Klassificera dina data och skydda konfidentiell information

Slutförd

I din organisation finns det flera system där man lagrar kundinformation, ekonomisk information och andra data som måste skyddas. Du behöver få en bättre bild av företagets data genom att klassificera dem, identifiera olika datatillstånd och lära dig hur informationen kan struktureras.

Här får du lära dig om olika datatillstånd. Du lär dig hur data kan klassificeras som konfidentiell, intern och offentlig. Du lär dig också hur du skiljer på strukturerade och ostrukturerade data.

Datatillstånd

Data kan ha olika tillstånd vid olika tidpunkter. På den mest grundläggande nivån förekommer följande datatillstånd:

  • Vilande data är data som lagras någonstans. Vilande data kan vara lagringsobjekt och filer på fysiska medier. Mediet kan vara en optisk disk eller en magnetisk disk, t.ex. en hårddisk.
  • Data under överföring är data som flyttas över ett nätverk eller mellan två platser (eller program).
  • Data som används är data som bearbetas, uppdateras, genereras eller används på något vis.

Normalt sett går informationen igenom alla tillstånd under dess livscykel.

Datatillstånd och dataklassificeringar hör ihop. Du kommer inte att kunna uppfylla klassificeringskraven för dina data om du inte förstår deras olika tillstånd och planerar därefter.

Om du förstår de olika tillstånden i livscykeln för dina data, och hur de klassificeras, kan du ta fram effektiva dataskyddslösningar samtidigt som du uppfyller både myndighetsförordningar och viktiga affärskrav. Överväg att kryptera dina data oavsett deras tillstånd, såvida de inte uttryckligen har klassificerats att inte krypteras.

Dataklassificering

Data kan kategoriseras i klassificeringsnivåer. Data som klassificeras i någon av dessa nivåer behåller sin klassificering oavsett deras aktuella tillstånd. Om data till exempel klassificeras som mycket konfidentiella ligger de normalt kvar på den klassificeringsnivån, vare sig de bearbetas, överförs eller är vilande.

Klassificeringen baseras på hur viktiga data är för företaget och dess intressenter. Alla data har viss inverkan. Den här inverkan kan vara ekonomisk, juridisk eller anseendemässig.

Kunddata kan läckas, eller så kan ett företags interna data ha distribuerats online där alla kan komma åt dem. Inverkan på organisationen och dess kunder kan vara förödande. Det är därför data klassificeras olika beroende på hur de kan påverka företaget och dess intressenter.

Klassificeringarna kan variera mellan olika organisationer, men normalt används nivåerna hög, medel och låg. En organisation kan till exempel ha följande tre klassificeringar:

  • Konfidentiella (hög): Exponering eller förlust av dessa data får stora konsekvenser för organisationen eller individen, vare sig det rör sig om en kund eller en anställd. Några exempel:

    • Personuppgifter såsom namn och adress
    • Ekonomisk information såsom kontosaldo eller insättningar
    • Kod eller immateriell egendom som tillhör en organisation
    • Lösenord, autentiseringsuppgifter för användare/program, kryptografiska nycklar och certifikat
  • Endast internt bruk (medelnivå): Information som endast ska visas internt och som inte får delas med någon utanför organisationen. Några exempel:

    • E-postmeddelanden som kan tas bort eller distribueras utan att det medför allvarlig inverkan
    • Filer som inte innehåller konfidentiella data

    Vi rekommenderar att alla data i en organisation klassificeras på medelnivå eller högre. Ändra dina förväntningar om data uttryckligen klassificeras som konfidentiell eller för offentligt bruk.

  • Offentliga (låg): Den här typen av data kan exponeras utanför organisationen. Det här är ofta data som avsiktligen måste delas med andra i affärssyfte. Några exempel:

    • API-dokumentation för en produkt eller tjänst som organisationen erbjuder till kunder
    • En ny offentlig webbplats där man publicerar information om en ny lösning
    • En offentlig intervju där man tillkännager en ny strategi

Strukturerade och ostrukturerade data

Generellt kan du kategorisera data som antingen strukturerade eller ostrukturerade.

Strukturerade data kan finnas i ett kalkylblad eller i en relationsdatabas. Den här typen av data finns i ett fast fält som är en del av en större post. Tänk dig ett kalkylblad som visar information om anställda. Det finns kolumner för personalinformation, till exempel anställnings-ID, befattning och lön. Här är ett exempel som illustrerar hur den här typen av strukturerad data kan se ut:

Anställnings-ID Roll Lön
12345 Kassör 25 102 USD
67890 Kassör 25 102 USD
10123 Säkerhet 25 301 USD

Ostrukturerade data kan till exempel vara bilder, videor och filer såsom ordbehandlingsdokument. Den här typen av data registreras inte i konventionella fördefinierade fasta fält. Exempelvis visas källdata för ett PDF-dokument i ostrukturerat format. Programmet för dokumentet återger informationen på ett meningsfullt sätt. I ett annat exempel är strömmande videodata från livestreamers ostrukturerade i deras obearbetade format, men de visas på ett meningsfullt sätt för tittarna.

Alla data måste hanteras och klassificeras utifrån deras inverkan på organisationen och företagets intressenter, vare sig de är strukturerade eller ostrukturerade.

Testa dina kunskaper

1.

Vad av följande bör klassificeras som offentlig information med låg konfidentialitet?

2.

Din organisation upptäckte att ekonomisk information tillhörande företagets kunder var nära att gå förlorade på grund av ett programvaruproblem på en server. Med tanke på hur incidenten kunde ha påverkat organisationen fanns det tack och lov skyddade kopior av dessa data på andra platser. Hur klassificerades dessa data?