Het organiseren van een dataclassificatie sessie: Wat mis je in deze opzet van het IB en P?

Als gemeente gebruik je binnen je dagelijkse processen veel informatiesystemen waarin data wordt verwerkt. Deze systemen kunnen kwetsbaar zijn voor dreigingen van binnen en van buiten de organisatie. Hierdoor loop je bepaalde risico’s. Het is daarom belangrijk om risicoanalyses uit te voeren op deze systemen. Om de ernst/impact van een risico en de reikwijdte van een maatregel te kunnen bepalen, kun je een dataclassificatie sessie organiseren. Maar hoe doe je dat en welke collega’s moet je hiervoor uitnodigen?

Risicoanalyses

Met behulp van risicoanalyses krijgt het management inzicht in de afhankelijkheden van kritische processen en de impact bij uitval. Zo dient de lijnmanager (vaak ook de proceseigenaar) een risicoanalyse uit te voeren en de kwetsbaarheden en risico’s vast te stellen. Zij weten tenslotte als beste in hoeverre risico’s acceptabel zijn voor het proces waar zij verantwoordelijk voor zijn. Op basis hiervan kan vervolgens bepaald worden welke beveiligingsmaatregelen getroffen moeten worden om de risico’s terug te dringen. En vooral bij de vertaling van een risico naar een passende maatregel vormt classificatie een belangrijk onderdeel. Eerder schreven we al de blog: ‘Dataclassificatie versus Informatiebeveiliging’, waar we zijn ingaan op wát je nu eigenlijk classificeert, wat het belang is van classificatie en, nog veel belangrijker, wat je er vervolgens mee kunt doen. Wil je hier eerst meer over weten, lees de blog dan hier.

Handreiking Dataclassificatie

Om gemeenten op weg te helpen met dataclassificaties heeft de IBD een handreiking Dataclassificatie opgesteld, deze kun je zien als een soort van risicoanalyse. In de handreiking wordt beschreven wat je in kaart moet brengen om een dataclassificatie uit te voeren. De handreiking geeft aan wat je moet doen, in deze blog wil ik in gaan op de hoe-vraag: “Hoe kun je zo’n dataclassificatie uitvoeren?” Eén van de mogelijke manieren is bijvoorbeeld het organiseren van een dataclassificatie sessie met alle betrokken collega’s bij een bepaald systeem of proces. Maar hoe organiseer je zo’n sessie en wie moet je hiervoor uitnodigen?

(Workshop) sessie dataclassificatie

De allereerste stap bij het organiseren van zo’n sessie is om te zorgen dat je de juiste mensen aan tafel hebt. Nodig dus alle collega’s uit die vanuit hun rol te maken hebben met het systeem waar je de classificatie op uitvoert. Hierbij kun je bijvoorbeeld denken aan: de systeem eigenaar/het afdelingshoofd, de functioneel applicatiebeheerder, de kern gebruiker, de CISO/Security Officer en een IT medewerker. Maar let op: wanneer je een dataclassificatie van een proces doet, kunnen hier uiteraard meerdere systemen onder vallen. In dat geval raad ik je aan om alle betrokken applicatiebeheerders en mogelijke systeemeigenaren voor deze sessie uit te nodigen.

Stappen voor een geslaagde sessie

En dan, je hebt een datum gepland, een ruimte geregeld en de juiste collega’s uitgenodigd. De volgende stap is de inhoud van de sessie. Als je dit goed voorbereid, zul je ook een geslaagde sessie hebben. Je kunt de sessie op delen in een aantal stappen. Ik schrijf ze hieronder verder voor je uit.

Stap 1: Stel je doelen vast

Na een korte voorstel ronde (indien nodig) is het goed om samen met de aanwezige collega’s de specifieke doelstellingen van de sessie vast te stellen: namelijk het uitvoeren van een dataclassificatie van een systeem/proces op het gebied van Integriteit, Vertrouwelijkheid en Beschikbaarheid.

Stap 2: Stel vast wat je met elkaar gaat doen

Wanneer het voor iedereen duidelijk is wat het doel is van de sessie, is de volgende stap om aan te geven op welke manier deze doelen gehaald gaan worden. Dus wat gaan we precies met elkaar doen tijdens deze sessie? Eén van de mogelijkheden is om de vragenlijst van de IBD uit de Handreiking Dataclassificatie te gebruiken. Wanneer je dit doet kun je dit aangeven en deze uitdelen aan de collega’s. Hier staat precies in welke vragen je tijdens de sessie beantwoordt wilt krijgen. Deze zou je ook al van te voren kunnen toesturen.

Stap 3: Breng verwachtingen in kaart

Wanneer het doel van de sessie is bepaald, er is besproken op welke manier we dit gaan doen, is de volgende belangrijke stap om duidelijk te maken wat je van elkaar verwacht. Zo moeten alle collega’s voor hun specifieke aandachtsgebied alle noodzakelijke informatie aanleveren om de vragenlijsten juist in te vullen. Iedereen heeft zijn eigen expertise, en daardoor ontstaat er een compleet overzicht over alle gegevens die verwerkt worden binnen een bepaald systeem en op welke wijze deze gebruikt en beheert worden.

Stap 4: Ga door de vragenlijsten heen

Als organisator ga je vervolgens door de verschillende vragenlijsten heen om de dataclassificatie te bepalen. Zorg dat er voldoende tijd is voor iedereen om zijn of haar mening te geven, maar kijk uit dat er geen te lange discussies (welles, nietes) ontstaan. Wanneer er onduidelijkheden zijn waar collega’s tijdens de sessie niet uitkomen, bewaar deze dan en spreek af dat deze collega’s na de sessie een afspraak met elkaar maken om hier verder over door te praten en tot een definitief antwoord te komen. Tijdens de sessie worden de vragen ingevuld en door de collega’s beargumenteerd.

Stap 5: Bepaal aanvullende maatregelen

Tijdens de sessie kan er ook al met elkaar gekeken worden naar mogelijke aanvullende maatregelen die genomen moeten worden. Hiervoor is het goed om iemand van IT aangehaakt te hebben. Hij of zij kan goed beoordelen of de technische inrichting van een systeem voldoet aan de eisen die gesteld worden vanuit de dataclassificatie. Wanneer blijkt dat de acties die tot nu toe genomen zijn niet overeenkomen met de eisen, is het goed deze actiepunten te noteren en iemand aan te wijzen om deze actiepunten op te pakken. Je zult zien dat sommige acties vrij snel en eenvoudig geïmplementeerd kunnen worden (quick wins) en dat andere acties meer inspanning vragen en misschien zelfs in projectvorm moeten worden opgepakt. Let op: Het kan ook zijn dat er gekozen wordt om bepaalde maatregelen niet te implementeren, omdat je met elkaar vindt dat dit niet noodzakelijk is voor een bepaald systeem/proces. Om te kijken wat de echte risico’s zijn, wordt aangeraden wel altijd een risicoanalyse te doen. Een besluit kan namelijk ook zijn dat je een bepaald risico accepteert (dit moet dan wel vastgelegd worden). Anderzijds kan een risicoanalyse goed werken in de argumenten richting een MT om bijvoorbeeld budget vrij te krijgen om maatregelen juist wel te nemen.

Stap 6: Laat het document door de systeem/proceseigenaar ondertekenen

Last but not least, wanneer het definitieve document van de dataclassificatie is opgesteld is het belangrijk om deze te laten ondertekenen door de systeem/proceseigenaar. Zorg ervoor dat deze persoon bij de sessie aanwezig is. Hiermee voorkom je achteraf discussie over waarom bepaalde vragen op een bepaalde manier zijn ingevuld. Zo kan het zijn dat de systeem/proceseigenaar in de praktijk veel verder van de werkvloer staat. Dan helpt zo’n sessie om een goed beeld te krijgen van de praktijk om uiteindelijk een beoordeling te kunnen maken.

Stap 7: Evalueer de sessie

Mijn tip: plan wanneer de dataclassificatie is afgerond altijd een korte evaluatie in. Wat ging er goed? Wat kon er beter? Hoe was de structuur? Wat hebben we gemist? Elke organisatie is anders ingericht, en daardoor moet je zoeken naar een dataclassificatie proces die aansluit bij je organisatie. Uit de evaluatie kun je verbeterpunten halen die je in een volgende sessie weer kunt toepassen.

Heb je naar aanleiding van deze blog vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.

Weergaven: 86

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

© 2019   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden