Al enige tijd is het mogelijk om binnen het Microsoft 365 platform dataclassificatie toe te passen op documenten en andere soorten data welke een bedrijf heeft. Maar wat is dataclassificatie eigenlijk en waarom is het zo belangrijk om dit toe te passen! Ook krijgen wij bij Blue Identity vaak vragen over wat dit voor impact heeft op een organisatie en hoe dit het beste geïmplementeerd kan worden.
In deze blogpost gaan we in op een basisconfiguratie welke eigenlijk kan worden toegepast binnen elke organisatie. Uiteraard is ook dataclassificatie of Unified labeling zoals dit binnen het Microsoft 365 purview platform heet een workload welke je zo complex kan maken als dat je zelf wil.
Wat is dataclassificatie
Dataclassificatie is eigenlijk een onderdeel van een groter geheel, namelijk de BIV-classificatie. Volgens Wikipedia is een BIV-classificatie het volgende;
Een BIV-classificatie of BIV-indeling is een indeling die binnen de
informatiebeveiliging wordt gehanteerd, waarbij de beschikbaarheid (continuïteit), de integriteit (betrouwbaarheid) en de vertrouwelijkheid (exclusiviteit) van informatie en systemen wordt aangegeven. BIV is het acroniem voor Beschikbaarheid, Integriteit, Vertrouwelijkheid.
In dit voorbeeld gaan we uit van de V- vertrouwelijkheid. Op basis van dit gegeven gaan we kijken welke soorten data er zijn over het algemeen altijd zijn. Wanneer we dit doen kunnen we eigenlijk de BIV-classificatie ook een stuk eenvoudiger maken. Denk hierbij bijv. aan een goede spionagefilm. Hier komen wel eens documenten voor waarop er een grote rode stempel staat met termen als Top secret of Classified. Dit zijn eigenlijk ook classificatie type alleen dan in een niet digitale variant.
Nu je weet wat dataclassificatie is gaan we kijken hoe we dit kunnen toepassen in de hedendaagse wereld.
Dataclassificatie toepassen
Als we kijken naar de manieren waarop we dataclassificatie toepassen is dit eigenlijk op te delen in verschillende soorten data. Als voorbeeld nemen we de volgende soorten data:
- Salarisstroken
- Persoonsgegevens
- Klantgegevens
- Technische documentatie
Uiteraard is het wel de vraag of je persoonsgegevens in de Cloud moet zetten maar dat is iets voor een andere blog.
Wanneer we kijken naar de soorten data die bij een bedrijf aanwezig is dan is het eigenlijk altijd mogelijk om 4 soorten dataclassificaties of labels toe te passen.
- Interne data
- Public data
- Confidential data intern
- Confidential data extern
Soorten labels
Wanneer we spreken over labels zijn er vele soorten labels te bedenken. Al deze labels zijn mogelijk toe te passen of verschillende soorten data binnen jouw organisatie. In dit voorbeeld gaan wij uit van een 4-tal labels om het overzichtelijk en eenvoudig te houden. Wil je hier meer over weten laat ons dit dan weten, wij helpen je graag verder.
Interne data
Het label interne data passen we eigenlijk altijd standaard toe op alle data soorten data welke wordt aangemaakt binnen de Microsoft 365 cloud. Hiermee weten we zeker data niet zomaar wordt verstuurd zonder dat dit de juiste classificatie heeft.
Public data
Het label public data is wat wordt toegepast op bijv. advertentie documenten of data welke publiekelijk beschikbaar wordt gemaakt. Dit label heeft eigenlijk dit minste zwaarte en dus ook security. Maar daardoor niet minder belangrijk. Het is namelijk van belang dat alle data geclassificeerd wordt. Ook voor de adoptie binnen een bedrijf is dit van belang.
Confidential data intern
Het label confidential data intern is eigenlijk voor data wat bijvoorbeeld klant gericht is. Of documenten waaraan gewerkt wordt. Dit type data is niet bedoeld om publiekelijk te verspreiden en kan eventueel gevoelige data bevatten welke het bedrijf of de klant kan beschadigen.
Confidential data extern
Dit laatste label is iets wat wij binnen Blue Identity bijvoorbeeld gebruiken wanneer wij een APK-security scan hebben uitgevoerd. Dit soort security scans resulteren in documenten waar gevoelige data in staat. Dit soort documenten wil je uiteindelijk wel met je klanten delen. Door middel van dit label weten wij zeker dat dat op een juiste manier gebeurt.
Implementatie
Nu we de labels hebben gedefinieerd gaan we door naar de implementatie
*note: hou er rekening mee dat dit een basis is. Het is goed mogelijk dat dit niet passend is voor jouw organisatie. Wees ook altijd bewust van de eventueel impact op de organisatie die dit kan veroorzaken.
- Ga naar het Information protection onderdeel binnen https://compliance.microsoft.com
- Maak de labels aan zoals we eerder hebben gedefinieerd.
- Maak een policy aan waarmee je de labels beschikbaar stelt binnen jouw organisatie. Om te zorgen dat je niet gelijk de gehele organisatie raakt is het belangrijk dat je deze eerst richt op een beperkte groep gebruikers om te testen.
- De policy ziet er uiteindelijk uit zoals in de onderstaande afbeelding.
Eigenlijk is dit de implementatie van Unified labeling in de meest basis manier. Uit onze ervaring blijkt dat dit een mooie set is om mee te gaan experimenteren. Doordat je experimenteert met deze set dataclassificatie leer je snel wat de mogelijkheden zijn. En voor je het weet ben je bezig met Defender for Cloud Apps in combinatie met jouw eigen gemaakte labels.
