Hoe krijg ik zicht en grip op mijn belangrijkste data?
Doelgroep:
Dit artikel richt zich op professionals die de digitale veiligheid rondom data willen verbeteren, maar nog zoeken naar een goede aanpak.
In samenwerking met:
CISO’s en adviseurs van het Ministerie van Infrastructuur en Waterstaat; en Bluebird & Hawk
Definities:
Data is ruwe, ongeorganiseerde feiten of waarden. Denk aan getallen, tekstfragmenten, meetwaarden, logs of bestanden. Op zichzelf zegt ‘data’ vaak nog niet zoveel: het is contextloos.
Informatie is data die is verwerkt, geanalyseerd of geïnterpreteerd en daardoor betekenis krijgt. Wanneer data in context wordt gezet spreek je van informatie.
Data-identificatie is het proces waarbij een organisatie in kaart brengt welke data er is en waar deze zich bevindt.
Data-classificatie is het toekennen van een gevoeligheidslabel aan data, op basis van de waarde en het risico voor de organisatie.
Achtergrond
Door digitalisering staan organisaties voor een steeds complexer wordende uitdaging, namelijk het behouden van zicht en grip op hun essentiële data. Deze bevindt zich niet langer op één centrale plek, maar beweegt continu van eigen datacenters naar commerciële cloudomgevingen, en over publieke en private netwerken. De technologische vooruitgang biedt enorme schaalbaarheid en flexibiliteit, maar maakt het tegelijkertijd moeilijker om te bepalen waar kritieke data zich bevindt, wie er allemaal toegang toe heeft, en hoe deze beschermd wordt.
Zonder een helder overzicht en risicobeperkende maatregelen lopen organisaties het risico op datalekken, compliance-problemen en operationele inefficiëntie. Het is daarom essentieel dat organisaties de manier waarop zij omgaan met hun data aanpassen aan deze nieuwe realiteit. Alle data maximaal beschermen is een utopie en ook onnodig duur en inefficiënt.
Door zicht te krijgen op de te beschermen belangen van de organisatie en de relatie te leggen met de data krijgen organisaties zicht op de belangrijkste data, kan zij de datastromen hiervan in kaart brengen en kan de organisatie met gerichte inspanning aan de slag met de grootste risico’s.
Dit artikel biedt praktische eerste stappen richting een niveau van databeheer dat digitale weerbaarheid op data-niveau mogelijk maakt. We hebben een aantal stappen opgenomen die je helpen om zicht en grip te krijgen op jouw data. We laten aan de hand van een voorbeeld zien hoe je deze stappen kunt toepassen. Deze voorbeelden zijn gebaseerd op ervaringsverhalen uit de praktijk.
Stap 1: Breng je data in kaart
Zicht krijgen op data binnen een organisatie is een complexe opgave. Veel organisaties beschikken over grote hoeveelheden data die verspreid zijn over diverse systemen, applicaties en apparaten. Om grip te krijgen op deze complexiteit is het essentieel om gestructureerd te werk te gaan.
1. Begin bij jouw te beschermen belangen
Een effectieve eerste stap is om te beginnen bij de data die verbonden is aan de grootste te beschermen belangen van de organisatie (risico-gebaseerde aanpak). Denk aan processen zoals salarisverwerking, klantbeheer, productie of dienstverlening. Door eerst te focussen op één van de kernprocessen, zorg je ervoor dat je inspanningen gericht zijn op de gebieden met de grootste impact op de digitale veiligheid en compliance én voorkom je dat je verdrinkt in de hoeveelheid beschikbare informatie.
2. Breng de data rondom de belangrijkste IT-systemen in kaart
Identificeer welke IT-systemen direct bijdragen aan het proces waar je op focust. Vervolgens ontleed je de verschillende deelsystemen, applicaties en apparaten die de organisatie gebruikt rondom dit systeem. Dit doe je door bijvoorbeeld te praten met mensen die werken aan het proces waar je op focust of met de systemen die hierin worden gebruikt. Focus niet alleen op de data die verwerkt wordt, maar ook op data die essentieel is voor het functioneren van kritieke systemen, zoals beheerdocumentatie en systeeminstellingen.
Daarnaast ga je op zoek naar documenten, rapporten en systemen die inzicht geven in het beheer van IT-risico’s.
Denk aan:
- verslagen van risico-analyses die in het verleden zijn uitgevoerd
- een eventueel bestaand gegevens verwerkingsregister
- of een information Security Management System (ISMS) indien jouw organisatie die heeft.
3. Onderzoek waar data zich bevindt binnen en rondom deze systemen
Wanneer je de belangrijkste IT-systemen, applicaties en apparaten hebt geïdentificeerd, is de volgende stap om te onderzoeken waar de data zich bevindt en hoe deze onderling wordt uitgewisseld.
Dit onderzoek richt zich op twee hoofdvragen:
Kijk bij deze vraag naar zowel permanente als tijdelijke opslaglocaties van data (vaak aangeduid als “data at rest”). Denk hierbij aan databases, fileshares, lokale opslag op apparaten zoals een smartphone en cloudomgevingen.
Ga vervolgens de verbindingen na waarlangs data wordt uitgewisseld. Kijk hierbij naar interne datauitwisseling binnen de organisatie en naar externe datauitwisseling met derde partijen zoals leveranciers. Denk aan zaken zoals netwerkverbindingen, API-koppelingen, cloudopslag, externe toegang voor derde en andere vormen van datauitwisseling (vaak aangeduid als data in transit).
Door met deze twee vragen aan de slag te gaan, krijg je grip op de data-architectuur rondom kritieke processen en kun je in de volgende stappen gerichter risico’s identificeren en eventueel beheersen.
Voorbeeld
Stap 1: Wat is het te beschermen belang?
Een correcte en tijdige uitbetaling van salarissen is essentieel voor de continuïteit van organisatie X en het welzijn van medewerkers. Fouten of verstoringen in dit proces leiden tot financiële schade, productieverlies en juridische gevolgen.
Stap 2: Welk IT-systeem ondersteunt dit belang?
Uit gesprekken met mensen die met de systemen werken blijkt dat het HRM-systeem de kern van het uitbetalen-persoon-proces vormt. Dit systeem is gekoppeld aan het financiële systeem, de tijdregistratie en het medewerkersportaal.
Stap 3: Welke data leeft rondom dit systeem?
Na het lezen van een verouderd verwerkingsregister en een verslag van een risicoanalyse doet men aanvullend een paar interviews met mensen die meer context kunnen geven. Dit tezamen levert het volgende beeld op:
HRM-systeem: persoonsgegevens, contractgegevens, loonafspraken, verlof- en ziektegegevens.
Financieel systeem: bankrekeningnummers, salarisbedragen, belastingafdrachten.
Tijdregistratie: gewerkte uren, overuren, ploegendiensten.
Medewerkersportaal: loonstroken, jaaropgaven, communicatie over salaris.
Stap 4: Hoe wordt data uitgewisseld?
Een gesprek met de IT-beheerder en een functioneel beheerder van het HRM-systeem die al vele jaren bij de organisatie werkt geeft inzicht in de manier waarop data wordt uitgewisseld. Namelijk:
- Er is een automatische koppeling tussen HRM- en financieel systeem voor de loonbetalingen.
- Er betaat een periodieke synchronisatie van de tijdregistratiegegevens met het salarissysteem.
- Er is een externe uitwisseling met de bank voor betalingen en met de Belastingdienst.
- Ook worden overzichten gemaakt voor de accountant, deze worden via een afgeschermde cloud-drive met de accountant gedeeld.
Stap 2: Maak een dataclassificatieschema
Als je hebt vastgesteld wat het gevolg is van dataverlies, ongewenste wijzigingen of misbruik van data, dan is de volgende stap om passende maatregelen te nemen om dit te voorkomen. Hou de maatregelen overzichtelijk door een classificatieschema te gebruiken. Breng de waardering van de gevoeligheid van de data terug tot drie of vier classificaties, en bepaal per classificatie wat een passend niveau van veiligheid moet zijn. Kies vervolgens per classificatie de maatregelen die daarbij horen.
1. Kies je classificatieniveaus op basis van de impact
Houd het overzichtelijk. Te veel verschillende classificaties maakt het moeilijker toepasbaar. Drie of vier is voor de meeste situaties voldoende.
Voorbeelden van classificaties zijn de volgende:
Publieke informatie is al openbaar, bedoeld voor openbaarmaking of er is geen enkel vertrouwensrisico voor de organisatie als deze informatie openbaar wordt gemaakt. De informatie moet echter wel correct en beschikbaar zijn.
Voorbeelden: informatie op de website, persberichten, marketingcampagnes, vacatureteksten
Intern is niet bedoeld voor openbaarmaking. Wanneer interne data openbaar wordt gemaakt heeft dit beperkte gevolgen voor de organisatie.
Voorbeelden: beleidsstukken, werkinstructies (behalve veiligheidsprocedures), nieuwsbrieven, beoogd publieke informatie vóór de datum van publicatie.
Data is vertrouwelijk wanneer openbaarmaking, aantasting of onbeschikbaarheid wezenlijke gevolgen heeft, zoals financiële schade, wettelijke consequenties of reputatieschade.
Voorbeelden: persoonsgegevens, ontwerpdocumentatie en broncode van eigen producten, veiligheidsprocedures, lopende juridische zaken, beursgevoelige informatie.
Geheime informatie brengt een uitzonderlijk groot risico op schade met zich mee.
Deze rubricering is doorgaans van toepassing op specifieke situaties van dezelfde aard als vertrouwelijke informatie. Denk hier aan intelectueel eigendom.
Bepaal drempelwaarden, criteria en triggers wanneer data een bepaalde classificatie krijgt, of wanneer die kan veranderen. Neem wettelijke vereisten hierin mee. Zo zijn de jaarcijfers voor een beursgenoteerd bedrijf in eerste instantie vertrouwelijk, tot het moment van publicatie.
Neem in je classificatieschema ook wettelijke vereisten voor bepaalde soorten data mee. Zo bevat de Algemene Verordening Gegevensbescherming (AVG) verantwoordelijkheden van een organisatie voor het verwerken van persoonsgegevens. Deze verantwoordelijkheden moeten zich vertalen in de juiste maatregelen, die horen bij een bepaald classificatieniveau.
2. Bepaal maatregelen die bij ieder classificatieniveau passen
Door data juist te classificeren stel je jezelf in staat om de juiste maatregelen te treffen voor een passend niveau van digitale weerbaarheid. Als je dit namelijk niet goed ingebed hebt, zorgt het niet hebben van een juist dataclassificatiebeleid ervoor dat beperkte middelen verkeerd worden ingezet. Denk aan overbodige maatregelen die op hun beurt een vals gevoel van veiligheid creëren.
Gebruik voor elke classificatie bijvoorbeeld de 5 basisprincipes om de maatregelen te vast te stellen. Hier bepaal je dus voor elk niveau de risico’s, waardoor je maatregelenpakket uitgebreider wordt naarmate de data gevoeliger is. Maatregelen zijn er niet alleen om incidenten te voorkomen. Bedenk ook wat je kunt doen om compromittatie van gevoeligere informatie sneller te detecteren, en hoe je moet ingrijpen wanneer een incident zich toch voordoet.
3. Begin klein
Met het vorige hoofdstuk heb je data geïdentificeerd die belangrijk is voor de organisatie. Pas vervolgens het classificatieschema toe op deze data.
Houd het simpel en start waar nodig met het classificeren van volledige datasets, in plaats van losse gegevens. Dit kost veel minder tijd, zorgt dat je wel voortgang boekt en vormt een stevige basis voor vervolgstappen waarbij je meer gedetailleerd aan de slag gaat.
4. Maak van dataclassificatie een continu proces
Bepaal wat je ervaringen met de eerste iteratie zijn en waar je classificatieschema eventueel op kan worden verbeterd. Ga met de verbeterde versie opnieuw aan de slag met een nieuwe set aan data. Zo wordt classificatie een doorlopend proces.
5. Laat classificatie leven in de werkcultuur
Dataclassificatie werkt alleen als de hele organisatie meewerkt. Helaas kan het gebeuren dat dataclassificatie en de organisatiecultuur met elkaar botsen:
Medewerkers kunnen geneigd zijn data lager te classificeren om makkelijker te kunnen werken. Zorg er voor dat maatregelen acceptabel en werkbaar zijn, en dat medewerkers het belang van de maatregelen begrijpen. Neem de gebruikservaring mee in de periodieke evaluatie. Pas je maatregelen erop aan; een maatregel die optimaal veilig is maar door iedereen wordt omzeild is niet effectief. Wanneer gebruikers een maatregel verlangen die niet het gewenste niveau van weerbaarheid haalt, onderzoek dan of je het restrisico op een andere manier kunt afdekken, bijvoorbeeld met detectie of respons.
Omdat medewerkers fouten willen vermijden, classificeren ze soms bepaalde data “voor de zekerheid” te hoog. Zorg er in dit geval voor dat je medewerkers bewust maakt van wat een bepaalde classificatie inhoudt en onderzoek hoe je beter aan kunt sluiten bij de organisatiecultuur.
Voorbeeld
Classificatie
Alle data in dit proces kan worden geclassificeerd als vertrouwelijk. Veel van de data kan worden herleid naar personen en vallen daarom onder de AVG. Financiële transacties hechten daarnaast ook grote waarde aan de integriteit van de data: als de berekeningen niet kloppen worden verkeerde bedragen uitgekeerd. Toegang tot al deze data door ongeautoriseerde gebruikers is daarom zeer ongewenst.
Maatregelen
Organisatie X kiest ervoor om de volgende maatregelen te nemen op de betrokken systemen.
Preventie:
- Administratieve medewerkers die in de systemen werken (back-end) moeten een Verklaring Omtrent Gedrag kunnen overleggen.
- Administratieve medewerkers moeten inloggen met tweefactorauthenticatie via een authenticator-app op hun telefoon.
- Medewerkers die voor hun eigen administratie moeten inloggen (front-end) krijgen een jaarlijkse voorlichting over veilig digitaal werken.
- De cloud-drive waardoor de accountant de gegevens krijgt wordt beveiligd met extra encryptie, waarbij de accountant de decryptiesleutel via een ander communicatiekanaal ontvangt.
Detectie:
- Alle transactielogboeken worden jaarlijks geaudit en beschikbaar gesteld aan de accountant.
- Elk kwartaal moet de leidinggevende de lijst van geautoriseerde medewerkers doornemen, voor het geval het intrekken van autorisaties bij uitdiensttreding niet is gebeurd.
- Bij het inloggen toont het systeem de laatste datum en tijd dat die gebruiker was ingelogd.
Verbeterproces
Uit feedback blijkt dat administratief medewerkers de tweefactorauthenticatie omslachtig vinden aangezien ze meerdere keren per dag inloggen, en niet elke keer hun telefoon voor de authenticator-app erbij willen pakken. Er wordt besloten om voor de back-end-accounts over te stappen op passkeys, zodat het inloggen sneller gaat en de accounts zelfs iets beter zijn beschermd tegen phishing.
Tot slot
Er komt voortdurend nieuwe data bij. Probeer niet alles zelf bij te houden, maar zorg dat je organisatie zelf in staat is om classificaties toe te passen via een duidelijk proces. Zorg ook voor een aanspreekpunt waar medewerkers terechtkunnen voor hulp en het aandragen van verbeteringen. Evalueer regelmatig of het classificatieschema nog werkt, de maatregelen afdoende zijn en het proces goed verloopt. Heb je hier meer ervaring mee opgedaan? Dan kun je gaan experimenteren met geautomatiseerde tools die de organisatie hierbij ondersteunen.