Whitepaper Het nut van Dataclassificatie Michel Gulpen, Security Consultant
Inhoudsopgave Managementsamenvatting... 2 Inleiding... 4 1. Informatiebeveiliging... 5 2. Dataclassificatie in drie pijlers... 6 3. Meldplicht datalekken... 9 4. Mitigerende Maatregelen... 10 Dataclassificatie, moeten wij daar iets mee doen? Indien dit een vraag is die binnen uw organisatie speelt, dan biedt dit whitepaper u inzicht in de te nemen stappen. Ook indien u nog nooit nagedacht heeft over dataclassificatie kan dit whitepaper u hierover informeren. Het implementeren van een dataclassificatiemodel is de eerste stap richting een gedegen informatiebeveiligingsbeleid binnen uw organisatie.
Managementsamenvatting Dataclassificatie, de naam zeg het al: het betreft het classificeren van bedrijfskritische data in uw organisatie. Dit whitepaper beantwoordt de vraag waarom dataclassificatie belangrijk is voor uw organisatie. Dataclassificatie is een van de eerste stappen naar de implementatie van een succesvol informatiebeveiligingsbeleid binnen uw organisatie. Om dataclassificatie succesvol te implementeren, dienen in eerste instantie bedrijfskritische processen in kaart te worden gebracht. Middels een gedegen risicoanalyse op basis van vertrouwelijkheid, integriteit en beschikbaarheid kunnen passende tegenmaatregelen getroffen worden op de geïndexeerde data. Dit whitepaper biedt naast een aanbeveling van dataclassificatieniveau s ook een set aan tegenmaatregelen die geïmplementeerd kunnen worden binnen uw organisatie. Voorbeelden hiervan zijn: - Encryptie - Veilig verwijderen van media - Netwerk segmentatie - Server hardening - File server toegang - User Awareness - Data Lost Prevention-oplossingen Naast de beveiliging van uw interne organisatie betekent het succesvol implementeren van een dataclassificatiemodel ook het voldoen aan de betreffende wet- en regelgeving, mits uiteraard de juiste tegenmaatregelen zijn geïmplementeerd. Hoe deze tegenmaatregelen er binnen uw organisatie uitzien, kan bepaald worden aan de hand van het te implementeren dataclassificatiemodel. Aangezien een dataclassificatiemodel, evenals de kwetsbaarheden en de impact van deze kwetsbaarheden, een ander risico betekenen op basis van vertrouwelijkheid, integriteit en beschikbaarheid zal u snel duidelijk zijn dat dataclassificatie maatwerk betreft in iedere organisatie. De in dit whitepaper beschreven oplossingen en aanbevelingen zullen een gedegen raamwerk voor u uitzetten om dataclassificatie binnen uw organisatie tot een succes te maken.
Inleiding Informatiebeveiliging is het beveiligen van (bedrijfskritische) data. Een gedegen informatiebeveiligingsbeleid kan de weerbaarheid van uw organisatie verhogen door kwetsbaarheden op te sporen en hiervoor de juiste tegenmaatregelen te implementeren. Dataclassificatie gebeurt op een drietal pijlers, te weten: vertrouwelijkheid, integriteit en beschikbaarheid. Door de kwetsbaarheid en de impact te bepalen binnen uw organisatie (en haar data) op het gebied van één of meerdere van de reeds genoemde data-eigenschappen vertrouwelijkheid, integriteit en beschikbaarheid, wordt het risicolevel bepaald. Middels dit risico level kan een set aan tegenmaatregelen bepaald worden, die aansluiten op de wensen en eisen van de organisatie voor een gedegen informatiebeveiligingsbeleid. Dataclassificatie is een belangrijke basis voor een succesvol informatiebeveiligingsbeleid. Een degelijke analyse binnen uw organisatie is noodzakelijk om bedrijfskritische processen te bepalen en de daarbij behoren data te beschermen middels de benodigde tegenmaatregelen. Dit whitepaper biedt inzicht in de benodigde stappen voor het implementeren van een dataclassificatiemodel binnen uw organisatie, evenals bepaalde randvoorwaarden waaraan voldaan dient te worden.
1. Informatiebeveiliging Informatiebeveiliging berust op drie pijlers, te weten: vertrouwelijkheid, integriteit en beschikbaarheid (zie figuur 1). Vertrouwelijkheid De vertrouwelijkheid van data geeft aan wie of wat (in een proces) bepaalde data mag en kan inzien. Bij het falen van de tegenmaatregelen op basis van datavertrouwelijkheid kan openbare publicatie van gevoelige data een mogelijk gevolg zijn. Een van de meest gebruikte tegenmaatregelen in de praktijk is het gebruik van versleuteling (encryptie), welke toegepast wordt op bedrijfskritische data of datastromen in een organisatie. Integriteit Data-integriteit is van belang om de juistheid van de gepresenteerde data te waarborgen. Als tegenmaatregel wordt vaak gebruik gemaakt van hashing, een techniek waarin de data samen met een logisch algoritme een bepaalde waarde vormen. Deze waarde wordt door zowel de versturende als de ontvangende partij gegenereerd. Bij eenzelfde uitkomst is de data niet aangepast. Deze controlefactor is vooral van belang bij proces- of financieel gerelateerde data. Figuur 1: Dataclassificatie Beschikbaarheid Beschikbaarheid geeft antwoord op de vraag wanneer en in welke mate informatie beschikbaar moet zijn voor de organisatie. Essentieel in deze fase is het in kaart brengen van bedrijfskritische processen en het aanbrengen van een gradatie in de mate van de beschikbaarheid van data. Niet geheel nodeloos om te vermelden is dat een hogere mate van beschikbaarheid in hogere kosten van de tegenmaatregelen resulteert. Door middel van een dataclassificatiemodel kan de impact op de drie bovengenoemde pijlers bepaald worden. Een risicoanalyse op de bedrijfskritische processen is in deze essentieel voor het bepalen van een juist risiconiveau op basis van vertrouwelijkheid, integriteit en beschikbaarheid.
2. Dataclassificatie in drie pijlers Bedrijfskritische processen Het bepalen van de bedrijfskritische processen is essentieel om een gedegen informatiebeveiligingsbeleid te kunnen ontwikkelen. De bedrijfskritische processen vormen de basis waar de andere processen en data in de organisatie, die minder kritisch van aard zijn, op afgestemd kunnen worden. Van belang is het ontwikkelen van een raamwerk voor de bepaling van dataclassificatie in de organisatie. Risicoanalyse op basis van datavertrouwelijkheid De datavertrouwelijkheid wordt via een aantal dataclassificatieniveau s duidelijk gemaakt binnen een organisatie. Hoe hoger het niveau, hoe hoger de bevoegdheden (c.q. mogelijkheden) moeten zijn voor het muteren, kopiëren en verwijderen van data. Een dataclassificatiemodel op basis van vertrouwelijkheid kan de volgende structuur aannemen: - Openbaar: deze data vormt geen direct risico voor de vertrouwelijkheid van de organisatie en is vrij toegankelijk. - Intern: deze data mag alleen beschikbaar zijn voor interne medewerkers en mag derhalve niet naar buiten toe worden gepubliceerd. - Vertrouwelijk: data in deze classificatie categorie mag alleen ingezien, gemuteerd of verwijderd worden door bepaalde groep(en) gebruikers. - Geheim: alleen topmanagement mag inzicht krijgen in documentatie van deze categorie. Risicoanalyse op basis van data-integriteit Data-integriteit geeft aan dat de data in overeenstemming is met de werkelijkheid; het bepaalt of de data juist, volledig en tijdig is. Een dataclassificatiemodel op basis van integriteit kan de volgende structuur aannemen: - Niet noodzakelijk: deze data mag worden veranderd, er zijn geen extra maatregelen nodig om de bescherming van data-integriteit te waarborgen. - Noodzakelijk: het aanpassen van de data heeft een lichte directe of indirecte schade tot gevolg voor de bedrijfsvoering. Een basis set aan maatregelen is noodzakelijk om de data-integriteit te waarborgen. - Vereist: data-integriteit is noodzakelijk voor dit proces. Aanpassingen in het integriteitsniveau kunnen serieuze directe of indirecte schade toebrengen aan de bedrijfsvoering. - Absoluut: data in deze categorie mag geen fouten bevatten. Hierop moeten ook eventuele tegenmaatregelen getroffen worden. Het ongewenst aanpassen van het integriteitsniveau van de data heeft grote tot zeer grote schade als gevolg voor de bedrijfsvoering. Risicoanalyse op basis van data beschikbaarheid Databeschikbaarheid geeft aan wanneer en hoeveel data beschikbaar moet zijn voor de bedrijfsvoering. Een dataclassificatiemodel op basis van beschikbaarheid kan de volgende structuur aannemen: - Niet nodig: het niet kunnen beschikken over de data heeft geen directe invloed op de continuïteit van het proces.
- Benodigd: data kan incidenteel niet beschikbaar zijn. Mocht dit het geval zijn, dan is de impact op de bedrijfsvoering en gerelateerde processen nihil. - Noodzakelijk: data behoort eigenlijk continu toegankelijk te zijn. Indien de continuïteit van de data in gevaar komt, kan dit resulteren in serieuze directe of indirecte schade voor de bedrijfsvoering. - Essentieel: deze data moet continu toegankelijk zijn. Een calamiteit naar aanleiding van de beschikbaarheid heeft een grote mate van schade, zowel direct als indirect, tot gevolg voor de bedrijfsvoering. Dataclassificatiemodellen Na het bepalen van de datawaarden in de categorieën vertrouwelijkheid, integriteit en beschikbaarheid is het verstandig een generiek classificatiedocument op te stellen. In dit classificatiedocument wordt aangeraden om aan de gegeven waardes een getal te koppelen tussen 1 en 4, waarin 1 de laagste waarde en 4 de hoogste waarde is (zie figuur 2). Organisaties die een dataclassificatiemodel willen adopteren, wordt aangeraden een baseline te verifiëren op basis van de waarden die toegekend zijn aan integriteit en vertrouwelijkheid. Deze twee waarden bij elkaar opgeteld geeft het risicobeeld weer waaraan de organisatie bloot staat. Aangezien in een baseline een minimaal gegeven wordt aangegeven, wordt geadviseerd om de baseline voor dataclassificatie niet te strikt neer te zetten. Dit kan namelijk Figuur 2: Risicomatrix resulteren in een te hoge kostenpost voor de organisatie. Beschikbaarheid is in deze lastig te meten. Het is dan ook raadzaam om deze wel te documenteren en waar noodzakelijk passende maatregelen te implementeren. Daarnaast wordt aangeraden om een generiek standaard classificatiemodel te gebruiken. Een voorbeeld hiervan is (van laag naar hoog): o Unclassified o Restricted o Confidential o Secret o Top Secret Dataeigenschappen Data kent een drietal statussen waarin het zich kan bevinden, te weten: - Data in gebruik: beschrijft de data als deze in gebruik is door een eindgebruiker, een proces en/of systeem. - Data in rust: beschrijft de data als deze niet in gebruik is en ergens op een file server of een back-up opgeslagen staat. - Data in transport: beschrijft de data als deze getransporteerd wordt via een netwerk.
Indien op iedere dataeigenschap de benodigdheden anders kunnen zijn, dient er voor deze dataeigenschappen wederom op basis van vertrouwelijkheid, integriteit en beschikbaarheid een impactanalyse gemaakt te worden. Zo zal bijvoorbeeld bij data in transport meer de nadruk liggen op vertrouwelijkheid en integriteit. Bij data in rust zal deze nadruk verschuiven naar beschikbaarheid en integriteit. De nadruk bij data in gebruik zal bij alle drie de pilaren liggen (zie figuur 3). Dataeigenaarschap en verantwoordelijkheden De dataeigenaar is de aangewezen persoon om in een organisatie de impact te bepalen op het gebied van datavertrouwelijkheid, -integriteit en -beschikbaarheid. Een organisatie kan meerdere dataeigenaren hebben, daarom is het vanuit een organisatorisch perspectief wijs om duidelijke rollen en verantwoordelijkheden te definiëren. Ook zullen vanuit een centraal punt in de organisatie richtlijnen met betrekking tot het standaard dataclassificatiemodel uitgezet moeten worden. Naleving van het dataclassificatiebeleid en de controle hiervan wordt ten zeerste geadviseerd voor een succesvolle dataclassificatie-implementatie in de organisatie. Figuur 3: Dataeigenschappen
3. Meldplicht datalekken Sinds 1 januari 2016 is de nieuwe meldplicht datalekken van toepassing als toevoeging aan de Wet Bescherming Persoonsgegevens. Het implementeren van een dataclassificatieschema in uw organisatie kan u helpen om te voldoen aan de betreffende wet- en regelgeving. In de Wet Bescherming Persoonsgegevens staat gedefinieerd dat passende beveiligingsmaatregelen geïmplementeerd dienen te zijn voor het beschermen van persoonsgegevens. Bij het ontbreken hiervan kan een boete opgelegd worden door de Autoriteit Persoonsgegevens. Organisaties die met patiëntendossiers of andere persoonsgevoelige informatie werken, dienen serieuze maatregelen te treffen om het lekken van persoonsgegevens te voorkomen. Een dataclassificatiemodel kan de organisatie hierbij helpen door persoonlijke data te classificeren op basis van vertrouwelijkheid en integriteit. Zoals in hoofdstuk 2 beschreven, kunnen op die manier de juiste tegenmaatregelen geïmplementeerd worden. Daarnaast vormt de dataclassificatie-baseline een duidelijk beeld van de standaard te nemen tegenmaatregelen met betrekking tot de data in de organisatie en kunnen datalekken voorkomen of geminimaliseerd worden.
4. Mitigerende Maatregelen Onderstaand treft u een set tegenmaatregelen. Dataclassificatie ligt ten grondslag aan deze te nemen maatregelen indien de classificatie mede bepalend is voor het informatiebeveiligingsbeleid binnen uw organisatie. Encryptie Datavertrouwelijkheid wordt vaak in één zin genoemd met versleuteling (encryptie). Het implementeren van encryptie is dan ook zeker het overwegen waard als men een hoge mate van vertrouwelijkheid nodig heeft. Encryptie kan geïmplementeerd worden op bestandsniveau als deze op een file server staat. Daarnaast zijn implementaties op netwerk niveau ook zeker niet uit te sluiten middels zogenaamde VPN verbindingen. Op systeemniveau (end-points) is harde schijf encryptie zeker aan te bevelen. Wat men in ogenschouw moet nemen, is dat de sterkte van het gebruikte encryptieprotocol afdoende moet zijn ten opzichte van het benodigde securityniveau. Ook zal sleutelbeheer degelijk ingeregeld moeten zijn in de organisatie. Veilig verwijderen van media Disclosure, oftewel publicatie van bedrijfsgevoelige informatie, is tegenwoordig veelvuldig in het nieuws. De oorzaak hiervan is het niet juist (beveiligd) opruimen van harde schijven of andere draagbare media. Deze mediadragers bevatten vaak nog datasporen. Een format van dit soort media is vaak niet afdoende om alle datasporen te wissen. De organisatie kan als tegenmaatregel een contract sluiten met een partij die gespecialiseerd is in het veilig afvoeren van oude mediadragers. Back-up Beschikbaarheid wordt vaak samen genoemd met business continuity. Back-up is dan weer een vitaal belang in business continuity. Een goede back-up policy, al dan niet on-site of off-site, kan vaak de doorslag geven in het continueren van de bedrijfsvoering. Het invoeren van een zogenaamde data retention policy, waarin een beleid is gedefinieerd betreffende de bewaarplicht van data in overeenstemming met eventuele wet- en regelgeving omtrent, is dan ook ten zeerste aan te raden. In dit beleid moet ook rekening gehouden worden met de impact op de drie pijlers; vertrouwelijkheid, integriteit en beschikbaarheid. Data Lost Prevention-oplossingen Tegenwoordig zijn zogenaamde data lost prevention-oplossingen op de markt te vinden. Deze oplossingen hebben als doel data met een bepaald classificatieniveau te monitoren. Het implementeren van een dataclassificatiemodel dat past in de huidige organisatie vormt hier de basis. De data lost prevention-oplossingen hebben diverse implementatie niveaus, te weten: - Netwerk-gebaseerd - Cloud-gebaseerd - End-Point-gebaseerd - (File) Server-gebaseerd
User Awareness Uiteindelijk moet de eindgebruiker binnen de organisatie werken met het dataclassificatiemodel. Het is dus zaak om de gebruikers de juiste training te geven om de implementatie van het dataclassificatie model succesvol te laten verlopen als ook eventuele risico s te beperken.
KEMBIT B.V. Kasteel Wijnandsrade Opfergeltstraat 2 6363 BW Wijnandsrade High Tech Campus Eindhoven High Tech Campus 41 5656 AE Eindhoven +31 (0)88 5700 500 contactus@kembit.nl kembit.nl