Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Security en Compliance wordt eenvoudiger binnen Office 365

Een adequate en transparante verwerking van gevoelige informatie was altijd al van belang binnen organisaties, maar met de hedendaagse mogelijkheden om informatie intern en extern te delen, is dit relevanter dan ooit. Met al deze mogelijkheden neemt namelijk ook het risico op het lekken van gevoelige data toe. Daarbij is het sinds de komst van de AVG op 25 mei 2018 noodzakelijk om te allen tijde te kunnen aantonen dat men volgens de regels werkt. “Voor veel organisaties is het erg arbeidsintensief om de beveiliging van documenten en gegevens altijd in het oog te houden. Organisaties kunnen met de mogelijkheden in Microsoft Office 365 en Azure het risico op beveiligingsincidenten sterk verminderen.” Aan het woord is Andries den Haan, Cloud Architect bij ETTU.

“Microsoft heeft al langer diverse mogelijkheden om de toegang tot informatie te beveiligen. Zo is er Azure Information Protection (AIP) om documenten en e-mails te versleutelen en beveiligen, ongeacht of deze de organisatie verlaten. Daarnaast kun je Azure AD Conditional Access gebruiken om op basis van bepaalde voorwaarden (zoals het werken op een goedgekeurd apparaat) de toegang tot data te blokkeren of te beperken tot tot enkel de browser. Vandaag de dag wordt deze functionaliteit nog op verschillende plekken in de Microsoft Cloud ingesteld.”

Binnenkort wordt het instellen van deze functionaliteit centraal vanuit het Microsoft 365 Security & Compliance Center ingesteld op basis van classificatie labels (bijvoorbeeld: openbaar, intern of geheim) met achterliggende beveiligingsmaatregelen. Dit kan niet alleen op document- of e-mailniveau maar ook op siteniveau.

Een veranderende wereld vraagt om een andere kijk op beveiliging

“Tegenwoordig zien we de wereld in hoog tempo veranderen. Digitaliseren en automatiseren is wat de klok slaat en Microsoft is continu bezig met het introduceren van nieuwe functionaliteit, die samenwerken gemakkelijker maken. Een gevolg hiervan is dat de digitale wereld steeds minder grenzen kent. Documenten kunnen gemakkelijker gedeeld worden buiten de organisatie, maar de wet- en regelgeving wordt juist steeds strenger hieromtrent. Microsoft anticipeert op deze ontwikkeling door het delen van documenten en informatie zowel binnen als buiten de organisatie nog steeds eenvoudig te maken, maar de beveiliging hiervan ook”, aldus Andries.

Rond de jaarwisseling zal de geïntegreerde functionaliteit voor het beveiligen van informatie- en sites uitgerold worden naar tenants die ingesteld zijn voor “Targetted release”. Deze vernieuwing maakt het mogelijk om op één plek security en compliance in te richten.

Het werken met labels wordt erg gemakkelijk

Als het goed is, hebben organisaties naar aanleiding van bijvoorbeeld AVG beleid opgesteld waarin verschillende soorten documenten worden geclassificeerd. Aan de hand van deze classificaties mogen bepaalde acties wel of niet uitgevoerd worden op de documenten en het mogelijk om een maximale of minimale bewaartermijn te gebruiken. “Een belangrijke wijziging in deze opzet is ook hoe de classificatielabels van sites gaat werken. Waar deze labels tot nu toe slechts visueel van aard waren, worden deze met de nieuwe opzet ook functioneel”, aldus Jan-Willem Droog, Technisch Specialist bij ETTU. “Daarom is het heel belangrijk om deze classificaties goed te definiëren en waar mogelijk te automatiseren wanneer gevoelige informatie wordt ontdekt in een document of site. Bijvoorbeeld financiële, medische, persoons- of organisatie specifieke informatie.”

“Zodra helder is wanneer welke soort documenten op welke manier geclassificeerd dienen te worden, is het erg gemakkelijk om dit binnen de Office 365 omgeving in te richten. Met het doorlopen van een wizard komen alle belangrijke elementen aan bod. Zo krijgt de beheerder de mogelijkheid om aan te geven of versleuteling plaats moeten vinden. Bijvoorbeeld: wie mag bewerken, printen en doorsturen. Bovendien is het mogelijk om deze informatie niet of maar enkel via de browser beschikbaar te maken wanneer een gebruiker inlogt vanuit een onbeveiligd netwerk of een niet-herkend apparaat”, legt Jan-Willem uit. Ook uitzonderingsgevallen zijn prima te hanteren.

Ook uitzonderingsgevallen zijn prima te hanteren

Zodra deze structuur is ingericht en naar behoren werkt (dit is bij voorkeur een cyclisch proces), kan een organisatie profiteren van bijvoorbeeld de rapportage mogelijkheden. Nu deze beveiligingsprotocollen gemakkelijk hanteerbaar zijn, hoeft er minder vaak ingegrepen te worden. Bovendien kunnen er geen menselijke fouten ontstaan, omdat alle labels al duidelijk gedefinieerd zijn. “Maar er zijn scenario’s denkbaar waarbij een vertrouwelijk document met een derde partij gedeeld moet worden, ondanks dat deze actie niet standaard mogelijk is binnen het huidige beleid. In dat geval kan door de auteur van het document een uitzondering aangevraagd worden op het label. De verantwoordelijke kan proactief op de hoogte worden gehouden van beveiligingsincidenten binnen deze functionaliteit”, vertelt Andries.

Jan-Willem voegt hieraan toe: “Waar deze tot nu beveiliging afzonderlijk in aparte delen wordt ingesteld, wordt de aansturing hiervan straks centraal geregeld. Daarnaast kan er gebruik gemaakt worden van automatiseringsmogelijkheden om documenten automatisch te classificeren, bijvoorbeeld wanneer een creditcardnummer, paspoort of BSN herkend wordt . Hij of zij hoeft deze documenten of e-mails dan niet meer handmatig te classificeren, waardoor tijd vrijkomt om de uitzonderingsgevallen goed te bekijken en beleid voor op te stellen.”

Complexiteit is de ergste vijand van beveiliging

Hoe ingewikkelder de beveiligingsmaatregelen zijn, hoe moeilijker deze gehanteerd kunnen worden. Er wordt volgens Gartner ingeschat dat in 2022 minimaal 95% van de problemen in de cloud toe te schrijven zijn aan fouten van de eigen organisatie. Het is duidelijk dat Microsoft dit risico zo veel mogelijk wil minimaliseren door beveiliging eenvoudiger te maken in deze open wereld. Een organisatie kan bouwen op een systeem dat ook automatisch de juiste labels en achterliggende maatregelen toepast.

Meer informatie

“Wanneer organisaties nog worstelen met het goed inrichten van deze regels, kan het verstandig zijn om contact op te nemen met ETTU”, aldus Andries. “Wij weten welke mogelijkheden er zijn binnen de verschillende licenties en dankzij onze focus op governance en security, hebben we een oplossing voor elk vraagstuk.”