Data Classification

Data Classificatie is in de breedte gedefinieerd als het proces om data te ordenen in relevante categorieën zodat deze beter kan worden gebruikt en beschermd. In de basis maakt het data classificatieproces het makkelijker om data te traceren en op te halen. Data classificatie is in het bijzonder van belang in het kader van risicomanagement, compliance en data veiligheid.

Data classificatie omvat het labelen van data zodat deze gemakkelijk doorzocht kan worden. Een bijkomend voordeel is dat meerdere versies van dezelfde data worden voorkomen. Hierdoor kan de opslag- en backup ruimte worden gereduceerd en het zoekproces worden versneld. Ondanks het feit dat het data classificatieproces zeer technisch lijkt is het feitelijk een onderwerp dat door het management in de gehele organisatie begrepen moet zijn.

Data classificatie is in de loop der jaren enorm verbeterd. Vandaag de dag wordt de technologie ingezet voor verschillende doeleinden, vaak ondersteunend aan data- en informatiebeveiligings- initiatieven. Een aantal redenen om data te classificeren zijn bijvoorbeeld eenvoudige toegang tot de data, het kunnen voldoen aan compliance eisen en wensen en om verschillende andere zakelijke- en persoonlijke doelstellingen te kunnen realiseren. In een aantal gevallen is data classificatie zelfs een verplichte functionaliteit, omdat data doorzoekbaar moet zijn binnen een specifiek tijdsbestek. Voor information security doeleinden is data classificatie ook zeer nuttig omdat, gebaseerd op het type data, de erbij passende veiligheidsmaatregelen kunnen worden toegepast voor het opvragen, kopiëren of verplaatsen van de data.

Data classificatie bevat vaak een veelheid aan labels en tags die het type data, de aard en het integriteitsniveau beschrijven. Ook wordt vaak de beschikbaarheid van de data meegenomen tijdens het classificatieproces. De gevoeligheid van de data wordt vaak vastgesteld op basis van verschillende niveaus van belangrijkheid, die dan op hun beurt weer worden gebruikt voor het bepalen van de veiligheidsmaatregelen die voor elk classificatieniveau van toepassing zijn.

Er zijn drie verschillende typen data classificatie die als ‘standaard’ beschouwd kunnen worden:

• Content gebaseerde classificatie inspecteert en interpreteert bestanden met gevoelige informatie;
• Context gebaseerde classificatie kijkt, naast indirecte indicaties van gevoelige informatie, naar de applicatie, locatie van de data of de gegevens van de maker van de data;
• Op gebruiker gebaseerde classificatie is afhankelijk van een handmatig proces door de eindgebruiker waarbij elk document separaat geclassificeerd wordt. User gebaseerde classificatie is sterk afhankelijk van de kennis en verantwoordelijkheid van de eindgebruiker tijdens het maken, wijzigen, beoordelen en verwerken van gevoelige documenten en het op de juiste manier kunnen labelen van de data.

De op content-, context- en op gebruiker gebaseerde aanpak kan zowel goed of fout zijn daar deze afhankelijk is van de exacte behoefte vanuit de business en het type data.

Een organisatie kan data bijvoorbeeld als Restricted, Private of Public bestempelen. Hierbij geldt dat Public de minst gevoelige informatie met de laagste vorm van beveiliging betreft en Restricted geldt voor de vorm met de hoogste beveiliging en vanzelfsprekend met de meest gevoelige informatie. Dit type data classificatie vormt vaak het startpunt voor veel organisaties gevolgd door additionele manieren voor herkenning en labeling gebaseerd op de relevantie voor het bedrijf, de kwaliteit van de data en andere classificatievormen. De meest succesvolle data classificatie processen bevatten daarnaast ook aanvullende processen en frameworks om de gevoelige data daar te houden waar deze thuishoort.

Data classificatie kan soms een complex en lastig proces zijn. Geautomatiseerde systemen kunnen helpen om dit proces verder te stroomlijnen, maar een bedrijf moet te allen tijde de categorieën en criteria die dienen om de data te classificeren begrijpen en hierop doelstellingen bepalen. Hierbij dient uiteraard ook rekening te worden gehouden met de rollen en verantwoordelijkheden van de medewerkers om de data classificatie protocollen zorgvuldig te volgen zodat security standaarden kunnen worden geïmplementeerd die overeenkomen met de data categorieën en de erbij behorende labels. Als dit alles correct gebeurt zal dit proces voor een goed werkend operationeel framework zorgen voor de opslag, het transport en het opvragen van de data.

Policies en procedures zouden goed moeten worden gedefinieerd, met in het achterhoofd de security vereisten en vertrouwelijkheid van de data types, maar wel zo dat deze eenvoudig te begrijpen zijn voor de medewerkers en op de juiste wijze kunnen worden toegepast. Bijvoorbeeld voor elke categorie zou er informatie over het type data in de classificatie inbegrepen moeten zijn evenals de security vereisten met regels voor het opvragen, transport en de opslag van de data en de potentiële gevolgen als de policies niet worden gevolgd.

Met de introductie van de General Data Protection Regulation (GDPR) wordt data classificatie een steeds belangrijker proces om data van inwoners van de EU te verwerken, op te slaan en te transporteren. Het is cruciaal voor deze organisaties om de data te classificeren zodat alles dat wordt beschreven binnen de GDPR eenvoudig kan worden geïdentificeerd en de juiste security maatregelen kunnen worden getroffen.

Aanvullend biedt GDPR ook verhoogde alertheid voor bepaalde categorieën met persoonlijke informatie. GDPR verbiedt expliciet het verwerken van etnische of aan ras gerelateerde data, politieke motivaties en religieuze of filosofisch geloof. Het classificeren van dergelijke data kan het risico van compliance issues enkel verder verhogen.

Effectieve data classificatie:

• Begrijp de huidige opzet: het gedetailleerd onderzoeken van de huidige locatie van de data en de regelgeving waaraan uw organisatie moet voldoen is misschien wel het beste startpunt om data effectief te kunnen classificeren. U moet immers precies weten welke data u allemaal heeft voordat u deze data kunt classificeren.
• Het opzetten van een data classificatie policy: compliant blijven met de opgestelde eisen en wensen met betrekking tot databescherming is voor organisaties vrijwel onmogelijk zonder een heldere policy. Het opstellen van een policy zou bovenaan de actielijst moeten staan.
• Prioriteren en organiseren van data: nu er een policy is opgesteld en met het inzicht in uw huidige data is het tijd om de data daadwerkelijk juist te classificeren. Neem een besluit over hoe u uw data het beste kunt labelen met in het achterhoofd de (privacy) gevoeligheid van deze data.

Naast het feit dat data veel beter vindbaar is zijn er veel andere voordelen met goede data classificatie te behalen. Data classificatie is noodzakelijk voor hedendaagse organisaties om op elk moment het inzicht te hebben in de vaak grote hoeveelheden data die worden verwerkt.

Het classificeren van data biedt een duidelijk overzicht van alle data binnen een organisatie en waar deze data is opgeslagen, hoe eenvoudig toegang te krijgen tot de data en hoe de data het best te beschermen tegen potentiële veiligheidsrisico’s. Eenmaal geïmplementeerd biedt data classificatie een georganiseerd framework op basis waarvan passende maatregelen om de data te beveiligen kunnen worden genomen en ervoor te zorgen dat medewerkers zich houden aan de compliancy regels.

Houdt de steeds groter wordende hoeveelheid data u dagelijks bezig? Wilt u compleet inzicht in de inhoud van de gegevens die u verwerkt of deze nu gestructureerd of ongestructureerd is, zich on-premise bevindt of in de cloud?

Netwrix

De Netwrix Data Classificatie oplossing die iSOC24 in haar portfolio heeft helpt u om uw data gerelateerde uitdagingen het hoofd te bieden zoals bijvoorbeeld het verkleinen van het risico op het lekken van de data, het verkrijgen van volledig inzicht in uw data, het verhogen van de productiviteit van uw medewerkers en het slagen voor compliance audits.

De belangrijkste redenen waarom organisaties op de Netwrix oplossing vertrouwen om hun data gerelateerde uitdagingen het hoofd te bieden zijn als volgt:

• Snellere terugverdientijd; verspil geen tijd aan kostbare professionals of langdurige implementatieprocessen. Kom in dagen op stoom en niet in maanden.
• Reduceer de hoeveelheid false-positives; behaal de data classificatie resultaten waarop u kunt vertrouwen en zorg ervoor dat u niet continu bezig bent met het doorlopen van grote hoeveelheden false-positives.
• Non-intrusive architectuur; voorkom situaties waarin u moet werken met intrusive agents en ongedocumenteerde data collectie methodes.
• Meer granulair beheer van taxonomieën; richt uw classificatie regels zodanig in zodat complexe onderwerpen als intellectueel eigendom kunnen worden geclassificeerd zonder dat hiervoor professionals benodigd zijn.
• Transparante classificatie waardoor direct inzicht ontstaat in de reden van de classificatie zodat de regels kunnen worden aangescherpt en nog betere classificatie plaats kan vinden.

Neemt u contact op met een van de specialisten van iSOC24 om meer te weten te komen over de Netwrix Data Classificatie oplossingen en hoe deze het beste in uw situatie kunnen worden ingezet.