Niet alles is even belangrijk

In de informatiebeveiliging is niet alles even belangrijk. Voor het beschermen van sommige informatie zul je meer werk willen verzetten dan gegevens die bijvoorbeeld niet vertrouwelijk zijn. Met een mooi woord noemen we dat classificeren. Zouden we alles even goed proberen te beschermen dan riskeer je al snel veel geld te spenderen voor relatief kleine risico’s. Omdat budgetten en menskracht eindig zijn, kun je daardoor niet alles even goed beschermen. Je zult dus een onderscheid moeten maken tussen verschillende niveau’s van beveiliging. Om goed te bepalen welk niveau van beveiliging hoort bij welk risico hoor je informatie te classificeren. Zo is precies duidelijk welke maatregelen bij welke informatie hoort. Toch is dat eenvoudiger gezegd dan gedaan. Goed classificeren is een vak.

Een mooi voorbeeld is het dossier van Omroep Flevoland rond het Berechja College, een vissersschool, in Urk. Daar zijn de nodige financiële problemen. Er werden documenten gelekt, waarna er voor €30.000 een onderzoek werd gestart naar het lek. De bron werd niet gevonden, maar er volgden wel aanbevelingen in een raadsvoorstel (pdf). Daarbij was een van de conclusies dat duidelijk moet zijn wanneer iets vertrouwelijk is en wanneer niet. Ook komen er gedragsregels hoe met deze informatie wordt omgesprongen. Dat betekent in beveiligingstermen dat er beter wordt geclassificeerd en duidelijker wordt afgesproken hoe met de classificatie wordt omgesprongen. Een logische stap van beveiliging.

Waar het gemeentebestuur van Urk in wilde doorschieten is dat de e-mail van de raadsleden volledig in de gaten zou worden gehouden. “Gegevens van verzonden berichten naar het gemeentelijke e-mailadres moeten te allen tijde door de gemeente opgevraagd kunnen worden”, stond dan ook in het raadsvoorstel. Dat zou een vreemde gang van zaken zijn, omdat juist de gemeenteraad het gemeentebestuur hoort te controleren. Dat juist dat bestuur de raadsleden wil controleren is een onlogische, heftige maatregel. Dit voorstel werd door de gemeenteraad verworpen. Het juist optreden na een beveiligingsincident is lastig, omdat risico’s nooit helemaal zijn uit te sluiten.

 

Tegenover Omroep Flevoland reageert auteur Brenno de Winter op het voorstel:

 

Lees meer over classificatie in hoofdstuk 18.