Gegevensbescherming

Afhankelijk van de aard van het bedrijf en de waarde en betekenis van de bedrijfsgegevens kan het belangrijk zijn deze gegevens te beschermen tegen ongewenst gebruik cq. misbruik. De gegevens kunnen opgeslagen zijn op analoge media (papier, microfiches, etc.) en digitale media (CD’s, USB sticks,  disks, tapes, enz.). Toegang tot analoge media beperkt zich tot fysieke, visuele toegang tot het medium, eventueel met gebruik van mechanische of optische hulpmiddelen. Toegang tot digitale gegevens verloopt altijd via software. Deze visie beperkt zich tot die laatste categorie, zonder afbreuk te doen aan het belang van bescherming van de eerste categorie gegevens. Het beschermen van gegevens noodzaakt daardoor onder meer tot het beheersen van de bevoegdheden voor het gebruik van software die toegang geeft tot die gegevens.

Software categorieën

Er is een categorie software (hardware-utilities, systeemsoftware) die gegevens kan tonen, wijzigen en verwijderen zonder de bedrijfsmatige betekenis/context ervan aan te geven (hoewel deze meestal wél door technisch specialisten kan worden achterhaald). En er is een categorie software (bedrijfsapplicaties) die de gegevens kan selecteren, relateren, tonen, verzenden, ontvangen, wijzigen en verwijderen terwijl steeds de juiste en volledige betekenis ervan wordt getoond binnen de context van de bedrijfsvoering. Omdat beide categorieën risico’s voor het bedrijf kunnen vormen dienen ze beide onderworpen te zijn aan het gegevensbeschermingsbeleid.

Gestructureerde en ongestructureerde gegevens

Gegevens betreffende bedrijfstransacties en bedrijfsvoering zijn meestal gestructureerd in tabellen, relaties, velden, attributen, etc. met een vaste layout. Denk aan een orderdatabase of een grootboek. De betekenis van deze gegevens wordt pas duidelijk als ze worden getoond in de context van het bedrijf en het proces. Dan wordt een getal bv. een klantnummer of de prijs van een auto. Toegang tot (delen van) die gegevens wordt geregeld middels gebruikersprofielen en bevoegdheden.

Ongestructureerde gegevens daarentegen kennen geen vaste indeling en zijn meestal integraal vastgelegd met de bijbehorende context. Denk aan een Word document en een Excel grafiek. Ze zijn bij voorkeur volledig zelfverklarend en alle relevante gegevens staan erin. De applicatie die het document toont hoeft in principe niet te selecteren, relateren, context tonen, etc. maar dient alleen het document te tonen en eventuele wijzigingen aan te brengen. Het beveiligen van gestructureerde gegevens vergt meer inspanning maar geeft ook meer zekerheid; het vindt in het algemeen plaats op applicatie/database niveau. Het beschermen van ongestructureerde gegevens is een stuk moeilijker; bijna iedereen in het bedrijf gebruikt wel Word voor het dagelijks werk terwijl niet iedereen bepaalde Word documenten mag zien. Beveiliging van ongestructureerde documenten zal daarom vaak op documentniveau plaatsvinden, door er een password aan te koppelen of het in een specifieke folder te plaatsen en alleen geautoriseerde personen toegang te geven tot die folder.

Gegevens en informatie

Digitaal vastgelegde, gestructureerde, gegevens zeggen de lezer in het algemeen niets tenzij ze in de juiste context worden geplaatst en de betekenis van de gegevens wordt toegevoegd. Pas dan zijn gegevens informatief voor de lezer, dragen ze bij aan diens kennis en inzicht en kunnen diens handelen beïnvloeden. Gegevens vormen de “fysieke” basis van de informatie die zich vormt door de waarneming van de lezer. Gegevens kunnen de ene lezer informeren en de andere niet. Daarom dient beveiliging op beide niveaus te worden toegepast: gegevensbeveiliging (bv. door versleuteling van gegevens die zijn opgeslagen en over netwerken worden verstuurd) en informatiebeveiliging, bv. door het toepassen van een bevoegdhedenstructuur.

Bevoegdheden

Een bevoegdheid is de toestemming van de eigenaar van de gegevens aan een persoon tot het uitvoeren van een enkele specifieke applicatiefunctie die een bepaalde vorm van toegang geeft tot specifieke gegevens. Bevoegdheden worden bij voorkeur op een zo laag mogelijk individueel toewijsbaar niveau gedefinieerd.

Uitgangspunten voor gegevensbeveiliging (voorbeelden, niet limitatief)

  • Elk gegeven heeft één eigenaar
  • Gegevens zijn eigendom van de functie die die gegevens primair gebruikt voor het uitoefenen van de toegewezen operationele verantwoordelijkheid. Bv. het hoofd van de afdeling orderverwerking is eigenaar van de gegevens in de orderdatabase en het hoofd van de afdeling relatiebeheer is eigenaar van de gegevens in de relatiesdatabase. De eigenaar is ook meestal degene die de kosten van het gebruik van de bijbehorende applicatie betaalt, wijzigingen accepteert, en de revenuen ervan incasseert
  • de eigenaar bepaalt welke afdelingen en personen zijn gegevens, én dus de daarvoor noodzakelijke applicaties, mag gebruiken (eigen medewerkers zijn primaire gebruikers, anderen zijn gastgebruikers)
  • de direct hierarchisch leidinggevende van een medewerker is persoonlijk verantwoordelijk voor de bevoegdheden van diens medewerkers
  • het functioneel toewijzen/wijzigen/verwijderen van de bevoegdheden van medewerkers kan door de direct leidinggevende worden gedelegeerd, de verantwoordelijkheid ervoor niet
  • de daadwerkelijke uitvoering van wijzigingen in bevoegdheden kan door de direct leidinggegvende worden gedaan indien dit geen specifieke technische kennis vereist (meest efficient) of door een verantwoordelijke security administrator middels een wijzigingsopdracht
  • gegevensbeveiliging is een onderdeel van een specifieke ICT service (bv. “boekhouding” of “orderverwerking”) en bij voorkeur geen service op zich (het toekennen van bevoegdheden aan personen kan op verschillende manieren invloed hebben op de SLA in termen van kosten, licenties, capaciteit, etc.)
De scope en diepgang, en dus de kosten, van het gegevensbeschermingsbeleid moeten in verhouding staan tot de operationele risico’s van financiele en/of reputatieschade die kunnen voortvloeien uit misbruik van gegevens. Eerst dient dus een analyse te worden gemaakt van de aanwezige gegevens en de risico’s die daaraan kleven. Vervolgens kunnen maatregelen worden genomen om die risico’s te beheersen. Die maatregelen kunnen worden gerangschikt naar organisatorisch (logisch/functioneel)- en infrastructureel (meer fysiek) Gegevensbeveiligings Beleid.
Organisatorisch Gegevensbeveiligings Beleid (voorbeelden, niet limitatief)
  • bewustmaken van medewerkers t.a.v. gegevensbeveiliging
  • gebruik maken van Two-Factor authenticatie (“kennis en bezit”)
  • gebruik maken van Single-Sign-On
  • toepassen van functiescheiding
  • afdwingen van een strong password
  • afdwingen van een periodieke password wijziging door de houder
  • weigeren van toegang na bv. 3 mislukte inlogpogingen, eventueel gevolgd door lockout van de user-id
  • uitvoeren van periodieke vergelijkingen tussen actuele bevoegdheden en bv. de gegevens van personeelszaken (reconciliatie)
  • toepassen van een initieel password bij password reset door beheerder direct gevolgd door gedwongen password wijziging door houder
  • toepassen van “Chinese Walls”
  • toepassen van dual control bij uitvoering van security administratie
  • toepassen van meerdere autorisatieniveaus op transactieniveau (applicatieve informatiebeveiliging) afhankelijk van het risico van een transactie
  • niemand mag eigen bevoegdheden wijzigen
  • registreren van alle mutaties in bevoegdheden (wie, voor wie, wanneer, etc.)
  • rapporteren van incidenten en formuleren van verbeteracties
Infrastructureel Gegevensbeveiligings Beleid (voorbeelden, niet limitatief):
  • toepassen van encryptie bij transport en/of opslag van gegevens
  • toepassen van useraccount en password encryptie voor opslag en transport
  • toepassen van een toegangscontrolesysteem voor terreinen, gebouwen en ruimtes
  • toepassen van Two-Factor authentication (authenticatie op basis van kennis en bezit)
  • virusbestrijding
  • inbraakpreventie

Reacties kunnen niet achtergelaten worden op dit moment.