Stel je voor!

Je zit in een situatie waarbij je zowel binnen je eigen omgeving (IT landschap) en met relaties in de buitenwereld informatie moet uitwisselen en je wil voorkomen dat anderen deze informatie kunnen onderscheppen of dat informatie ongewenst je eigen veilige omgeving verlaat.

Alle geautomatiseerde maatregelen die processen van toegang tot informatie of verspreiding van informatie beveiligen, zijn afhankelijk van labels. Metadata 

Interne vraagstukken (Intranet)

Voor interne gegevensuitwisseling valt dit onder de vlag van identity & access management (IAM). Daarmee  wordt gewaarborgd dat degene die de informatie leest of bewerkt ook degene is die hij, hun of zij zegt te zijn. Daarnaast kun je ook nog de vraag beantwoorden of deze persoon over die informatie mag beschikken.

Deze vraagstukken vereissen dat access management is georganiseerd op het niveau van een informatieobject (lees een bestand). Wanneer men gebruik maakt van folders/ mapjes dan erven de bestanden de rechten die op die, hoger gelegen, mapjes zijn ingesteld. Op het moment dat je een bestand van het ene mapje naar het andere verplaatst dan verander je dus ook de rechtenstructuur. 

Natuurlijk kun je hier nog een hoop uitzonderingen op verzinnen zoals:

  • We maken intern gebruik van meerdere landschappen die allemaal omgeven zijn door een firewall.
  • We hanteren gescheiden (fysieke) landschappen voor verschillende beveiligingsniveaus.

Gegevensuitwisseling met externe partners

De anderen binnenlaten

Er zijn situaties denkbaar dat 2 of meer organisaties elk hun eigen landschap onderhouden maar dat het heel practisch is om sommige dingen samen te doen (het heet tenslotte collaboratie). Met oplossingen als Microsoft 365 is het, technisch gesproken, kinderlijk eenvoudig om dat te doen. 

Het vergt wel enig nadenkwerk om te bepalen in welke mate men alles wil delen. Maar uiteindelijk ligt de oplossing weer in het gebruik van labels en kan er gewerkt worden met instellingen als:

  • Delen met iedereen
  • Delen met iedereen behalve externen

De anderen adresseren (opsturen)

Daarnaast zijn er situatie denkbaar waarin, ook gevoelige, informatie wordt gedeeld met ketenpartners en dan is het zaak om gebruik te maken van hulpmiddelen als Information Exchange Gateways (IEG) om dit proces te regiseren. 

Besef wel! Op het moment dat het bestand de deur uit is dan is het eigendom van de ontvanger en heb je er geen grip of zeggenschap meer over. 

En een compleet verzonnen verhaal

Deze 3 organisaties zijn werkzaam in de Noordelijke Atlantische Oceaan. Elk van de drie partijen heeft zijn eigen expeditionaire IT-spullen bij zich waardoor ze volledig onafhankelijk zijn van wat ze in het land van herkomst (op kantoor) gebruiken.

Met elkaar hebben ze afspraken gemaakt over gegevensuitwisseling en daarbij maken ze een onderheid tussen de gevoeligheid van informatie. Dat noemen ze classificatie. Denk dan aan waarden als: niet geclassificeerd, intern, vertrouwelijk en geheim.  daarnaast hebben ze ook afspraken gemaakt over de aard van de berichten/ bestanden. Dat noemen ze merking. Denk aan waarden als: personeelsvertrouwelijk, medisch, commercieel, ecologisch, rampenbestrijding etc. 

Situatie 1

Petroleux ontdekt een technisch onbekend object (onder water) wat mogelijk enorme commerciële potentie heeft. Nu hebben ze de inzet nodig van een andere bedrijf als Diplodocks omdat er specialistisch hijswerk nodig is voor de berging. Gezamenlijk maken de bedrijven meer kans om veel geld te verdienen. 

Voor dit soort situaties worden berichten verzonden met de classificatie “geheim” en de kenmerken (of merking) “commercieel” en/of “ufo”. Nu willen ze voorkomen dat deze berichten niet per ongeluk worden verzonden naar ontvangers die daar niets mee te maken hebben. Dit kun je afdwingen met een bedrijfsregel die wordt toegepast door de gateway. De labeling verzorgt de parameters voor het proces dat de gateway uitvoert. 

De verzender zet per ongeluk ook een ontvanger met een mailadres …@galippo.com in de mail. De gateway zal op basis van de merking het bericht wel verzenden naar …@diplodocks.com maar zal de mail naar …@galippo.com tegenhouden.

Situatie 2

Terwijl Petroleux bezig is met een bergingsoperatie lijkt het erop dat er een smerige rookwolk vrijkomt. Onmiddellijk wordt een “geheim” bericht opgesteld met de merking “ecologisch” en/of “medisch”. Op basis van die kenmerken zal de gateway het bericht wel doorzenden naar zowel …@galippo.com en …@diplodocks.com 

Voor de ontvangende partijen zullen de berichten door hun gateway worden opgevangen en wanneer ze legitiem blijken dan worden ze doorgezet binnen het landschap van Galippo of Diplodocks. Hun automatisering kan worden aangestuurd met de rubricering en/ of merkingen die aan het bericht zijn verbonden.