Gegevensclassificatie – Een ijzersterk programma opzetten en presenteren
In ons laatste deel bespreken we hoe je alle eerder behandelde concepten samenbrengt in een actieplan. Het verschil tussen het succes en falen van een dataclassificatieprogramma is het gebrek aan actie. In mijn professionele loopbaan heb ik meer dan 10 programma’s beoordeeld en een gebrek aan actie bleek telkens de belangrijkste oorzaak van mislukking. Ideeën zijn makkelijk te begrijpen en eenvoudig te communiceren, maar moeilijk uit te voeren. Daarom heb je een plan nodig. Het doel van deze blog post is om je voldoende achtergrond en inzicht te geven, gebaseerd op ervaring, om een plan te ontwikkelen. Laat ik duidelijk zijn: dit is geen plan. Dit is een framework, iets dat je kunt uitwerken tot een plan en op een slimme manier kunt presenteren aan het senior management. Het onderstaande geeft je de tools om de benodigde organisatieleiders te overtuigen om een succesvol Data Classification-programma te implementeren.
Bedrijfsmatige Obstakels
Allereerst moeten we het onbesproken probleem aanpakken. Data Classification legt in het beste geval de tekortkomingen bloot in de meeste bedrijfsstrategieën voor data management. Gegevensbeheer, of informatiebeheer, is een concept van de 21e eeuw. Voorheen was de strategie om alles te bewaren of alles te verwijderen. 99% van de bedrijven bewaarde alles voor altijd. De vraag waarom bedrijven zoveel data bewaren kwam tot een hoogtepunt bij het datalek van Sony Pictures in 2014. De hoeveelheid en diversiteit aan data (films, e-mails, financiële gegevens) die werd blootgelegd, was enorm. Het datalek zorgde ervoor dat elke raad van bestuur even stilstond bij hun eigen data-exposure.
“Data Classification legt in het beste geval de tekortkomingen bloot in de meeste bedrijfsstrategieën voor data management.”
De bezinning duurde echter niet lang. Organisaties wilden dit probleem integraal aanpakken, maar deden dat niet. De reden is simpel. Het is EXTREEM duur om dit probleem aan te pakken als een organisatie daar niet vanaf het begin op is ingericht. Wanneer men zich realiseert dat het probleem niet volledig oplosbaar is, schakelen teams over op een selectief, ad-hoc proces dat zich richt op de meest gevoelige data van het bedrijf.
Zijn er Datatypes of Groepen die je Kunt Overslaan?
Het korte antwoord is ja. Juridische afdelingen van bedrijven hebben meestal een documentmanagementsysteem (zoals eDOCS, NetDocs, Documentum) dat wordt gebruikt om hun documenten te organiseren en beheren. Deze juridische teams moeten voldoen aan bewaartermijnen en classificatiestandaarden en -vereiste die door rechtbanken zijn vastgesteld. Een andere groep die historisch gezien wordt uitgesloten van dataclassificatieactiviteiten zijn compliance-teams. Ook zij volgen vereiste die zijn vastgesteld door de toezichthouder die de organisatie reguleert.
Vier Niveaus van Data
De onderstaande tabel is een typisch voorbeeld van een dataclassificatieschema:
Je zult merken dat het merendeel van de data die door de organisatie wordt gebruikt en geproduceerd als “Vertrouwelijk” wordt geclassificeerd. Dit is normaal.
Verwachte Resultaten
Elke organisatie is anders, maar de algemene regels blijven hetzelfde:
De verhouding “Zeer Vertrouwelijke” data is echter het belangrijkste om mee te nemen. Zodra je met het management om tafel zit, moet je de meest gevoelige data binnen je organisatie identificeren. Dit zou eenvoudig moeten zijn. Als het totaal aan Zeer Vertrouwelijke data echter boven de 3% uitkomt, moet je opnieuw in gesprek, want de scope van Zeer Vertrouwelijke data moet dan waarschijnlijk worden aangepast of herzien. Een voorbeeld uit IT/Cyber illustreert dit punt. Meestal is er maar één bestand dat als Zeer Vertrouwelijk wordt beschouwd in IT/Cyber: het Risk Register. Alles daarbuiten wordt als Vertrouwelijk geclassificeerd.
Welke Tools Moet ik Aanschaffen?
Tot nu toe hebben we het bij dataclassificatie vooral gehad over mensen en processen. Dat komt omdat tooling voor Data Classification niet uit één tool bestaat; het is een capaciteit waarvoor diverse tools nodig zijn. Dit is niet anders dan bij andere capaciteiten. Je e-mail DLP-platform is bijvoorbeeld anders dan je CASB of web content firewall. Door de jaren heen zijn er meerdere leveranciers actief geweest in deze markt. De grote speler die ik heb gebruikt en waar ik nog steeds goede verhalen over hoor, is Spirion (voorheen IdentityFinder). Voor zover ik weet zijn er maar een paar leveranciers die data labeling doen. Oracle is daar een voorbeeld van. Leveranciers van dataclassificatie zijn vaak DLP-leveranciers of leveranciers van file activity monitoring zoals Varonis of STEALTHbits.
“Een succesvol programma moet zich ook richten op bedrijfsprocessen in plaats van technologie.”
De beste leverancier is degene die past bij jouw vereiste en use case. De allergoedkoopste is waarschijnlijk de beste optie, want er is vrijwel geen return on investment voor het uitvoeren van dataclassificatie of labeling in een product. Je moet de omgeving aanpassen aan persoonlijk identificeerbare informatie (PII), beschermde gezondheidsinformatie (PHI), Payment Card Industry (PCI), enzovoort, dus wat levert een leverancier je op? (Ik overdrijf een beetje voor het effect, maar je begrijpt mijn punt).
Tot Slot
Een CISO kan niet in zijn eentje een Data Classification-capaciteit opbouwen. Succesvolle programma’s betrekken Risicobeheer, Juridische zaken en Compliance. Een succesvol programma moet zich ook richten op bedrijfsprocessen in plaats van technologie. De wereldwijde overstap naar data warehouse-oplossingen onderstreept deze noodzaak. Datawarehouses zijn ontworpen om onbeperkte data-integratie en toegankelijkheid te bieden. Ze stellen bedrijven in staat nieuwe kansen te ontdekken die sales, marketing en operationele efficiëntie stimuleren. Dit wordt bereikt door het opheffen van de historische datascheiding in applicatiespecifieke databases, alle data samen te brengen en te verrijken met andere databronnen. Vanuit classificatieperspectief zijn de klassieke cybersecuritymaatregelen in deze systemen volledig losgelaten ten gunste van toegankelijkheid. Succesvolle Data Classification-programma’s lopen op deze uitdagingen vooruit door vanaf het begin onderdeel te zijn van het ontwerpproces. Het laatste element van een succesvol programma is het besef dat je niet alles tegelijk kunt aanpakken; focus op de data die ertoe doet. Dit bereik je alleen door samen met de business teams hun lijst met Zeer Vertrouwelijke data op te stellen. Focus opnieuw op de belangrijkste data van de business unit. Als het totaal aan Zeer Vertrouwelijke data meer dan 3% van de totale databron van de afdeling bedraagt, herzie dan de datatypes. Anders zullen de controles rondom het omgaan met Zeer Vertrouwelijke data de business ernstig belemmeren, wat het einde betekent van je Data Classification-programma.
Veelgestelde vragen
Beveiligde bestandsoverdracht is een proces waarmee bestanden veilig en efficiënt gedeeld of overgedragen kunnen worden via een netwerk of het internet, terwijl de beveiliging en integriteit van de gegevens wordt gewaarborgd. Hierbij worden protocollen gebruikt zoals Secure File Transfer Protocol (SFTP), File Transfer Protocol Secure (FTPS) of Hypertext Transfer Protocol Secure (HTTPS) om encryptie en beveiligde kanalen voor gegevensoverdracht te bieden. Deze methode is essentieel in diverse sectoren, waaronder R&D, het hoger onderwijs en overheidsinstanties, waar gevoelige gegevens veilig gedeeld moeten worden. Belangrijke kenmerken van beveiligde bestandsoverdracht zijn encryptie, toegangscontroles en overdrachtsversnelling, waardoor veilige en efficiënte gegevensoverdrachten mogelijk zijn, zelfs voor grote of complexe bestanden.
Het gebruik van beveiligde kanalen voor bestandsoverdracht helpt gegevens te beschermen tijdens de overdracht, waardoor privacy en integriteit van data worden gewaarborgd. Het biedt ook een registratie van gegevensoverdrachten, wat nuttig kan zijn voor tracking en monitoring, en om naleving van regelgeving voor gegevensbescherming aan te tonen.
Beheerde bestandsoverdracht (MFT: Managed File Transfer) is een technologie die veilige en efficiënte gegevensoverdracht tussen systemen binnen en tussen organisaties mogelijk maakt. In tegenstelling tot standaardprotocollen voor bestandsoverdracht zoals FTP, bieden MFT-oplossingen verbeterde beveiliging en controle, waarbij gebruik wordt gemaakt van beveiligde protocollen zoals SFTP, FTPS en HTTPS voor gegevensoverdracht. Ze bieden ook functies zoals automatisering, planning, realtime monitoring en meldingen voor bestandsoverdrachtactiviteiten, waardoor organisaties het overdrachtsproces effectiever kunnen beheren. MFT is met name waardevol in sectoren die regelmatig grote hoeveelheden gevoelige data overdragen, zoals de financiële sector, zorgprocessen en retail, en zorgt voor naleving van diverse beveiligings- en privacyregelgeving.
Secure File Transfer Protocol (SFTP) is een netwerkprotocol dat functionaliteiten biedt voor bestandstoegang, overdracht en beheer via elke betrouwbare datastroom, meestal gebruikt met het SSH-2-protocol voor een veilige bestandsoverdracht. SFTP versleutelt zowel commando’s als data, waardoor het open verzenden van wachtwoorden en gevoelige informatie over het netwerk wordt voorkomen en de integriteit en privacy van gegevens wordt gewaarborgd. In vergelijking met standaard FTP ondersteunt SFTP robuustere functies zoals het hervatten van onderbroken overdrachten, directory-overzichten en het op afstand verwijderen van bestanden, waardoor het een veelzijdig hulpmiddel is voor het beheren van beveiligde bestandsoverdrachten. Binnen oplossingen voor beveiligde bestandsoverdracht maakt SFTP, in combinatie met encryptie, toegangscontroles en overdrachtsversnelling, efficiënte en veilige gegevensoverdrachten mogelijk, zelfs voor grote bestanden of complexe datasets.
Kiteworks biedt functies zoals AES 128-bit encryptie, beveiligde e-mail en een beveiligde container voor offline toegang. Daarnaast zijn er uitgebreide, onveranderbare audit logs en integratie met bestaande beveiligingsinfrastructuur, waardoor het een robuuste oplossing is voor beveiligde bestandsoverdracht. Kiteworks ondersteunt de overdracht van grote bestanden tot 16 TB en biedt native mobiele apps voor Android en iOS met functies als beveiligde e-mail, bestandsoverdracht en offline toegang. Beheerders kunnen beveiligde formulieren aanmaken voor conforme bestandsuploads en het platform biedt mogelijkheden voor aanpassing van branding, uiterlijk en tekst.