Wat is gegevensclassificatie? [4 veelvoorkomende typen]

Wat is dataclassificatie? Dataclassificatie is het organiseren van data in diverse categorieën om het beheer, de bescherming en het gebruik van deze data eenvoudiger te maken.

Wat is dataclassificatie?

Dataclassificatie maakt data ontoegankelijk voor onbevoegde kijkers of lezers om het delen van deze data voor persoonlijke, zakelijke of overheidsdoeleinden te minimaliseren. Deze data omvat doorgaans bedrijfsgeheimen, nationale geheimen of identificeerbare informatie die schade kan toebrengen aan personen die werken bij een organisatie of klant of burger zijn van die organisatie.

Op het gebied van classificatie (en in veel vormen van gegevensprivacy) ligt de nadruk op de “BIV-classificatie” van gegevensbescherming:

• Vertrouwelijkheid: Het waarborgen van de privacy van informatie door onbevoegde inzage te voorkomen.
• Integriteit: Het behouden van de integriteit van de data door controles te bieden die garanderen dat data niet is gewijzigd of beschadigd.
• Beschikbaarheid: Het waarborgen van de toegankelijkheid van data voor bevoegde gebruikers, zodat andere controles deze gebruikers niet hinderen in het gebruik van die informatie.

Voortvloeiend uit deze BIV-elementen bestaat classificatie alleen binnen een specifiek geheel van controles, praktijken en processen die ervoor zorgen dat alleen bevoegde personen die geclassificeerde informatie kunnen inzien.

Deze controles vallen vaak onder specifieke categorieën:

• Beveiliging en naleving: Elke organisatie die werkt met gevoelige data valt waarschijnlijk onder specifieke regelgeving die technische beveiligingskaders dekt. Zelfs particuliere sectoren hanteren kaders die beveiligings- en behandelingsvereisten voor geclassificeerde data omvatten.
• Governance: Om vertrouwelijkheid, integriteit en toegankelijkheid te behouden, moeten organisaties een governancebeleid hebben dat voorschrijft hoe data moet worden beheerd, in welke systemen, en welke beleidsregels en procedures die data en systemen dagelijks beschermen.
• Gebruiksvriendelijkheid: Toegankelijkheid vereist dat bevoegde personen data kunnen inzien en gebruiken als onderdeel van hun werk. Gebruiksvriendelijkheidscontroles zorgen ervoor dat deze mensen dit kunnen doen zonder de informatie in gevaar te brengen.

Het gebruik van het woord “classificatie” in de context van data kan dus zowel verwijzen naar de juiste terminologie voor overheidsclassificatie als naar de bredere betekenis van het organiseren van data via labels om deze te beschermen.

Typen dataclassificatie

Het bespreken van dataclassificatie kan zich uitstrekken over diverse contexten die tientallen toepassingen van controles en vereisten omvatten.

In het algemeen zijn er drie overkoepelende typen classificatie:

• Data-gebaseerd: Deze classificatie werkt op basis van het type informatie dat bescherming nodig heeft. Bestanden worden onderzocht om te bepalen of ze specifieke beschermde informatie bevatten, zoals persoonlijk identificeerbare informatie (PII) of financiële informatie met betrekking tot individuen of een organisatie.
• Context-gebaseerd: Deze benadering kijkt naar het gebruik van de betreffende informatie, wie het heeft gecreëerd, waar het is gemaakt en metagegevens die aangeven dat iets als gevoelig moet worden geclassificeerd.
• Gebruikers-gebaseerd: Individuen maken specifieke afwegingen over classificatie op documentniveau.

Deze verschillende benaderingen komen in veel contexten voor en overlappen zelfs binnen dezelfde sector.

Publieke classificatie

Publieke classificatie is doorgaans het meest permissief. Het kan gevoelige informatie bevatten, zolang deze breed beschikbaar is voor het publiek via een ander mechanisme. Dergelijke data heeft meestal niet dezelfde beveiligingscontroles als andere vormen.

Dergelijke data kan bestaan uit:

• Organisatieschema’s
• Voor- en achternamen
• Persberichten
• Whitepapers
• Architectuurgidsen

Interne classificatie

Interne classificatie wordt vooral geassocieerd met bedrijfs- en ondernemingsgeheimen en vertegenwoordigt handelsinformatie die, als deze wordt vrijgegeven, het intellectueel eigendom of de concurrentiepositie van het bedrijf kan schaden.

Voorbeelden van dergelijke data zijn:

• Productschema’s
• Interne e-mails
• Intranetplatforms
• Budgetten en financiële prognoses

Overheidsclassificatie

Overheidsclassificatie is waar we vaak aan denken bij “geclassificeerde informatie.” Door de toenemende groei van de digitale toeleveringsketen voor federale instanties (cloudplatforms, applicaties, enz.), is classificatie door technologieaanbieders een kritische kwestie.

Deze categorie kan diverse vormen van databescherming omvatten, waaronder:

• Geheime classificatie: De overheid classificeert gevoelige nationale geheimen als “Vertrouwelijk,” “Geheim” of “Zeer Geheim,” wat oplopende niveaus van bescherming en beperkingen aanduidt. Zeer geheime documenten zijn slechts toegankelijk voor een selecte groep.

  Naast deze niveaus zie je vaak flexibelere classificatieaanduidingen. Een document met het label “Zeer Geheim” kan bijvoorbeeld extra toegangsbeperkingen hebben voor informatie op basis van noodzaak. Deze aanpak voorkomt onbedoelde blootstelling van de meest gevoelige geheimen.

  Toegang tot geclassificeerd materiaal in deze categorie vereist doorgaans zeer specifieke autorisatie, en dergelijke informatie bevindt zich op sterk afgeschermde netwerken zoals het Secret IP Router Network (SIPRNET).

• Controlled Unclassified Information (CUI): Wanneer aannemers werken met defensie-instanties, kunnen ze informatie genereren die, hoewel niet geclassificeerd, toch privé moet blijven ter bescherming van de deelnemende instanties en bedrijven. CUI is een speciale vorm van deze data—data die belangrijk genoeg is om een volledig compliance framework te hebben (Cybersecurity Maturity Model Certification [CMMC]), beheerd door het National Institute of Standards and Technology (NIST) en het Department of Defense.

  CUI kan worden opgeslagen op meer traditionele netwerken, maar die netwerken vereisen strenge beveiligingscontroles.

Vertrouwelijke classificatie

In de private sector draait het “classificeren” van data minder om het aanduiden van belangrijke geheimen en meer om het identificeren van informatie voor bescherming op basis van gevoeligheid. Deze gevoeligheid kan bestaan uit het beschermen van bedrijfsgeheimen, maar vooral het beschermen van informatie van klanten en patiënten die zij bedienen. Hiervoor is een strategie voor risicobeheer cyberbeveiliging nodig.

Enkele gevoelige classificaties van privédata zijn:

• Persoonlijk identificeerbare informatie (PII): PII is de basis voor gegevensbescherming in vrijwel elke regelgeving op de markt. PII omvat burgerservicenummers (BSN’s), adressen, telefoonnummers, financiële informatie of alles wat kan worden gebruikt om een individu te identificeren en gevoelige informatie samen te stellen (hoe ze te bereiken, waar ze wonen, enz.).

  Vrijwel elke compliance standaard, publiek en privaat, beschermt PII in zekere mate.

• Beschermde gezondheidsinformatie (PHI): PHI is een specifieke vorm van informatie, vastgelegd in de Health Insurance Portability and Accountability Act (HIPAA), met betrekking tot patiëntenzorg. Informatie die wordt verwerkt door ziekenhuizen, artsen en verzekeringsmaatschappijen, zoals medische dossiers, doktersnotities of betalingsinformatie met betrekking tot zorg, wordt beschouwd als PHI. Dit geldt ook voor HR- of andere afdelingen van organisaties die PHI verwerken.
• Primary Account Number (PAN): PAN verwijst naar kaarthouderinformatie, waaronder rekeningnummers, chip- of magneetstripgegevens of bijbehorende CVV-codes.

In de context van het bedrijfsleven is het essentieel om data en dataopslagsystemen te classificeren op basis van het type informatie en de sector waarin je actief bent.

Wat zijn de uitdagingen en beste practices voor het beschermen van geclassificeerde data?

Het lijkt misschien heel eenvoudig om data en verschillende classificaties bij te houden, wat in veel gevallen ook zo is. Moderne technologie leent zich echter niet voor een geïsoleerde aanpak waarbij je simpelweg de buitenwereld kunt afschermen. Wanneer die informatie bruikbaar en beschikbaar moet zijn voor meerdere mensen, en wanneer een organisatie geavanceerde infrastructuur zoals online apps en de cloud gebruikt, is het belangrijk om de beste dataclassificatie- en beschermingspraktijken te begrijpen.

Enkele van deze uitdagingen en beste practices zijn:

• Kwetsbaarheid: Gevoelige data kan op talloze manieren worden blootgesteld, wat verwarrend kan zijn voor complexe systemen. Daarnaast veranderen ook de gevolgen van classificatie voor je vereisten op het gebied van naleving van regelgeving.

  Het onderhouden van kritische governance-beleidsregels, inclusief een inventaris van gevoelige systemen en datastromen, is cruciaal om de beveiliging te waarborgen die past bij verschillende classificatietypen.

• Expertise: Het beheren van classificatie en beveiliging is een voltijdsbaan waarvoor mensen jarenlang worden opgeleid. Veel grotere bedrijven, vooral die regelmatig met gevoelige data werken, hebben toegewijde compliance- en classificatiemanagers om ervoor te zorgen dat het bedrijfsbeleid en de infrastructuur aan de vereisten voldoen.

  Organisaties moeten niet bezuinigen op expertise. Als je niet de tijd of middelen hebt om interne compliance- en beveiligingsfunctionarissen aan te stellen, werk dan samen met externe beveiligingsbedrijven die gespecialiseerd zijn in jouw sector.

• Handhaving: Een beleid is alleen zo goed als de uitvoering, en de beste governance-aanpak is zinloos zonder mensen en technologie om te zorgen dat het werkt.

  Gebruik technologieën die compliant werken ondersteunen en veilige dataopslag en -overdracht mogelijk maken. Maak ook gebruik van tools met goede automatisering en audit logs om te zorgen dat je aan de vereisten voldoet en problemen kunt herleiden tot hun bron.

Beveilig geclassificeerde informatie met Kiteworks

Naleving en beveiliging vormen de basis van het omgaan met geclassificeerde data. Dat betekent het juiste gebruik van technologie binnen je organisatie, van opslag tot verwerking en overdracht, zodat data van elke classificatie veilig en vertrouwelijk blijft.

Het Kiteworks Private Content Network ondersteunt veel compliance frameworks, met focus op privacy van gegevens zonder in te leveren op het gebruik en delen van informatie binnen je organisatie. Het Kiteworks Private Content Network integreert end-to-end encryptie in je meest gebruikte zakelijke applicaties, zoals e-mail, beveiligde bestandsoverdracht, beheerde bestandsoverdracht, application programming interfaces (API’s) en webformulieren.

Kiteworks biedt de volgende functionaliteiten:

• Beveiliging en naleving: Kiteworks gebruikt AES-256 Encryptie voor data in rust en TLS 1.2+ voor data onderweg. Het hardened virtual appliance, granulaire controles, authenticatie, andere beveiligingsstack-integraties en uitgebreide logging en auditrapportages stellen organisaties in staat om eenvoudig en snel aan te tonen dat ze voldoen aan beveiligingsstandaarden.

  Het Kiteworks-platform biedt standaard compliance-rapportages voor sector- en overheidsregelingen en standaarden, zoals HIPAA, Payment Card Industry Data Security Standard (PCI DSS), SOC 2 en General Data Protection Regulation (GDPR).

  Bovendien beschikt Kiteworks over certificering en naleving van diverse standaarden, waaronder, maar niet beperkt tot, FedRAMP, FIPS (Federal Information Processing Standards) en FISMA (Federal Information Security Management Act).

  Ook wordt Kiteworks beoordeeld op IRAP (Information Security Registered Assessors Program) PROTECTED level controls. Op basis van een recente beoordeling voldoet Kiteworks aan bijna 89% van de CMMC Level 2-praktijken.

• Audittrail: Met de onveranderlijke audit logs van Kiteworks kunnen organisaties erop vertrouwen dat aanvallen sneller worden gedetecteerd en dat de juiste bewijsketen wordt behouden voor forensisch onderzoek.

  Omdat het systeem meldingen en logs van alle componenten samenvoegt en standaardiseert, besparen de uniforme syslog en waarschuwingen van Kiteworks beveiligingscentrumteams cruciale tijd en helpen ze compliance-teams bij de voorbereiding op audits.

• SIEM-integratie: Kiteworks ondersteunt integratie met toonaangevende security information and event management (SIEM)-oplossingen, waaronder IBM QRadar, ArcSight, FireEye Helix, LogRhythm en anderen. Het beschikt ook over de Splunk Forwarder en bevat een Splunk App.

• Inzicht en beheer: Het CISO-dashboard in Kiteworks geeft organisaties een overzicht van hun informatie: waar deze zich bevindt, wie er toegang toe heeft, hoe deze wordt gebruikt en of data die wordt verzonden, gedeeld of overgedragen voldoet aan regelgeving en standaarden. Het CISO-dashboard stelt organisatieleiders in staat om weloverwogen beslissingen te nemen en biedt een gedetailleerd inzicht in compliance.

• Single-tenant cloud-omgeving: Bestandsoverdracht, geautomatiseerde bestandsoverdrachten, bestandsopslag en gebruikersbeheer vinden plaats op een toegewijde Kiteworks-instantie, ingezet on-premises, op de Infrastructure-as-a-Service (IaaS)-middelen van een organisatie, of gehost als een private single-tenant instantie door Kiteworks in de cloud via de Kiteworks Cloud-server. Dit betekent geen gedeelde runtime, databases of repositories, gedeelde resources of risico op cross-cloud datalekken of aanvallen.

Bekijk het Kiteworks Private Content Network en ontdek hoe het dataprivacy en compliance mogelijk maakt voor je gevoelige communicatie door vandaag nog een op maat gemaakte demo in te plannen.