Dit is het derde artikel in een reeks van vier, waarin we het gaan hebben over soevereine Cloud, dataclassificatie en Cloud-strategieën.
Databescherming is van groot belang. Momenteel is NIS2 (de Network and Information Security directive) een actueel onderwerp en wordt er in de media veel over gesproken. Vanuit de overheid is een opvolger op de eerste NIS-richtlijn opgesteld, ontwikkeld om het algemene niveau van cyberbeveiliging in de EU te verhogen. Wanneer we dit in het licht van Cloud-routes plaatsen, zien we een nieuw element wat de keuze van een Cloud-platform bepaalt: regulering en wetgeving. Maar we zien ook een wisselwerking tussen classificatie en regulering. In dit artikel lichten we dat toe.
In het artikel van vorige week hebben we gezien dat het vanwege groeiende datavolumes nodig is om een verdeling te maken in de waarde die data heeft, dit noemen we: dataclassificatie. Er zijn een aantal classificaties vastgesteld:
1. Publieke data: algemene informatie die voor iedereen openbaar beschikbaar is en geen bedreiging vormt voor de veiligheid. Hier gaat het bijvoorbeeld om de gegevens op de LinkedIn-pagina van een organisatie, persberichten en andere generieke informatie.
2. Interne data: data die alleen voor intern gebruik is. Hoewel het geen vertrouwelijke informatie bevat, is het wel zo dat deze data schadelijk kan zijn als die in verkeerde handen terecht komt. Denk hierbij aan interne mailwisseling of documenten over projecten.
3. Vertrouwelijke data: dit is data die zeer gevoelige, bedrijfskritische gegevens bevat. Hier kan het gaan om klantinformatie, contracten of medewerkersinformatie.
4. Geheime data: uiterst vertrouwelijke data met zelfs onherstelbare schade voor een bedrijf tot gevolg wanneer het in verkeerde handen terecht komt, zoals bedrijfsplannen of informatie over een aanstaande overname.
Vanuit deze classificatie ontstaat de behoefte om een bepaalde mate van bescherming op te leggen, waarbij de overheid ook stuurt met regulering en wetgeving. NIS2 is een richtlijn en wordt niet opgedrongen met een vertaling richting de inrichting van Cloud, maar vereist wel dat er maatregelen genomen worden die data afdoende beschermen en dwingt daarmee om na te denken over maatregelen.
Eén van de maatregelen is de keuze van een Cloud-platform. Vanuit regulering en classificaties volgen vereisten die bepalend zijn voor de oplossingsrichting, denk bijvoorbeeld aan elementen als datalocaliteit (waar mag data opgeslagen worden?) en welke certificeringen beschrijven de juiste set van maatregelen om voldoende bescherming te bieden voor de specifieke dataklasse/classificatie.
Een voorbeeld hiervan staat in onderstaande figuur:
Concluderend zien we dat er een wisselwerking is tussen dataclassificatie en regulering op maatregelen (dan wel vanuit de overheid dan wel vanuit een normenkader/certificering). Hierbij komen onderdelen als datalocaliteit, conformering aan wetgeving en databescherming en vertrouwelijkheid. Het gekozen platform moet hier dus op aansluiten.
Door rekening te houden met deze onderdelen, ontstaat een slimme soevereine Cloud-strategie, waarbij de vereisten vanuit dataclassificatie aansluiten op het Cloud-platform. Eén van deze Cloud-platformen is de soevereine Cloud, zoals Fundaments ook aanbiedt. Alle onderdelen in die soevereine Cloud bespreken we in ons volgende blog, waarbij we aan de hand van het Sovereign Cloud Framework deze Cloud-route nader toelichten.
