan komen te staan. Ik roep informatie- en proceseigenaren dan ook op om de verantwoordelijkheid voor hun data te nemen en te starten met de periodieke classificatie ervan. Alleen op die manier kan informatie passend beveiligd worden.
In een eerdere blog belichtte ik de tien meest kritische succesfactoren voor een optimale implementatie van informatiebeveiliging. Wil je de andere negen succesfactoren weten? Bekijk dan de volgende animatie: de tien meest kritische succesfactoren voor informatiebeveiliging.
Het artikel is best aardig.
Alleen erg jammer van het filmpje. Dit hoort natuurlijk niet thuis in een opiniestuk aangezien het een reclamefilmpje betreft.
Gerard,
Het belang van classificatie onderschrijf ik, de wie van uitvoer betwijfel ik. De business – lees eigenaar – classificatie laten doen heeft namelijk nog weleens tot nadeel dat alles kritisch wordt en niet gevoelig.
Verder betwijfel ik of IT werkelijk de RTO bepaalt, ze vertalen meestal alleen de service levels naar objectives. Daarbij wordt nog vergeten om de eisen van business te prijzen waardoor opslag het meest drukt op de budgetten.
En dat wringt dan weer met een eventueel informatiebeveiligingsbeleid, de cloud lokt dan nog weleens als goedkope oplossing. Maar zoals je al aangeeft zijn het inderdaad de processen die bepalend moeten zijn, de input en output daarvan kan trouwens ook nog gewoon papier zijn.
Nogmaals ik onderschrijf de noodzaak van classificatie en ben het met je eens dat business eigenaren hun verantwoordelijkheid moeten nemen maar ik vraag me af of ze wel voldoende inzicht hebben in hun eigen processen.
@ Ewout,
Helemaal mee eens.
RTO/RPO moet natuurlijk vanuit de business komen. Alleen is daar vaak het besef niet helemaal aanwezig. Dus IT moet hier zeker een ondersteunende rol spelen.
IT dient het alleen mogelijk te maken dat deze gehaald gaat worden en zorgen dat de infrastructuur dit ook daadwerkelijk borgt.
Ik begrijp wat de auteur ons wil zeggen en het artikel zegt mij dan ook iets anders.
Het is klaarblijkelijk zo dat het IT nog steeds niet is gelukt, getuige dit artikel, om van een standaard taak, een goed uit te voeren standaard heeft weten te maken. Immers, data bescherming en het beschikbaar hebben van data, zelfs na een calamiteit, is een gewone standaard taak van een IT professional, tenminste, een standaard die een professional op zijn netvlies moet hebben.
Niet louter een commerciële partij dus. Ik stel dit vanuit mijn professionele perceptie dat je met IT als materie zaken goed moet kunnen regelen en stroomlijnen waarbij juist dat ‘overbodige’ woud aan commerciële partijen terug word gedrongen.
Tenminste, dat is mijn professionele perceptie en objectief telkens weer. Helaas zie je nu dat dit soort kwaliteitszaken meer en meer naar de achtergrond worden gedrongen. Als we het nu nog zouden moeten hebben over ‘vergeten data’, iets wat overigens steeds vaker aan het voorkomen is weer, dan is dat voor mij een teken aan de wand.
Het behoord wat mij betreft gewoon een standaard onderdeel in een SLA te zijn.