Adatklasszifikáció – kinek a micsodájával veressen a csalán?

A korabeli GDPR kapcsán Könyves "CISO" Kálmán hiába mondotta a pápai auditornak:

Data classifico vero quae non sunt, nulla questio fiat” - azaz “Adatklasszifikációnk mivel nincs, semmiféle vizsgálat ne tartassék.” – de az auditor úgy elmeszelte, hogy belepúposodott.

A korábbi adatklasszifikációval foglalkozó cikkünk miatt jónéhány üzenetet kaptunk, amelyek azt taglalták, miszerint hülye az, aki a klasszifikációt és a fájlok megcímkézését a felhasználókra bízza, sokkal hülyébb, mint a felhasználó, aki egyébként is hülye.

A népi bölcselettel kezdeném a reflektálást: Olcsó húsnak, hülye felhasználónak híg az awarenesse.

Nem tudok egyetérteni az olyan kijelentéssel, hogy azért nem lehet a klasszifikációt a felhasználóra bízni, mert inkompetens, meg hogy honnan is tudná, hogy mi van abban a fájlban, és azt hova kell besorolni.

Ez a kijelentés azért nem lehet igaz, mert a felhasználó dolgozik az adatokkal, és nem az adat a felhasználóval.

Azon lehet vitatkozni, hogy 

  • nem akarjuk még ezt is a felhasználó nyakába varrni,
  • túlterheltek a felhasználók és emiatt hibázhatnak a címkézésnél és félrejelölnek valamit,
  • bonyolítja a folyamatokat,
  • azért vannak adatgazdák, hogy végezzék el a besorolást,
  • Vettünk csilliárdért DLP-t, az majd megcsinálja automatikusan.

A felhasználóktól való félelem – pontosabban, a felhasználói felzúdulások generálta belső politikai csatározások valóban óvra intheti a felelőst, viszont azt is figyelembe kell venni, hogy a szervezet számára (nem csak a GDPR kapcsán, de nyilván most ez a legnagyobb drive) kiemelten fontos területről van szó.

Minden változás problémás, de a tudatossági oktatások nem véletlenül (lennének) fontosak:

  • ha a felhasználó megérti, mi a szerepe ebben a folyamatban,
  • hogy szemben az automatikus eszközök általa nem befolyásolható besorolással, a felhasználói címkézés sokkal több lehetőséget ad az kezébe (mondjuk nem blokkolódik el a kimenő levele azért mert az automata félreismert valamit),
  • hogy ő maga hatással (saját kontroll) lehet az adattranszfer folyamatokra

 szerintem szívesebben válik kvázi irányítóvá, mint egy láthatatlan és automata folyamat és preventív kontroll tehetetlen elszenvedőjévé.

A felhasználói túlterhelésből/oda nem figyelésből fakadó rossz besorolás valóban előfordulhat, viszont mivel a rossz címkét érvényesítő felhasználó, vagy az adathoz hozzáférő, azzal dolgozó másik felhasználó képes az átcímkézésre (reklasszifikáció!) – sokkal valószínűbb, hogy a következő hozzáféréskor, megnyitáskor, stb. képes a klasszifikáción és a címkén változtatni, szemben az automatával, amely majd valamikor, talán fél évente vagy évente egyszer majd végignyalja a fájlshareket és talán módosítja a besorolást.

Kicsit úgy érdemes ezt felfogni, mint az opensource fejlesztéseket: a jogosultsággal rendelkezők közössége  képes javításokat ajánlani, vagy maguk is képesek elvégezni azokat.

Egy másik érv a manuális címkézés mellett, hogy tapasztalatom szerint a vizualizációs jegyek az adott dokumentumban óhatatlanul is arra késztetik a felhasználót, hogy gondolkozzon el azon, helyes-e a dokumentum besorolása?

nyilvanos.png

Ne felejtsük el, a címkék nem csak metaadatban, de a dokumentum fejléc-lábléc részében is elhelyeződnek.

„- Vajon a Gyula mi a frászért jelölte ezt a dokumentumot GDPR-nak/Internal Only-nak, amikor CSAK ez és ez van benne?” – hangozhat el egy reklasszifikációt felvető gondolat :) - amelyet vagy követ egy Gyulához intézett kérdés, vagy nem, de megtörténhet az átcimkézés/reklasszifikáció, vagy éppen megerősítést nyerve helyben hagyódik a besorolás.

Automata eszköz esetében a következő reklasszifikációs kérdés hangzana el:

„- Mi a krva anyjáért szpat ez a bzi fs már megint?!” – majd a felhasználó a security csoportról hasonló kedves gondolattal emlékezne meg, azokról, akik a nyakába szabadították ezt a bzi fst (már megint).

Nyilván azzal is lehet segíteni a felhasználónak, illetőleg azzal is el lehet kerülni a folyamatok túlbonyolítását, ha a dokumentumsablonok már eleve a megfelelő címkével vannak ellátva. Ilyenkor, ha valaki a „Bizalmas szerződéssablon” template-ből dolgozik, abból készít új dokumentumot, nyilván már nem kell még egyszer megcímkéznie a kész dokumentumot.

Az adatgazdákkal kapcsolatban az a poénom jut csak eszembe, amit a DLP és adatklasszifikációs tréningeken mindig elsütök: A DLP projektmegbeszélésen általában azt jelölik adatgazdának, aki utolsónak ér be a meetingre.

Nyilván arra vonatkozik az axióma, hogy nagyon egyszerű egy osztályvezető/főosztályvezető/csoportvezető nyakába varrni az adatgazda szerepkört: - Ő a góré, ő felel az adatért!

Ez azonban szerintem rossz megközelítés.

Adatgazdának jelölni ugyanis csak olyan személyt lehet, aki az adatról a lehető legtöbbet tudja, és a legtöbb információval rendelkezik a sértetlenség-bizalmasság-rendelkezésreállás szentháromság vonatkozásában az adat rendeltetésszerű, üzemszerű keletkezéséről, felhasználásáról, esetleges továbbitásáról, megosztásáról.

Namost van, ahol ez a személy véletlenül az adott területi vezető, de nem minden esetben - viszont azt nehéz tagadni, hogy pl. egy új, létrehozott dokumentum esetében az adott felhasználó rendelkezik ezen információkkal. Lehet, hogy nem minddel, de hogy általában az adat/fájl létrehozójánál több információ áll rendelkezésre, mint egy "kijelölt adatgazdánál" az szinte bizonyos.

A DLP rendszerek és automatikus discovery eszközökkel kapcsolatban továbbra is az a véleményem, hogy a hosszú futásidő, a keresések által okozott többletterhelés az eszközökön, valamint a tökéletlen adatfelismerők és validátorok használata miatt nagyon javasolt alapos teszteket végezni a bevezetés előtt – szemben egy felhasználó-hajtotta címkézővel, ahol igazából nincs szükség nagyon alapos tesztekre (és amúgy is általában faék egyszerűek).

Nyilván a címkézők esetében ellenérvként ott van, hogy a bevezetés az agentek vagy Office beépülők miatt ki kell tolni az alkalmazást a munkaállomásokra, és van, ahol ez is igen fájdalmas tud lenni.

A legfontosabb azonban az, hogy ha a felhasználót hülyének, inkompetensnek tartjuk arra, hogy eldöntse egy fájl besorolását – akkor érdemes azon elgondolkodni, hogy ezek szerint hülyékre és inkompetensekre bíztuk a vállalat legnagyobb értékét: az adatvagyont.

Ez tehát nem lehet érv a felhasználói adatklasszifikáció ellen!