Dataclassificatie: belangrijk voor het management
Dataclassificatie, ja natuurlijk dat moet, iedere organisatie weet het eigenlijk wel. En meestal is het ergens ook verplicht, bijvoorbeeld als onderdeel van de Baseline Informatiebeveiliging Rijk (BIR).
Toch ademt het onderwerp in praktijk veel te veel de sfeer van een verplicht nummer. En daarmee loopt u de kans dat u het niet goed uitvoert. Maar veel belangrijker nog, u mist kansen! Juist die dataclassificatie kan gebruikt worden als onderdeel van een Business Impact Analyse, die met het senior management uitgevoerd wordt. Een stap waarin het bewustzijn en de betrokkenheid van dat management fors verhoogd wordt en waar ook een gemeenschappelijke visie op de risk appetite van de organisatie uit komt. Een goede inhoudelijke voorbereiding en de juiste procesbegeleiding is daarbij natuurlijk wel essentieel. Goed uitgevoerd is de waarde hiervan voor een goede informatiebeveiliging en privacybescherming echter moeilijk te overschatten.
Dataclassificatie is bovendien het startpunt voor het bepalen van de noodzakelijke investeringen in privacymaatregelen en informatiebeveiliging. Om niet overvallen te worden door onvoorziene investeringen en tijdig te kunnen sturen is een vroege betrokkenheid van het management cruciaal.
Waar moet de manager rekening mee houden?
Het is van belang om zicht te hebben op de data waar de organisatie over beschikt en mee werkt. Vraag het een jurist, ICT-er, lijnmanager en bestuurder, iedereen is het daarmee eens. Van belang is om vervolgens te zorgen dat die data voldoende beschermd zijn, dat authenticatie goed geregeld is. En natuurlijk ook om te zorgen dat de juiste juridische afspraken worden gemaakt en er voldaan wordt aan de nieuwe privacywetgeving. En er zijn ook nuttige sjablonen en vragenlijsten beschikbaar, bijvoorbeeld die van het Centrum voor Informatiebeveiliging en Privacybescherming.
Maar wat kan er nu misgaan bij zo’n eenvoudige stap? Meer dan u denkt!
Allereerst, wie voert die dataclassificatie uit en wie stelt het resultaat vast? Vaak zien we dat deze analyse vrij laag in de organisatie wordt uitgevoerd, wat tot gevolg heeft dat het resultaat onvoldoende gedragen is en dat er onverklaarbare beoordelingsverschillen optreden tussen verschillende organisatieonderdelen.
Ten tweede moeten we ons, zeker als het gaat om privacy, afvragen of de verschillende belangen ook voldoende worden vertegenwoordigd in de dataclassificatie. Hoe borgen we bijvoorbeeld de rechten van de burger of de consument? Die zit immers meestal niet aan tafel.
Ten derde zitten er meer methodologische haken en ogen aan dan men op het eerste gezicht zou denken. Hoe de volledigheid van de dataclassificatie te borgen en alle ‘kroonjuwelen’ van de organisatie in beeld te krijgen? Op welk aggregatieniveau dient de dataclassificatie te worden uitgevoerd? De neiging zal snel zijn om dat op hoofdgegevensgroepen te doen, maar de gevoeligheid kan zomaar in een enkel attribuut in het gegevensmodel zitten. En is de invalshoek ‘gegevens’ überhaupt wel de goede? Is een bepaald stuk van de informatievoorziening c.q. het informatieproduct of zelfs het informatiesysteem vaak niet het betere vertrekpunt?
Zo recht-toe-recht-aan is het nog niet, hoewel dat op eerste gezicht wel zo lijkt.
Kortom, doe die dataclassificatie, maar grijp hem vooral aan als startpunt voor ‘bewust beveiligen’ in uw organisatie!
