Boldon James. Γεφυρώνοντας το χάσμα μεταξύ ασφάλειας και διαχείρισης δεδομένων
Ο βασικός λόγος που οι περισσότεροι οργανισμοί εξετάζουν να ταξινομήσουν τα δεδομένα που δημιουργούν και που διαχειρίζονται είναι για να διατηρήσουν τον έλεγχο της πρόσβασης σε ευαίσθητες πληροφορίες, λόγω της ανάγκης που προέκυψε για τη διαχείριση των κινδύνων στην ασφάλεια και τη συμμόρφωση τους με νέους κανονισμούς, όπως είναι ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας των Προσωπικών Δεδομένων (GDPR). Παρόλα αυτά, το πεδίο εφαρμογής παραμένει στενό.
Εστιάζοντας αποκλειστικά στους παραπάνω στόχους, οι οργανισμοί και οι εταιρείες χάνουν την ευκαιρία να αγκαλιάσουν την κατηγοριοποίηση δεδομένων και να εξαγάγουν μεγαλύτερη αξία για την επιχείρηση από τα περιουσιακά τους στοιχεία (δεδομένα).
Υπάρχουν δύο σαφείς σχολές σκέψης σχετικά με τη χρήση της ταξινόμησης δεδομένων, ασφάλεια και διαχείριση δεδομένων:
- Ασφάλεια δεδομένων: Οι ομάδες στον τομέα της ασφάλειας θεωρούν την ταξινόμηση ως μία προσέγγιση «means-to-an-end» που περιλαμβάνει το «security labelling» των δεδομένων ανάλογα με το πόσο ευαίσθητα είναι, ώστε να βοηθήσουν τους χρήστες και τα εργαλεία να προσδιορίσουν την αξία τους και να τα προστατεύσουν καταλλήλως.
- Διαχείριση δεδομένων: Οι ομάδες δεδομένων θεωρούν την ταξινόμηση ως την κατηγοριοποίηση της πληροφορίας για να βελτιώσουν την ποιότητα και την χρησιμότητά της. Η επιχειρησιακή κατηγοριοποίηση των δεδομένων βασίζεται γύρω από τον καθορισμό του πλαισίου (π.χ χρονικού) και του περιεχομένου τους και ακολούθως στην μελέτη του ποιος έχει πρόσβαση σε αυτά καθώς και του τρόπου με τον οποίο οργανώνονται, αποθηκεύονται, χρησιμοποιούνται και διαγράφονται σε όλη τη διάρκεια του κύκλου ζωής τους. Ο τομέας αυτός ασχολείται πρωτίστως με τον τρόπο με τον οποίο τα δεδομένα μπορούν να χρησιμοποιηθούν για την αύξηση της επίδοσης και της αποτελεσματικότητας της επιχείρησης, της βελτίωσης των διαδικασιών και της βελτίωσης των πρακτικών διακυβέρνησης των δεδομένων.
Στην Boldon James βλέπουν αυτούς τους δύο τομείς ως άρρηκτα συνδεδεμένους – και για να μπορέσουν οι οργανισμοί να επωφεληθούν πλήρως από την ταξινόμηση των δεδομένων, πρέπει να εξασφαλίσουν ότι και οι δύο κόσμοι είναι συνδεδεμένοι μεταξύ τους. Για να γίνει αυτό, θα πρέπει να επανεξετάσετε την πολιτική ταξινόμησης και να σχεδιάσετε μια προσέγγιση που πηγαίνει πέρα από το απλό «security labelling» και που θα αξιοποιεί την κατηγοριοποίηση δεδομένων.
Παρατηρούμε μια αυξανόμενη τάση για τους πελάτες της ταξινόμησης δεδομένων να κάνουν περισσότερες ερωτήσεις γύρω από τα δεδομένα τους. Έχοντας επομένως μια ευρύτερη οπτική του προβλήματος, από το «έχουμε όλα αυτά τα δεδομένα – πρέπει να τα προστατεύσουμε» πηγαίνουν στο «έχουμε όλα αυτά τα δεδομένα – θέλουμε να δουλέψουν σκληρότερα για εμάς».
Οι οργανισμοί πρέπει να στραφούν σε μια επιχειρησιακής κλάσης προσέγγιση για την ταξινόμηση, «επισημαίνοντας» (tagging, labelling) όλες τις πληροφορίες που χρησιμοποιούνται στην επιχείρηση ανάλογα με το τι είναι, και όχι ανάλογα με τις επιπτώσεις της απώλειας τους. Αυτό επιτρέπει στα εργαλεία διαχείρισης δεδομένων και στα εργαλεία ασφάλειας να εντοπίζουν, οργανώνουν, προστατεύουν και να αφαιρούν δεδομένα για να λαμβάνουν πραγματικά ενημερωμένες και συντονισμένες αποφάσεις.
Αυτό το λεπτομερέστερο «labelling» μπορεί να καταστεί δυνατό με την επισήμανση των δεδομένων ανάλογα την κατηγορία τους. Η κατηγοριοποίηση των δεδομένων είναι εύκολα κατανοητή από τους τελικούς χρήστες καθώς αφορά σε τύπους πληροφοριών που χρησιμοποιούν σε καθημερινή βάση, και επομένως είναι απλό για αυτούς να κατανείμουν τις πληροφορίες και τα δεδομένα σε κατηγορίες. Αφού μάθετε την κατηγορία, μπορείτε να αντιστοιχίσετε αυτόματα όλες τις άλλες σχετικές ετικέτες (tags) που αντικατοπτρίζουν τις ανάγκες διαχείρισης, συμμόρφωσης, διατήρησης και ασφάλειας της συγκεκριμένης κατηγορίας δεδομένων – καθώς και να εφαρμόσετε κανόνες πολιτικής συγκεκριμένα όμως για αυτές τις επιπλέον ετικέτες.
Για παράδειγμα, ένα έγγραφο μπορεί να κατηγοριοποιηθεί και να «επισημανθεί» ως Αίτηση Ταξιδιού Προσωπικού. Το εργαλείο ταξινόμησης δεδομένων θα προσθέσει αυτόματα όλες τις ετικέτες που σχετίζονται με αυτή την κατηγορία – για παράδειγμα μια ετικέτα διαχείρισης δεδομένων για «Ανθρώπινοι Πόροι, Διαχείριση Προσωπικού και Ταξίδια, μια ετικέτα Ενός Έτους, μια ετικέτα συμμόρφωσης με EU-GDPR και μια ετικέτα ασφαλείας Εμπιστευτικό/ PII. Αυτή η προσέγγιση αποκρύπτει την πρόσθετη λεπτομέρεια και περικλείει όλες τις απαιτούμενες πληροφορίες σε έναν εύκολα κατανοητό όρο.
Για να αξιοποιήσουν στο έπακρο την αξία των δεδομένων της επιχείρησης τους, οι οργανισμοί πρέπει να υιοθετήσουν μια πιο ολιστική προσέγγιση στην ταξινόμηση δεδομένων που να περιλαμβάνει την κατηγοριοποίηση δεδομένων και να υπερβαίνει το απλό «security labelling».
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.