Een veel gehoorde term als het over Security gaat, is het fenomeen dataclassificatie: het toekennen van een waarde aan informatie om te kunnen bepalen welk niveau van bescherming er nodig is. Dataclassificatie is de eerste stap in een beveiligings- of een securitystrategie. Maar hoe classificeer je je data?
Data wordt geclassificeerd volgens drie standaard principes: vertrouwelijkheid, integriteit en beschikbaarheid. Data-integriteit bepaalt de juistheid van de gepresenteerde data. Beschikbaarheid geeft antwoord op de vraag wanneer en in welke mate informatie beschikbaar moet zijn voor de organisatie. Op basis van deze drie peilers kan een risicoanalyse gemaakt worden, die voor alle informatie bepaalt waarom en hoe maatregelen het beste getroffen kunnen worden.
De datavertrouwelijkheid wordt via een aantal dataclassificatieniveaus duidelijk gemaakt binnen een organisatie. Hoe hoger het niveau, hoe hoger de bevoegdheden (c.q. mogelijkheden) moeten zijn voor het muteren, kopiëren en verwijderen van data. Een dataclassificatiemodel op basis van vertrouwelijkheid kan de volgende structuur aannemen:
– Openbaar: deze data vormt geen direct risico voor de vertrouwelijkheid van de organisatie en is vrij toegankelijk.
– Intern: deze data mag alleen beschikbaar zijn voor interne medewerkers en mag derhalve niet naar buiten toe worden gepubliceerd.
– Vertrouwelijk: data in deze classificatie categorie mag alleen ingezien, gemuteerd of verwijderd worden door bepaalde groep(en) gebruikers.
– Geheim: alleen topmanagement mag inzicht krijgen in documentatie van deze categorie.
Data-integriteit geeft aan dat de data in overeenstemming is met de werkelijkheid; het bepaalt of de data juist, volledig en tijdig is. Een dataclassificatiemodel op basis van integriteit kan de volgende structuur aannemen:
– Niet noodzakelijk: deze data mag worden veranderd, er zijn geen extra maatregelen nodig om de bescherming van data-integriteit te waarborgen.
– Noodzakelijk: het aanpassen van de data heeft een lichte directe of indirecte schade tot gevolg voor de bedrijfsvoering. Een basis set aan maatregelen is noodzakelijk om de data-integriteit te waarborgen.
-Vereist: data-integriteit is noodzakelijk voor dit proces. Aanpassingen in het integriteitsniveau kunnen serieuze directe of indirecte schade toebrengen aan de bedrijfsvoering.
– Absoluut: data in deze categorie mag geen fouten bevatten.
Na het bepalen van de datawaarden in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid is het verstandig een generiek classificatiedocument op te stellen. In dit classificatiedocument wordt aangeraden om aan de gegeven waardes een getal te koppelen tussen 1 en 4, waarin 1 de laagste waarde en 4 de hoogste waarde is (zie bovenstaande afbeelding).
Organisaties die een dataclassificatiemodel willen adopteren, wordt aangeraden een baseline te verifiëren op basis van de waarden die toegekend zijn aan integriteit en vertrouwelijkheid. Deze twee waarden bij elkaar opgeteld geeft het risicobeeld weer waaraan de organisatie bloot staat. Aangezien in een baseline een minimaal gegeven wordt aangegeven, wordt geadviseerd om de baseline voor dataclassificatie niet te strikt neer te zetten. Dit kan namelijk resulteren in een te hoge kostenpost voor de organisatie. Beschikbaarheid is in deze lastig te meten. Het is dan ook raadzaam om deze wel te documenteren en waar noodzakelijk passende maatregelen te implementeren. Daarnaast wordt aangeraden om een generiek standaard classificatiemodel te gebruiken. Een voorbeeld hiervan is (van laag naar hoog): Unclassified, Restricted, Confidential, Secret, Top Secret. Belangrijk om te onthouden is dat dataclassificatie geen doel op zich is. Het is de eerste stap in een securitystrategie en vormt de basis van een gedegen aanpak.
Op zoek naar meer informatie over de vervolgstappen in de securitystrategie na het maken van je dataclassificatiemodel? In onderstaand whitepaper bespreken we de securitystrategie van begin tot eind.
Meer van de directe actie? Onze Security Consultants brengen je graag een bezoekje om te bezien welke mogelijkheden er binnen jouw organisatie bestaan. Langskomen op een van onze locaties kan uiteraard ook. We staan voor je klaar (en de koffie ook)!
Na het bepalen van de datawaarden in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid is het verstandig een generiek classificatiedocument op te stellen. In dit classificatiedocument wordt aangeraden om aan de gegeven waardes een getal te koppelen tussen 1 en 4, waarin 1 de laagste waarde en 4 de hoogste waarde is (zie onderstaande afbeelding).
KEMBIT helpt jouw organisatie grip te krijgen op en te voldoen aan eisen omtrent informatieveiligheid. Hiervoor is het KEMBIT Security Framework ontwikkeld, dat jouw organisatie als totaaloplossing ontzorgt en ondersteunt van A tot Z, van beleid tot firewall.
Benieuwd naar ons advies voor jouw bedrijfsvraagstuk? Daag ons uit!
