Gegevensclassificatie – Een ijzersterk programma opzetten en presenteren

Gegevensclassificatie – Een ijzersterk programma opzetten en presenteren

In ons laatste deel bespreken we hoe je alle eerder behandelde concepten samenbrengt in een actieplan. Het verschil tussen het succes en falen van een dataclassificatieprogramma is het gebrek aan actie. In mijn professionele loopbaan heb ik meer dan 10 programma’s beoordeeld en een gebrek aan actie bleek telkens de belangrijkste oorzaak van mislukking. Ideeën zijn makkelijk te begrijpen en eenvoudig te communiceren, maar moeilijk uit te voeren. Daarom heb je een plan nodig. Het doel van deze blog post is om je voldoende achtergrond en inzicht te geven, gebaseerd op ervaring, om een plan te ontwikkelen. Laat ik duidelijk zijn: dit is geen plan. Dit is een framework, iets dat je kunt uitwerken tot een plan en op een slimme manier kunt presenteren aan het senior management. Het onderstaande geeft je de tools om de benodigde organisatieleiders te overtuigen om een succesvol Data Classification-programma te implementeren.

Bedrijfsmatige Obstakels

Allereerst moeten we het onbesproken probleem aanpakken. Data Classification legt in het beste geval de tekortkomingen bloot in de meeste bedrijfsstrategieën voor data management. Gegevensbeheer, of informatiebeheer, is een concept van de 21e eeuw. Voorheen was de strategie om alles te bewaren of alles te verwijderen. 99% van de bedrijven bewaarde alles voor altijd. De vraag waarom bedrijven zoveel data bewaren kwam tot een hoogtepunt bij het datalek van Sony Pictures in 2014. De hoeveelheid en diversiteit aan data (films, e-mails, financiële gegevens) die werd blootgelegd, was enorm. Het datalek zorgde ervoor dat elke raad van bestuur even stilstond bij hun eigen data-exposure.

“Data Classification legt in het beste geval de tekortkomingen bloot in de meeste bedrijfsstrategieën voor data management.”

De bezinning duurde echter niet lang. Organisaties wilden dit probleem integraal aanpakken, maar deden dat niet. De reden is simpel. Het is EXTREEM duur om dit probleem aan te pakken als een organisatie daar niet vanaf het begin op is ingericht. Wanneer men zich realiseert dat het probleem niet volledig oplosbaar is, schakelen teams over op een selectief, ad-hoc proces dat zich richt op de meest gevoelige data van het bedrijf.

Zijn er Datatypes of Groepen die je Kunt Overslaan?

Het korte antwoord is ja. Juridische afdelingen van bedrijven hebben meestal een documentmanagementsysteem (zoals eDOCS, NetDocs, Documentum) dat wordt gebruikt om hun documenten te organiseren en beheren. Deze juridische teams moeten voldoen aan bewaartermijnen en classificatiestandaarden en -vereiste die door rechtbanken zijn vastgesteld. Een andere groep die historisch gezien wordt uitgesloten van dataclassificatieactiviteiten zijn compliance-teams. Ook zij volgen vereiste die zijn vastgesteld door de toezichthouder die de organisatie reguleert.

Vier Niveaus van Data

De onderstaande tabel is een typisch voorbeeld van een dataclassificatieschema:

Data Classification Schedule

Je zult merken dat het merendeel van de data die door de organisatie wordt gebruikt en geproduceerd als “Vertrouwelijk” wordt geclassificeerd. Dit is normaal.

Verwachte Resultaten

Elke organisatie is anders, maar de algemene regels blijven hetzelfde:

General Rules

De verhouding “Zeer Vertrouwelijke” data is echter het belangrijkste om mee te nemen. Zodra je met het management om tafel zit, moet je de meest gevoelige data binnen je organisatie identificeren. Dit zou eenvoudig moeten zijn. Als het totaal aan Zeer Vertrouwelijke data echter boven de 3% uitkomt, moet je opnieuw in gesprek, want de scope van Zeer Vertrouwelijke data moet dan waarschijnlijk worden aangepast of herzien. Een voorbeeld uit IT/Cyber illustreert dit punt. Meestal is er maar één bestand dat als Zeer Vertrouwelijk wordt beschouwd in IT/Cyber: het Risk Register. Alles daarbuiten wordt als Vertrouwelijk geclassificeerd.

Welke Tools Moet ik Aanschaffen?

Tot nu toe hebben we het bij dataclassificatie vooral gehad over mensen en processen. Dat komt omdat tooling voor Data Classification niet uit één tool bestaat; het is een capaciteit waarvoor diverse tools nodig zijn. Dit is niet anders dan bij andere capaciteiten. Je e-mail DLP-platform is bijvoorbeeld anders dan je CASB of web content firewall. Door de jaren heen zijn er meerdere leveranciers actief geweest in deze markt. De grote speler die ik heb gebruikt en waar ik nog steeds goede verhalen over hoor, is Spirion (voorheen IdentityFinder). Voor zover ik weet zijn er maar een paar leveranciers die data labeling doen. Oracle is daar een voorbeeld van. Leveranciers van dataclassificatie zijn vaak DLP-leveranciers of leveranciers van file activity monitoring zoals Varonis of STEALTHbits.

“Een succesvol programma moet zich ook richten op bedrijfsprocessen in plaats van technologie.”

De beste leverancier is degene die past bij jouw vereiste en use case. De allergoedkoopste is waarschijnlijk de beste optie, want er is vrijwel geen return on investment voor het uitvoeren van dataclassificatie of labeling in een product. Je moet de omgeving aanpassen aan persoonlijk identificeerbare informatie (PII), beschermde gezondheidsinformatie (PHI), Payment Card Industry (PCI), enzovoort, dus wat levert een leverancier je op? (Ik overdrijf een beetje voor het effect, maar je begrijpt mijn punt).

Tot Slot

Een CISO kan niet in zijn eentje een Data Classification-capaciteit opbouwen. Succesvolle programma’s betrekken Risicobeheer, Juridische zaken en Compliance. Een succesvol programma moet zich ook richten op bedrijfsprocessen in plaats van technologie. De wereldwijde overstap naar data warehouse-oplossingen onderstreept deze noodzaak. Datawarehouses zijn ontworpen om onbeperkte data-integratie en toegankelijkheid te bieden. Ze stellen bedrijven in staat nieuwe kansen te ontdekken die sales, marketing en operationele efficiëntie stimuleren. Dit wordt bereikt door het opheffen van de historische datascheiding in applicatiespecifieke databases, alle data samen te brengen en te verrijken met andere databronnen. Vanuit classificatieperspectief zijn de klassieke cybersecuritymaatregelen in deze systemen volledig losgelaten ten gunste van toegankelijkheid. Succesvolle Data Classification-programma’s lopen op deze uitdagingen vooruit door vanaf het begin onderdeel te zijn van het ontwerpproces. Het laatste element van een succesvol programma is het besef dat je niet alles tegelijk kunt aanpakken; focus op de data die ertoe doet. Dit bereik je alleen door samen met de business teams hun lijst met Zeer Vertrouwelijke data op te stellen. Focus opnieuw op de belangrijkste data van de business unit. Als het totaal aan Zeer Vertrouwelijke data meer dan 3% van de totale databron van de afdeling bedraagt, herzie dan de datatypes. Anders zullen de controles rondom het omgaan met Zeer Vertrouwelijke data de business ernstig belemmeren, wat het einde betekent van je Data Classification-programma.

Aanvullende Bronnen

  • Rapport Benchmark uw privacy en compliance van gevoelige contentcommunicatie
  • Blog Post Wat is een Private Content Network?
  • Blog Post Kiteworks gebruikt zijn eigen Private Content Network
  • ArtikelBeheer van beveiligingsrisico’s [Information Risk & Assessment] –
  • Blog PostVirtuele dataruimten gebruiken voor beveiligde bestandsoverdracht –

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks