Historisch gezien is cybersecurity begonnen bij het classificeren van informatie. Nog voordat er technologische oplossingen waren (en computers zelf in grote hoeveelheden gebruikt werden), werden documenten handmatig geclassificeerd om aan te geven dat de inhoud niet voor iedereen bestemd was. Ondanks dat er tegenwoordig andere oplossingen zijn om informatie veilig te stellen, is het voor gebruikers en ontvangers van informatie direct duidelijk wat zij wel en niet mogen doen met de informatie – het classificeren van informatie wordt nog steeds gedaan. In dit artikel wordt het classificeren van informatie toegelicht en worden praktische benaderingen gegeven om hiermee om te gaan.
Het classificeren van informatie kan gezien worden als de basis van een robuust cybersecuritybeleid. Het stelt organisaties in staat om prioriteit te geven aan de bescherming van de meest waardevolle gegevens en tegelijkertijd de efficiëntie van de beveiligingsmaatregelen te verhogen. Door informatie te categoriseren op basis van gevoeligheid, kunnen bedrijven gerichte maatregelen nemen om ongeoorloofde toegang te voorkomen en de impact van datalekken te minimaliseren. Denk aan een gevoelige memo waarin plannen staan om een andere organisatie over te nemen, de cv van een sollicitant of een document met de stappen om een belangrijk systeem te kunnen resetten indien het vastgelopen is.
Een goed gestructureerd classificatieproces biedt ook duidelijkheid aan medewerkers over hoe ze met verschillende soorten informatie moeten omgaan. Dit draagt bij aan een bewustwordingscultuur rondom cybersecurity binnen de organisatie. Zolang medewerkers zich bewust zijn over hoe zij om mogen gaan met informatie en het ook duidelijk voor hen is wat ermee gedaan mag worden, wordt de kans verkleind dat informatie in verkeerde handen valt.
Verschillende classificatielabels
De Amerikaanse overheid heeft halverwege de vorige eeuw enkele classificatielabels opgesteld welke uiteindelijk ter inspiratie dienden voor organisaties om hun eigen labels te ontwikkelen. Dit zijn er uiteindelijk vier geworden, welke eenvoudig te begrijpen zijn en waarbij hun namen overeenkomen met hoe ze moeten worden behandeld. Zowel de Nederlandse als Engelse term worden hieronder gebruikt, met name omdat veel organisaties de Engelse term hanteren.
- Openbaar / Public: Deze informatie is openbare informatie en kan openlijk worden gedeeld (bijvoorbeeld op de bedrijfswebsite) en met iedereen worden besproken. Openbare informatie, zoals de naam al aangeeft, is openbaar en vereist geen extra controles bij gebruik;
- Intern / Internal: Interne informatie is bedrijfsbreed en moet met beperkte controles worden beschermd. Interne informatie kan bestaan uit het werknemershandboek, diverse beleidslijnen en bedrijfsbrede memo’s. Indien de informatie openbaar is gemaakt, heeft interne informatie een minimale impact op het bedrijf en zal dit niet leiden tot grote financiële verliezen;
- Vertrouwelijk / Confidential: Vertrouwelijke informatie betreft meestal documentatie welke niet iedere medewerker in hoeft te zien. Deze informatie kan bijvoorbeeld onderhandelingsprijzen, nog niet gepubliceerde marketingmateriaal of contactgegevens omvatten. Als vertrouwelijke informatie openbaar wordt gemaakt, kan dit een negatieve invloed hebben op de organisatie;
- Geheim / Secret: Geheime informatie is zeer gevoelig en het gebruik ervan moet worden beperkt op basis van ‘need-to-know’. De geheime informatie wordt doorgaans beschermd met een geheimhoudingsovereenkomst (non-disclosure agreement, NDA) om juridische risico’s te minimaliseren. Geheime informatie gaat bijvoorbeeld om bedrijfsgeheimen, persoonlijke identificeerbare informatie (PII), kaarthoudergegevens of gezondheidsinformatie. Als dit openbaar wordt gemaakt, zou dit aanzienlijke financiële of juridische gevolgen voor het bedrijf hebben.
Tools beschikbaar om het proces te vereenvoudigen
Gelukkig bieden steeds meer veelgebruikte tools oplossingen aan om informatie te classificeren en labelen. Zo is er het Office365 Compliance Center, wat functionaliteiten biedt om gegevens te classificeren, te beheren en te beschermen. Het maakt gebruik van labels en beleidsregels en zorgt ervoor dat bijvoorbeeld een mail automatisch tegengehouden wordt wanneer een document dat geclassificeerd wordt als Geheim wordt verzonden naar iemand die deze informatie niet zou mogen ontvangen. Vergelijkbare tools zijn ook aanwezig binnen Google Workspace.
Alle data moet in principe gelabeld worden. Zodra de organisatie haar informatie heeft geclassificeerd op basis van de waarde ervan, moet de eigenaar van de informatie de gegevens labelen zodat helder is welke classificatie het betreft. Ongeacht of de gegevens fysiek of digitaal worden opgeslagen, de markering moet eenvoudig, gemakkelijk te begrijpen en vooral consistent zijn. Digitale bestanden kunnen in numerieke of alfabetische volgorde worden gelabeld, zolang deze maar systematisch, betrouwbaar en gemakkelijk te volgen zijn. Het toevoegen van visuele labels aan de kop- en voetteksten van de bestanden kan het bewustzijn vergroten en werknemers helpen meer aandacht te besteden aan de beveiliging en hen bewuster gebruik te laten maken van USB-drives en elektronische mail.