Geen informatiebeveiliging zonder dataclassificatie!

Geen informatiebeveiliging zonder dataclassificatie!

Bij het werken in een informatiebeveiliging organisatie komt er steeds naar voren dat bij het inrichten van informatiebeveiliging bij (nieuwe of bestaande) klanten steeds een belangrijk component mist in de organisatie om te starten met de beveiliging. Dit is namelijk een “classificatie” van de bestaande data. In dit artikel wordt de waarom, wat en hoe van de dataclassificatie in een gesimplificeerd informatiebeveiligingsproces beschreven.

Waarom informatiebeveiliging?
Informatiebeveiliging is tegenwoordig een hot item, net als de airbags in een auto zijn (technische of niet technische) maatregelen om uw informatie te ondersteunen belangrijk geworden. Dit heeft te maken met het toenemende gebruik van informatiesystemen om kritische bedrijfsprocessen in af te vangen of deels te ondersteunen. Door deze (sterke) afhankelijkheden is er een behoefte ontstaan om binnen organisaties door middel van een set maatregelen die gelden voor zowel systemen, processen of mensen de kwaliteitsaspecten Beschikbaarheid, Integriteit en Vertrouwelijkheid te waarborgen.

Om kosteneffectief hiermee om te gaan helpt het om het 80/20 principe te hanteren, 20 procent van de maatregelen zorgt hiermee voor 80 procent van de risicodekking. Daarvoor moet u eerst weten wat uw kritische processen zijn en welke informatiesystemen hierbij belangrijk zijn. Daarna dient er gekeken te worden welke data “woont” in deze systemen waarna een selectie van maatregelen toegepast kan worden op de meest belangrijke data. Hier komt het dataclassificatie model in het spel. Met dit model kan er bepaald worden wat de “kritische” systemen zijn van uw bedrijf. Vervolgens kunnen er vervolgens door u zelf of door een externe partij maatregelen worden getroffen door uzelf of een externe partij.

Wat is dataclassificatie?
Het doel van het onderstaande dataclassificatie model is om inzicht te geven waar uw informatie “woont” zodat u in tijden van crisis precies weet wat het belangrijkste is voor uw organisatie. In dit artikel wordt er ingestoken op maatregelen die getroffen worden aan de hand van een dataclassificatie model.

Hoe hanteer ik het dataclassificatie model?

1. Inventariseer bedrijfsprocessen

Inventariseer de kritische bedrijfsprocessen binnen uw organisatie. Dit kan bijvoorbeeld door middel van een Excel sheet.

2. Inventariseer de afhankelijke informatiesystemen

Inventariseer welke kritische bedrijfsprocessen afhankelijk zijn van welke informatiesystemen. Dit kan bijvoorbeeld ook door middel van een Excel sheet. Nu zijn de meest belangrijke informatiesystemen geïnventariseerd. Hier kan vervolgens de tweede 80/20 slag uitgevoerd worden door middel van het boven genoemde model.

3. Data classificatie

Gebruik een dataclassificatie model om de data die gebruikt wordt in databases, file shares, websites en andere aparte stukken van data in de meest belangrijke (kritische) informatiesystemen te classificeren.

Het is inefficiënt om elk apart stukje data classificeren binnen in uw organisatie. Gebruik daarom databasenamen, website adressen, namen van file shares om een algemeen data classificatie model aan te hangen. Als u hiermee klaar bent kan u uw “Geheime data” als eerste gaan beveiligen door middel van maatregelen te op het informatiesysteem, proces of de menselijke factor (vaak de zwakste schakel) in te regelen. Dit kan ook weer door middel van het voorgaande Excel sheet.

4. Breng de risico’s in kaart

Selecteer het meest belangrijke bedrijfsproces of belangrijkste systeem (afhankelijk van de grote van de organisatie) en organiseer een meeting of verschillende interviews met de betrokken stakeholders van het betreffende bedrijfsproces of systeem. Dit kan een proceseigenaar zijn, dit kan een manager van de ICT zijn, dit kan een systeembeheerder zijn enz.

Stel de vraag:

Welke algemene scenario’s (Risico’s) kunnen er plaats vinden in of rondom de organisatie om het belangrijke bedrijfsproces (of systeem) die negatief effect hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van de componenten?

Breng daarna in kaart welke de meeste kans hebben op een schaal van 1 op 5 en welke meeste de impact hebben (1 op 5). Vervolgens kunnen deze vermenigvuldigd worden door middel van de rekensom: Kans x impact = Risicofactor. Het scenario met de grootste risicofactor dient zo snel mogelijk een keuze gemaakt te worden door de eigenaar van het systeem (vaak de proceseigenaar). Het risico kan behandeld worden als volgt:

– Gedekt (tegen maatregel die het risico volledig zal verwijderderen)
– Verkleind (tegen maatregel die het risico voor een deel zal verwijderen)
– Genegeerd (geen behandeling van het risico bespreken, niet aangeraden)
– Geaccepteerd (geen maatregelen te treffen en het risico houden)
– Gespreid (het object waar het risico op bestaat voor een deel weg nemen en over andere objecten uit spreiden)

Zet dit eveneens in een excel sheet en sorteer ze op risicofactor.

5. Selectie van Maatregelen

Vaak wordt er voor gekozen om het risico te verkleinen of geheel te dekken. Dit wordt gerealiseerd door middel van maatregelen. Er zijn lijsten met maatregelen in allerlei vormen voor zowel over het systeem, het proces of de mens in de organisatie. Deze maatregelen kunnen dan vervolgens ook weer uitgesplitst worden door de drie kwaliteitsaspecten van informatiebeveiliging: Beschikbaarheid, Integriteit en Vertrouwelijkheid. De maatregelen kunnen bijvoorbeeld:

Geselecteerd en aangeleverd worden door een externe partij in de vorm van een adviesrapport
Geselecteerd worden uit de informatiebeveiliging ISO standaard met een lange lijst maaregelen (de ISO27002 – http://www.iso.org/iso/catalogue_detail?csnumber=54533)
Geselecteerd worden uit een brainstorm sessie met de stakeholders en of security experts.
Schat de kosten en gebruik van bestaande resources in per maatregel in en zet dit in een Excel sheet waarna er gesorteerd kan worden op lage inzet en lage kosten.

6. Implementeer de maatregelen

Begin met de “quick wins” (de maatregelen die een lage kosten en lage inzet benodigd hebben maar wel grote risico dekking verzorgen) en ga dan vervolgens over naar gemiddelde kosten en gemiddelde inzet voor de maatregelen te implementeren enzovoort. Elke maatregel of groep maatregelen hebben hun eigen PDCA (Plan, Do, Check, Act) cyclus. Nu is de Plan en Do gedaan en (bij voorkeur) wordt er geadviseerd om jaarlijks te kijken door middel van de Check en Act stap om de maatregelen te controleren. Zodat er bepaald kan worden of deze nog optimaal de risico’s dekken waar ze initieel voor geïmplementeerd zijn.

In welke andere situaties kan dataclassificatiemodel toegepast worden?
In dit artikel is beschreven hoe het model toegepast wordt in een informatiebeveiligingsproces om risico’s te dekken. Het kan ook toegepast worden in de volgende situaties:

Plan van aanpak van een nieuw project zodat de dataclassifcatie al wordt meegenomen in de architectuur van bijvoorbeeld een nieuw bedrijfsproces, systeem of training voor mensen.
In de templates van word documenten in uw organisatie, dit kan in de vorm van een dropdown lijst met verschillende dataclassificaties.
Op SharePoint de metadata meegeven waar het dataclassificatie model wordt toegepast.
Daarnaast kan het nog in vele andere situaties toegepast worden.