Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

De kunst van databeheersing in een digitale wereld

Kennisartikelen
Leestijd:
Databeveiliging
Groeien
De data van jouw organisatie beschermen is essentieel. Het volledig beschermen van alle data binnen de organisatie is voor veel organisaties echter niet alleen onrealistisch, maar ook kostbaar en inefficiënt. Door zicht en grip te krijgen op jouw belangrijkste data kun jij vervolgens passende maatregelen nemen om deze te beschermen. Van chaos naar controle.

Doelgroep:

Dit artikel richt zich op professionals die de digitale veiligheid rondom data willen verbeteren, maar nog zoeken naar een goede aanpak.

In samenwerking met:

CISO’s en adviseurs van het Ministerie van Infrastructuur en Waterstaat; en Bluebird & Hawk

Definities:

Data is ruwe, ongeorganiseerde feiten of waarden. Denk aan getallen, tekstfragmenten, meetwaarden, logs of bestanden. Op zichzelf zegt ‘data’ vaak nog niet zoveel: het is contextloos.

Informatie is data die is verwerkt, geanalyseerd of geïnterpreteerd en daardoor betekenis krijgt. Wanneer data in context wordt gezet spreek je van informatie.

Data-identificatie is het proces waarbij een organisatie in kaart brengt welke data er is en waar deze zich bevindt.

Data-classificatie is het toekennen van een gevoeligheidslabel aan data, op basis van de waarde en het risico voor de organisatie.

Achtergrond

Door digitalisering staan organisaties voor een steeds complexer wordende uitdaging, namelijk het behouden van zicht en grip op hun essentiële data. Deze bevindt zich niet langer op één centrale plek, maar beweegt continu van eigen datacenters naar commerciële cloudomgevingen, en over publieke en private netwerken. De technologische vooruitgang biedt enorme schaalbaarheid en flexibiliteit, maar maakt het tegelijkertijd moeilijker om te bepalen waar kritieke data zich bevindt, wie er allemaal toegang toe heeft, en hoe deze beschermd wordt.

Zonder een helder overzicht en risicobeperkende maatregelen lopen organisaties het risico op datalekken, compliance-problemen en operationele inefficiëntie. Het is daarom essentieel dat organisaties de manier waarop zij omgaan met hun data aanpassen aan deze nieuwe realiteit. Alle data maximaal beschermen is een utopie en ook onnodig duur en inefficiënt.

Door zicht te krijgen op de te beschermen belangen van de organisatie en de relatie te leggen met de data krijgen organisaties zicht op de belangrijkste data, kan zij de datastromen hiervan in kaart brengen en kan de organisatie met gerichte inspanning aan de slag met de grootste risico’s.

Kunst van databeheersing piramide

Dit artikel biedt praktische eerste stappen richting een niveau van databeheer dat digitale weerbaarheid op data-niveau mogelijk maakt. We hebben een aantal stappen opgenomen die je helpen om zicht en grip te krijgen op jouw data. We laten aan de hand van een voorbeeld zien hoe je deze stappen kunt toepassen. Deze voorbeelden zijn gebaseerd op ervaringsverhalen uit de praktijk.

Stap 1: Breng je data in kaart

Zicht krijgen op data binnen een organisatie is een complexe opgave. Veel organisaties beschikken over grote hoeveelheden data die verspreid zijn over diverse systemen, applicaties en apparaten. Om grip te krijgen op deze complexiteit is het essentieel om gestructureerd te werk te gaan.

1.    Begin bij jouw te beschermen belangen

Een effectieve eerste stap is om te beginnen bij de data die verbonden is aan de grootste te beschermen belangen van de organisatie (risico-gebaseerde aanpak). Denk aan processen zoals salarisverwerking, klantbeheer, productie of dienstverlening. Door eerst te focussen op één van de kernprocessen, zorg je ervoor dat je inspanningen gericht zijn op de gebieden met de grootste impact op de digitale veiligheid en compliance én voorkom je dat je verdrinkt in de hoeveelheid beschikbare informatie.

2.    Breng de data rondom de belangrijkste IT-systemen in kaart

Identificeer welke IT-systemen direct bijdragen aan het proces waar je op focust. Vervolgens ontleed je de verschillende deelsystemen, applicaties en apparaten die de organisatie gebruikt rondom dit systeem. Dit doe je door bijvoorbeeld te praten met mensen die werken aan het proces waar je op focust of met de systemen die hierin worden gebruikt. Focus niet alleen op de data die verwerkt wordt, maar ook op data die essentieel is voor het functioneren van kritieke systemen, zoals beheerdocumentatie en systeeminstellingen.

Daarnaast ga je op zoek naar documenten, rapporten en systemen die inzicht geven in het beheer van IT-risico’s. Denk aan:

  • verslagen van risico-analyses die in het verleden zijn uitgevoerd
  • een eventueel bestaand gegevens verwerkingsregister
  • of een information Security Management System (ISMS) indien jouw organisatie die heeft.

3.    Onderzoek waar data zich bevindt binnen en rondom deze systemen

Wanneer je de belangrijkste IT-systemen, applicaties en apparaten hebt geïdentificeerd, is de volgende stap om te onderzoeken waar de data zich bevindt en hoe deze onderling wordt uitgewisseld.
Dit onderzoek richt zich op twee hoofdvragen:

  1. Waar wordt data opgeslagen?
    Kijk bij deze vraag naar zowel permanente als tijdelijke opslaglocaties van data (vaak aangeduid als “data at rest”). Denk hierbij aan databases, fileshares, lokale opslag op apparaten zoals een smartphone en cloudomgevingen.
  2. Hoe beweegt data tussen systemen?
    Ga vervolgens de verbindingen na waarlangs data wordt uitgewisseld. Kijk hierbij naar interne datauitwisseling binnen de organisatie en naar externe datauitwisseling met derde partijen zoals leveranciers. Denk aan zaken zoals netwerkverbindingen, API-koppelingen, cloudopslag, externe toegang voor derde en andere vormen van datauitwisseling (vaak aangeduid als data in transit).

Door met deze twee vragen aan de slag te gaan, krijg je grip op de data-architectuur rondom kritieke processen en kun je in de volgende stappen gerichter risico’s identificeren en eventueel beheersen.

Praktijkvoorbeeld:

Stap 2: Maak een dataclassificatieschema

Als je hebt vastgesteld wat het gevolg is van dataverlies, ongewenste wijzigingen of misbruik van data, dan is de volgende stap om passende maatregelen te nemen om dit te voorkomen. Hou de maatregelen overzichtelijk door een classificatieschema te gebruiken. Breng de waardering van de gevoeligheid van de data terug tot drie of vier classificaties, en bepaal per classificatie wat een passend niveau van veiligheid moet zijn. Kies vervolgens per classificatie de maatregelen die daarbij horen.

1.    Kies je classificatieniveaus op basis van de impact

Houd het overzichtelijk. Te veel verschillende classificaties maakt het moeilijker toepasbaar. Drie of vier is voor de meeste situaties voldoende. Voorbeelden van classificaties zijn de volgende:

Bepaal drempelwaarden, criteria en triggers wanneer data een bepaalde classificatie krijgt, of wanneer die kan veranderen. Neem wettelijke vereisten hierin mee. Zo zijn de jaarcijfers voor een beursgenoteerd bedrijf in eerste instantie vertrouwelijk, tot het moment van publicatie.

Neem in je classificatieschema ook wettelijke vereisten voor bepaalde soorten data mee. Zo bevat de Algemene Verordening Gegevensbescherming (AVG) verantwoordelijkheden van een organisatie voor het verwerken van persoonsgegevens. Deze verantwoordelijkheden moeten zich vertalen in de juiste maatregelen, die horen bij een bepaald classificatieniveau.

2.    Bepaal maatregelen die bij ieder classificatieniveau passen

Door data juist te classificeren stel je jezelf in staat om de juiste maatregelen te treffen voor een passend niveau van digitale weerbaarheid. Als je dit namelijk niet goed ingebed hebt, zorgt het niet hebben van een juist dataclassificatiebeleid ervoor dat beperkte middelen verkeerd worden ingezet. Denk aan overbodige maatregelen die op hun beurt een vals gevoel van veiligheid creëren.

visual weerbaarheid

Gebruik voor elke classificatie bijvoorbeeld de 5 basisprincipes om de maatregelen te vast te stellen. Hier bepaal je dus voor elk niveau de risico’s, waardoor je maatregelenpakket uitgebreider wordt naarmate de data gevoeliger is. Maatregelen zijn er niet alleen om incidenten te voorkomen. Bedenk ook wat je kunt doen om compromittatie van gevoeligere informatie sneller te detecteren, en hoe je moet ingrijpen wanneer een incident zich toch voordoet.

3.    Begin klein

Met het vorige hoofdstuk heb je data geïdentificeerd die belangrijk is voor de organisatie. Pas vervolgens het classificatieschema toe op deze data.

Houd het simpel en start waar nodig met het classificeren van volledige datasets, in plaats van losse gegevens. Dit kost veel minder tijd, zorgt dat je wel voortgang boekt en vormt een stevige basis voor vervolgstappen waarbij je meer gedetailleerd aan de slag gaat.

4.    Maak van dataclassificatie een continu proces

Bepaal wat je ervaringen met de eerste iteratie zijn en waar je classificatieschema eventueel op kan worden verbeterd. Ga met de verbeterde versie opnieuw aan de slag met een nieuwe set aan data. Zo wordt classificatie een doorlopend proces.

Datacentric

5.    Laat classificatie leven in de werkcultuur

Dataclassificatie werkt alleen als de hele organisatie meewerkt. Helaas kan het gebeuren dat dataclassificatie en de organisatiecultuur met elkaar botsen:

De (beveiligings-)maatregelen worden als omslachtig ervaren. 
Medewerkers kunnen geneigd zijn data lager te classificeren om makkelijker te kunnen werken. Zorg er voor dat maatregelen acceptabel en werkbaar zijn, en dat medewerkers het belang van de maatregelen begrijpen. Neem de gebruikservaring mee in de periodieke evaluatie. Pas je maatregelen erop aan; een maatregel die optimaal veilig is maar door iedereen wordt omzeild is niet effectief. Wanneer gebruikers een maatregel verlangen die niet het gewenste niveau van weerbaarheid haalt, onderzoek dan of je het restrisico op een andere manier kunt afdekken, bijvoorbeeld met detectie of respons.

Data wordt uit voorzorg te hoog geclassificeerd.
Omdat medewerkers fouten willen vermijden, classificeren ze soms bepaalde data “voor de zekerheid” te hoog. Zorg er in dit geval voor dat je medewerkers bewust maakt van wat een bepaalde classificatie inhoudt en onderzoek hoe je beter aan kunt sluiten bij de organisatiecultuur.

Praktijkvoorbeeld:

Tot slot

Er komt voortdurend nieuwe data bij. Probeer niet alles zelf bij te houden, maar zorg dat je organisatie zelf in staat is om classificaties toe te passen via een duidelijk proces. Zorg ook voor een aanspreekpunt waar medewerkers terechtkunnen voor hulp en het aandragen van verbeteringen. Evalueer regelmatig of het classificatieschema nog werkt, de maatregelen afdoende zijn en het proces goed verloopt. Heb je hier meer ervaring mee opgedaan? Dan kun je gaan experimenteren met geautomatiseerde tools die de organisatie hierbij ondersteunen.

Formulier
Heeft deze pagina je geholpen?