Hedendaagse organisaties zijn zeer afhankelijk van digitale technologie en genereren een enorme, groeiende hoeveelheid data. Het volgen en categoriseren daarvan is een complexe taak, waarbij automatisering maar tot op zekere hoogte kan helpen. Om te weten waar de belangrijkste en meest gevoelige data worden verwerkt en opgeslagen, met het doel deze optimaal te beschermen, is een menselijk oordeel nodig.

Deze data – vaak kroonjuwelen genoemd – zijn natuurlijk specifiek voor elke organisatie. Voor een farmaceutisch bedrijf kan het bijvoorbeeld onderzoeksdata zijn, bij een zorginstelling gaat het hoofdzakelijk om patiëntgegevens en voor een handelsonderneming zijn de gegevens over voorraden en bestellingen van cruciaal belang.

Elke organisatie heeft haar eigen, karakteristieke IT landschap. Data zitten in tientallen of zelfs honderden toepassingen en worden, doorgaans zonder dat medewerkers zich ervan bewust zijn, op verschillende locaties opgeslagen. Vaak is er ook nog sprake van schaduw-IT, waarbij medewerkers en zelfs complete afdelingen data verwerken en opslaan via applicaties die buiten het beheer en de bescherming van de IT-afdeling liggen.

Het is niet realistisch om alle spreadsheets, gearchiveerde e-mails of databestanden te categoriseren. Toch is categorisering belangrijk om de kroonjuwelen de bescherming te bieden die nodig is. Hierbij kun je niet honderd procent vertrouwen op geautomatiseerde tools voor databeheer. Er is altijd een menselijk oordeel nodig.

Daarom moeten managers en medewerkers de verschillende soorten data in hun beheer in kaart brengen. Alleen dan kan een organisatie die data die verdere aandacht vereisen daadwerkelijk extra beschermen. Bij die beoordeling komt altijd enige subjectiviteit kijken, hoewel je het proces wel zo veel mogelijk via vaste kaders kunt laten verlopen.

CIA-model

Het zogenaamde CIA-model kan houvast bieden bij de dataclassificatie. Dit model gaat uit van drie begrippen: vertrouwelijkheid, integriteit en beschikbaarheid van data (confidentiality, integrity, availability). Data kunnen gestolen worden, gewijzigd worden en niet beschikbaar gemaakt worden. Elk type bedreiging heeft voor elke organisatie weer andere gevolgen, waardoor een recept voor de meest adequate en rendabele databeveiliging niet te geven is.

Bij de vertrouwelijkheid van data bepalen organisaties wie er toegang mogen hebben tot de data. Van openbare informatie tot aan geheime directie informatie. Bij de integriteit van informatie is de mate waarin de informatie kloppend moet zijn op dat specifieke moment in de tijd van belang. Dit kun je classificeren van ‘niet noodzakelijk’ tot ‘absolute zekerheid vereist’. En bij de beschikbaarheid van informatie moeten organisaties classificeren welke data cruciaal is voor de dagelijkse bedrijfsvoering.

Om bij de eerdere voorbeelden te blijven: de handelsonderneming die geen inzicht heeft in zijn voorraadstanden en bestellingen omdat de bijbehorende data niet beschikbaar zijn, kan aanzienlijke financiële verliezen leiden. Voor de zorginstelling waarvan patiëntgegevens niet correct zijn, met verkeerde diagnoses, ingrepen en behandelingen als gevolg, is de integriteit van de data in bezit het hoogste goed. Voor het farmaceutische bedrijf waarvan de researchdata van een nieuw medicijn op straat komen te liggen, is vertrouwelijkheid van vitaal belang. Immers, een concurrent kan met deze data zijn voordeel doen.

Deze drie bedreigingen vragen elk om een verschillende aanpak. Bij de farmaceut blijft de researchdata veelal op één plek, binnen het bedrijf, waardoor beveiliging van deze data betrekkelijk overzichtelijk is. Het ziekenhuis deelt zijn patiëntdata met huisartsen, specialisten en verzekeraars die tevens rechten hebben om mutaties door te voeren, waardoor ook deze partijen moeten worden betrokken bij de dataprotectie. Ook het handelshuis deelt bepaalde data met toeleveranciers en klanten, dus ook voor deze partijen is samenwerking op het gebied van security een must.

Kwantitatief evalueren

Naast een consistente, kwalitatieve beoordeling van data – categorisering – moeten organisaties ook een kwantitatieve beoordeling maken. Oftewel: waar zitten de belangrijkste risico’s en wat is de maximale schade van een inbreuk? Denken als een hacker kan daarbij helpen: hoe kom ik het gemakkelijkst het netwerk, of de netwerken van partners, binnen en wat is de beloning?

Voor een goede besluitvorming over welke data de beste bescherming behoeven, is ook de waarschijnlijkheid van een incident belangrijk. Om deze waarschijnlijkheid te bepalen, kunnen organisaties de frequentie van incidenten analyseren. Een vergelijking met de resultaten van andere organisaties in hun sector helpt tot een meer realistische inschatting te komen.

Meer weten over data- privacy- en cyberrisico’s? Download onze whitepaper.

Grant Thornton in Nederland is lid van Grant Thornton International Ltd (GTIL), één van ’s werelds grootste netwerken van onafhankelijke accountants- en adviesorganisaties met 50.000 professionals in meer dan 130 landen. Vanuit negen Nederlandse vestigingen ondersteunen ruim 450 professionals onze klanten met raad en daad op het gebied van accountancy, belastingen en (financiële) adviesvraagstukken. We leveren expertise van wereldformaat, op een manier die naadloos bij de unieke situatie van iedere klant aansluit. Wij werken vanuit een solide basis met een flexibele en resultaatgedreven mentaliteit. www.gt.nl

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter