jeudi 29 décembre 2011

Classify the information? No doubt it is a... sexy step!

Classify the information? No doubt it is a... sexy step!
For a decade now, we can see that, before implementing an information security policy, some agencies have already established, for several years now, safety –sometimes preventive in nature–  detection and/or even corrective measures. On each occasion, these bodies have invested in large projects, infrastructure and, very often, in the procurement of commercial products.

In fact, Daniel Geer pointed it out in the following statement: '' three quarters of all data losses are discovered by unrelated third parties, from which one can inevitably infer that the victim's network and infrastructure security regimes were neither effective nor relevant.'' (See: http://www.scmagazineus.com/the-enterprise-information-protection-paradigm/article/164341/)(It should also be noted that data is not just digital, demonstrating that information security does not depend only on information technologies.)
If lacking a previous and effective management of the information (information assets under ISO2700x), it is very hard for these bodies, if not impossible, to know what to protect and how. Finally, the implementation of security measures results in users’ complaints, as, not only information security does not generate efficacy if taken in the wrong way, but, on the contrary, it can generate constraints, not to mention the dangerous circumventions of rebels.

Thankfully, to implement such a thing is simple even as, due to the fact of being strongly linked to a cultural change, it is still necessary to go step-by-step, and, as with all great changes, it is recommended to go slowly but surely in order to ensure continuity.
In our experience, several bodies –after having followed our 6 steps– have managed to enforce their own information classification policy with the goal of better applying security measures and managing their risks efficiently:
1) Identifying sensitive and indispensable information for the smooth progress of affairs
This step, based on the agency’s highest priorities and its business lines, helps to swiftly illustrate all sensitive information. Sometimes, the data can also be subject to laws and regulations, thus facilitating the identification task. At the time of the identification, care should be taken to distinguish between primary and support assets –when applying security measures for the latter, we should keep in mind this differentiation and do it accordingly to sensitivity of the primary assets they support.


(“Find out why identification is the first step towards a more intelligent protection of information and to avoid costly data breaches”:
http://www.cerberis.com/actualite-une-protection-des-donnees-plus-intelligente-grace-a-l---identification-133.html)
2) Localizing relevant information
In this step, all relevant information, in any form –digital or not–, is localized physically and logically. Partners and entities with varying degrees of confidence are increasingly sharing data. It is necessary to regain some control or, at least, know where the data is.

3) Defining all participant’s roles and responsibilities
This very important step is to define information owners, officers and holders’ roles and responsibilities. Indeed, without this step, there is no responsibility and, therefore, no accountability. Thanks to it, holders will be able to apply security measures appropriately, according to the sensitivity expressed by information officers and owners.

4) Establishing a grid of sensitivity, basis for the classification of the information
This step aims at defining a classification in terms of criteria such as the indispensable availability, integrity and even confidentiality. With regards to the latter, we can find the following categories: external, internal, confidential and strategic.

Nevertheless, it can be subject to discussions and distortions as universal classifications cannot be ignored and, hence, are widely criticized. It would therefore be appropriate to offer a level of corporate classification and allow an extra and internal sensitivity level to each service or directorate. 5) Marking the information
Finally, this step, crucial to ensure continuity in the classification, involves marking the information with a label (physically) or even in a cartridge (logically). The information management process becomes therefore easy and intuitive, even invisible, as users, step-by-step, will be led to classify the information since the creation of the data.

6) Engaging users
Since the very beginning of your implementation project, it is critical to engage users via a pilot project, showing benefits and managing changes of theirs processes.

During this step, users will consider again the sensitivity of their data, bringing you the opportunity to set the classification grid.
By following these six steps, the cornerstone of your security policy will take shape, whatever the underlying technologies are, in a continuous process of improvement.

However, once your data starts becoming localized; responsible stakeholders, designated; and data, classified according to its sensitivity, you will start coming out of the mist. The application of security measures will become more efficient and logical; supervision, more focused; and justification of organizational measures or technological security solutions expenses, easier.

Your questions, comments or suggestions are most welcomed. Thanks.

mardi 13 décembre 2011

La classifica​tion de l'informat​ion ? Une étape incontesta​blement... sexy !

La classification de l'information ? Une étape incontestablement... sexy !

On remarque, depuis une décennie, qu'avant de mettre en force une politique de sécurité de l’information, les organismes ont déjà, depuis plusieurs années, mis en place des mesures de sécurité, parfois de nature préventive, de détection et/ou encore de correction. Et, à chaque fois, ces organismes ont investi dans de grands projets, de grandes infrastructures et, très souvent, dans l'acquisition de produits commerciaux.

D’ailleurs, Daniel Geer le mentionne si bien dans : ''  three quarters of all data losses are discovered by unrelated third parties, from which one can inevitably infer that the victim's network and infrastructure security regimes were neither effective nor relevant.'' cf. http://www.scmagazineus.com/the-enterprise-information-protection-paradigm/article/164341/

(A noter également que l’information n’est pas que numérique… ce qui démontre que la sécurité de l’information n’est pas seulement tributaire des technologies de l’information.)

Mais, sans avoir au préalable mis en place une gestion efficace de leur information (actifs informationnels selon ISO2700x), il est très difficile pour ces organismes, voire impossible, de savoir ce qu'ils doivent protéger et comment. Finalement, la mise en œuvre de mesure de sécurité entraîne des plaintes des usagers, car, prise du mauvais côté, la sécurité de l’information n'est pas génératrice d'efficacité mais, au contraire, elle génère des contraintes, sans compter les dangereux contournements des rebelles.

Heureusement, la mise en place d'une gestion efficace de l'information est simple ; encore faut-il y aller pas à pas, car c’est grandement lié à un changement de culture et, comme tout grand changement, il est conseillé, pour en assurer une pérennité, d’y aller lentement, mais sûrement.

Selon notre expérience, plusieurs organismes ont - grâce à nos six étapes - réussi à mettre en force leur politique de classification de l'information dans l’objectif de mieux appliquer les mesures de sécurité, de mieux gérer leurs risques, et ce, de façon efficiente :

1) Identifier l'information sensible et indispensable au bon déroulement des affaires
Cette étape, basée sur la raison d'être de l'organisme et ses lignes d'affaires, permet de faire ressortir rapidement l'information sensible. L’information peut parfois être également assujettie à des lois et règlements, ce qui facilite la tâche d’identification.

Lors de l'identification, on prendra soin de faire la distinction entre les actifs primordiaux et de soutien, car c'est grâce à cette distinction que nous devrons, sur les actifs de soutien,  appliquer les mesures de sécurité, selon la sensibilité des actifs primordiaux qu’ils soutiennent.

(''découvrez pourquoi l’identification est la première étape vers une protection des informations plus intelligentes et évitant de coûteuses violations de données'' :
http://www.cerberis.com/actualite-une-protection-des-donnees-plus-intelligente-grace-a-l---identification-133.html)

2) Localiser l'information pertinente
Cette étape consiste à localiser physiquement et logiquement l'information pertinente, et ce, peu importe sa forme, qu'elle soit numérique ou non numérique. De plus en plus, l'information est partagée avec des partenaires, des entités plus ou moins de confiance. Il est nécessaire de reprendre un certain contrôle, ou tout au moins de savoir où se trouve l’information.

3) Définir les rôles et responsabilités de chacun intervenant

Cette étape, très importante, consiste à définir les rôles et responsabilités des propriétaires, des responsables et des détenteurs de l'information. En effet, sans cette étape, il n'y a pas de responsabilisation et donc pas d'imputabilité. Cette étape aidera les détenteurs à appliquer adéquatement les mesures de sécurité selon la sensibilité que leur auront exprimée les responsables et propriétaires de l’information.

4) Établir la grille de sensibilité, base de classification de l'information
Cette étape consiste à définir une classification en termes de critères telles que l'incontournable disponibilité, l'intégrité ou encore la confidentialité. Dans la classe ''confidentialité'' on retrouve, par exemple, les catégories : externe, interne, confidentiel et stratégique.

Cette étape est sujet à discussions, tergiversations car les classifications à vocation universelle ne peuvent faire abstraction d'un point de vue et font, de ce fait, l'objet de nombreuses critiques. Il sera donc pertinent de proposer un niveau de classification corporatif et permettre un niveau de sensibilité supplémentaire et interne à chaque service ou direction.

5) Marquer l'information

Cette étape, enfin, consiste à marquer l'information avec une étiquette (physiquement) ou encore dans un cartouche (logiquement). Le processus de gestion de l’information devient alors simple et intuitif, voire invisible, car les utilisateurs, petit à petit, seront amenés à classifier dès la création de l'information. Cette étape est primordiale pour assurer une pérennité à la classification.

6) Impliquer les utilisateurs
Il est primordial, dès le début de votre projet de mise en œuvre, d'impliquer les utilisateurs par un projet pilote en leur montrant les bénéfices et en gérant le changement de leurs façons de faire.

Lors de cette étape, les utilisateurs se questionneront de nouveau sur la sensibilité de leur information et cela vous permettra d'ajuster la grille de classification.

En suivant ces six étapes, dans un mode d'amélioration continu, la clé de voûte de votre politique de sécurité prendra forme, et ce, peu importent les technologies sous-jacentes.


Désormais, à partir du moment où votre information commencera à être localisée, que des intervenants responsables seront désignés et que l'information sera classifiée selon sa sensibilité, vous commencerez à sortir du brouillard. L'application des mesures de sécurité deviendra plus efficace, plus logique, la surveillance deviendra plus focalisée et la justification des dépenses en mesures organisationnelles ou solutions technologiques de sécurité plus aisées.

Si vous avez des questions, bonifications ou commentaires, elle/ils sont les bienvenu(e)s, merci.