Bescherm uw kroonjuwelen

Door · 15/03/2016

Informatieclassificatie is een belangrijk onderdeel van een goed informatiebeveiligingsbeleid en ondersteunt bij het onderbouwen van te nemen beslissingen. Bij het bepalen van nieuwe investeringen kan de classificatie van pas komen, bijvoorbeeld door de focus te leggen op maatregelen of functionaliteit die de beveiliging voor de belangrijkste assets verhogen. Hierdoor kan met een beperkt budget toch voldoende bescherming worden gerealiseerd op plaatsen waar het ertoe doet.

Neem bijvoorbeeld de verwerking van persoonsgegevens. Om te voorkomen dat de Wet bescherming persoonsgegevens wordt overtreden, met mogelijk een grote geldboete tot gevolg, kan een organisatie ervoor kiezen om het hele netwerk of de gehele serverinfrastructuur van additionele beveiligingsmaatregelen te voorzien. Vaak moet dan de afweging worden gemaakt of de investering opweegt tegen de mogelijke gevolgen. Risico’s die zich hierbij kunnen voordoen, zijn het onderschatten van de benodigde investering en van de mogelijke gevolgen bij het niet doen van investeringen.

Dankzij informatieclassificatie kunnen grote investeringen worden opgesplitst in kleinere deelinvesteringen, zodat op meerdere plaatsen de best passende en meest doeltreffende maatregelen kunnen worden toegepast.

Risico & business impact analyse

Het (laten) uitvoeren van een risicoanalyse of Business Impact Analyse (BIA) is belangrijk om data te kunnen voorzien van de juiste classificatie. Een volledige risicoanalyse houdt onder andere rekening met de al genomen maatregelen (GAP-analyse) en de kans dat een risico ook echt tot schade leidt (kosten- & batenanalyse). Om een begin te maken met informatieclassificatie kan het uitvoeren van een BIA al voldoende zijn. Dit kan er echter snel toe leiden dat het lastig wordt om te bepalen welke risico’s de hoogste prioriteit hebben en welke maatregelen dus als eerste moeten worden genomen.

Het is verstandig om een volledige risicoanalyse uit te voeren in plaats van alleen BIA’s, omdat de resultaten vanuit de risicoanalyse ook als input kunnen dienen voor veel andere zaken. Denk hierbij bijvoorbeeld aan het opstellen van een Business Continuity Plan (BCP) en het bepalen van Key Performance Indicators (KPI’s) zoals beschreven in het artikel van Thomas Arends: ‘In 3 stappen je informatiekroonjuwelen, actiepunten en KPI’s borgen’ (zie QR-code onderaan artikel). [(http://www.mbis.eu/blog/in-3-stappen-je-informatie-kroonjuwelen-actiepunten-en-kpis-borgen)]

BIV-classificatie

Aan de hand van een risicoanalyse kan worden bepaald welke risico’s de organisatie loopt en welke impact een incident heeft. Een veelgebruikte methode voor het bepalen van die impact is de BIV-classificatie op basis van Beschikbaarheid, Integriteit en Vertrouwelijkheid.

Belangrijke vragen die naar aanleiding van een goed informatieclassificatiebeleid kunnen worden beantwoord, hebben raakvlak met de BIV-aspecten:

  1. Beschikbaarheid:
    • Hoe lang mogen de data niet beschikbaar zijn?
  2. Integriteit:
    • Kan de omvang van ongeoorloofde manipulatie van data worden vastgesteld?
    • Wie moet er op de hoogte worden gesteld bij het vaststellen van ongeoorloofde toegang tot bedrijfsdata door derden?
  3. Vertrouwelijkheid:
    • Welke stappen moeten worden ondernomen wanneer data in handen van derden vallen?
    • Welke wet en regelgeving is voor uw bedrijf van toepassing?

Aan de hand van de risicoanalyse of BIA kunnen deze vragen beantwoord worden. De antwoorden dienen als uitgangspunt, in feite als betrouwbaarheidscriterium, voor het informatieclassificatiebeleid.

Onnodige complexiteit

Door het aantal niveaus bij classificatie beperkt te houden, kunnen onnodige complexiteit en overlap qua maatregelen worden vermeden. Een goed uitgangspunt is het hanteren van vier niveaus. Begin met het uitwerken van de voorzieningen en controles voor het hoogste classificatieniveau (Secret). Daarna kunnen de andere niveaus sneller worden uitgewerkt door voorzieningen en controles weg te laten of af te zwakken.

Bij onderstaande niveaus kan bijvoorbeeld worden beschreven dat bij het uitlekken van als ‘Secret’ geclassificeerde informatie officiële communicatie zo spoedig mogelijk via een persbericht moet worden verspreid om onrust door onjuiste geruchten te voorkomen. Bij het uitlekken van ‘Restricted’ informatie kan het echter voldoende zijn om binnen een aantal dagen na detectie de getroffen klanten netjes op de hoogte te stellen.

Informatieclassificatieniveaus:

  • Public: Informatie voor iedereen toegankelijk.
  • Restricted: Informatie bestemd voor een specifieke groep.
  • Confidential: Informatie met vertrouwelijke of gevoelige informatie.
  • Secret: Informatie alleen toegankelijk voor een selecte, beperkte groep.

Zeven tips

Zeven belangrijke tips voor het inzetten van informatieclassificatie om de kroonjuwelen van uw organisatie te beschermen:

  1. Zorg voor een goede basis door business impact- en risicoanalyses uit te voeren.
    De business impact- en risicoanalyses spelen bij veel activiteiten een rol, zoals het
    bepalen van Key Performance Indicators.
  2. Probeer zeker in het begin niet te specifiek te werk te gaan.
    Het is beter om eerst een simpele opzet te implementeren. Hierdoor is het vaak mogelijk om complexe informatiestromen toch goed te classificeren.
  3. Neem in het begin het zekere voor het onzekere.
    Het is bijvoorbeeld bij complexe applicaties beter om alle bijbehorende data als vertrouwelijk te beschouwen in plaats van de hele datastroom uit te zoeken.
  4. Betrek de juiste mensen uit de organisatie bij het opstellen van het beleid.
    Veel pogingen om informatieclassificatie in te voeren, verlopen onnodig moeizaam. Reden is vaak een te grote focus op het schrijven van een beleid naar aanleiding van de ideale situatie en te weinig focus op de praktijksituatie.
  5. Neem in het beleid ook beperkingen of mogelijkheden mee die ontstaan vanuit de techniek.
    Voor de beheerders kan het bijvoorbeeld makkelijk zijn om in het dataclassificatiebeleid zoveel mogelijk rekening te houden met de segmentatie van het netwerk, zodat er niet allerlei lastig te realiseren maatregelen moeten worden doorgevoerd. Daarnaast weten de technische mensen meestal als geen ander welke informatie zich waar in de digitale systemen kan en mag bevinden.
  6. Laat de classificatie controleren door een onafhankelijke externe partij of stel het initiële beleid op in samenwerking met een externe partij.
  7. Zorg dat het informatieclassificatiebeleid actueel blijft door het periodiek te spiegelen aan de resultaten van een recent uitgevoerde business impact- en risicoanalyse.

static_qr_code_without_logo

Tags:

Gerelateerde berichten...

Volg ons:

Uitgelicht

Van datastrategie naar succesvolle AI-toepassing: de ervaringen van Schiphol

 Wat is er nodig om de mogelijkheden van Artificial Intelligence (AI) daadwerkelijk in de praktijk te benutten? Maarten van den ...

RGF Staffing voert succesvolle ‘openhartoperatie’ uit op haar applicatielandschap

Een complex applicatielandschap met veel maatwerk vereenvoudigen en migreren naar standaardapplicaties. Het is de wens van veel bedrijven, maar bijna ...

Congresaanbod Heliview 2024

Heliview organiseert ook in 2024 weer verschillende congressen met als doel duurzame contacten tot stand te brengen en kennis te ...

Tim Verbrugge (L) en Mike Bergman (R)

Haal meer uit Teams

Sinds we in 2020 wereldwijd tot online communicatie werden gedwongen, zijn oplossingen als Teams uitgegroeid tot de nieuwe overlegstandaard. Toch ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

» Meer bedrijfsnieuws