1 november 2022
Het beschermen van (privacy)gevoelige en vertrouwelijke informatie stelt veel organisaties voor een grote uitdaging. De enorme hoeveelheid informatie die dagelijks door medewerkers wordt gecreëerd, wordt op tal van locaties opgeslagen. Bovendien is informatie in de cloud, tijd-, plaats- en device-onafhankelijk beschikbaar en is het delen ervan nog nooit zo makkelijk geweest. Soms te makkelijk, waardoor het delen van (privacy)gevoelige en vertrouwelijke informatie regelmatig leidt tot datalekken met grote gevolgen. In deze blog vertel ik u hoe u als organisatie de nieuwe mogelijkheden van Microsoft Purview Information Protection optimaal benut en zo uw informatie goed beschermt.
Het is van groot belang om niet alleen de toegang tot de informatie te beschermen – maar ook de informatie zelf. Microsoft heeft hiervoor al enkele jaren een oplossing beschikbaar: Microsoft Purview Information Protection, en bevat mogelijkheden om de informatie beter te beschermen.
Standaard-integratie van labels
De werking van Microsoft Purview Information Protection is samen te vatten in één zin: gevoelige informatie wordt gedetecteerd en geclassificeerd, zodat het te allen tijde is beschermd. De classificatie vindt plaats in de vorm van labels en de bescherming is een combinatie van het Rights Management-principe en versleuteling. Labels worden blijvend aan documenten en e-mails gekoppeld (eventueel automatisch, met de juiste licentie). Datalekbeveiliging maakt het mogelijk om ongewenste deelacties, op basis van de gevoeligheid van de informatie, tegen te gaan.
Door de standaard-integratie van de labels binnen de standaard Office-toepassingen én Office Online, is het nu als standaard mogelijk om deze te gebruiken.
Uiteraard is informatie niet slechts opgenomen in documenten en e-mails. Daarom werkt Microsoft aan een allesomvattende visie op het gebied van informatiebeveiliging op het niveau van Microsoft 365 en tal van andere locaties. Hieronder loop ik de belangrijkste locaties met u door.
Microsoft 365
Laten we beginnen met de Microsoft 365-locaties. Een belangrijk onderdeel is het automatisch labelen van documenten en e-mails wanneer deze opgeslagen zijn, bijvoorbeeld in SharePoint Online. Wees gerust: een simulatiemodus zorgt ervoor dat het mogelijke resultaat eerst wordt getoond. Hiermee wordt voorkomen dat in één keer zeer veel documenten worden gelabeld.
Een tweede onderdeel is de mogelijkheid om volledige Microsoft 365 Groups, Microsoft Teams en SharePoint Online sites te voorzien van een label. Hoewel hiermee niet alle documenten in deze ‘containers’ worden voorzien van een label, biedt deze functionaliteit veel voordelen.
Door het plaatsen van een label op het hoofdniveau is het voor de medewerkers duidelijk in wat voor type omgeving zij samenwerken. Daarnaast beïnvloedt een label op dit niveau een aantal instellingen. De instellingen voor gasttoegang, het delen met externen en de toegang vanaf onbeheerde apparatuur is direct vanuit het label in te stellen. Door het selecteren van het label worden al deze instellingen doorgevoerd. Let wel, voor een aantal instellingen zijn aanvullende maatregelen nodig, zoals een zogenaamde Azure AD Conditional Access-regel.
Een waardevolle aanvulling hierop vormt de interactie tussen geclassificeerde documenten en de omgeving. Wanneer een document met hogere classificatie wordt toegevoegd aan een omgeving met lagere classificatie, ontvangen medewerkers hiervan een waarschuwing.
Uniformiteit
Het classiferen van documenten en e-mailberichten is al langere tijd mogelijk en Microsoft maakt al gebruik van de term ‘unified classification’. Dit is een model waarbij diverse Microsoft-platformen gebruik maken van hetzelfde classificatiemodel voor gevoelige informatie. Unified classification bevat standaard-definities voor onder meer het EU ID-kaartnummer en het NL BSN en bevat ook de mogelijkheid om eigen definities toe te voegen.
Deze uniforme manier van werken geldt ook voor het labelen en beschermen van informatie in bijvoorbeeld Power Platform apps en is niet beperkt tot documenten, e-mails of Microsoft 365. Ook gestructureerde informatie en (bijvoorbeeld) documenten in niet-Microsoft cloudoplossingen vallen onder dit principe.
Andere locaties
Hoewel veel organisaties regels stellen voor de opslag van informatie op een beperkt aantal locaties, is de werkelijkheid anders. Netwerklocaties, Microsoft 365 en wellicht andere (niet-Microsoft) cloudoplossingen worden gebruikt om documenten op te slaan. Microsoft Purview Information Protection maakt het nu ook mogelijk om gevoelige informatie in opgeslagen documenten binnen deze locaties te detecteren en de documenten te classificeren. Door gebruik te maken van Microsoft Defender for Cloud Apps bent u als organisatie in staat om bijvoorbeeld omgevingen als Box en de zakelijke DropBox te controleren.
De Azure Information Protection unified labeling scanner is daarentegen bedoeld om gevoelige in documenten opgeslagen informatie op lokale (‘on-premises’) netwerklocaties of SharePoint-omgevingen te detecteren en de documenten eventueel te classificeren. Dit kan ook handig zijn in migratietrajecten. Een initiële scan geeft namelijk al aan waar de gevoelige informatie zich bevindt.
Power BI
Naast op documenten en e-mail berichten, richt Microsoft momenteel haar pijlen ook op gestructureerde data. Zo is het mogelijk om Power BI te koppelen aan Microsoft Purview Information Protection. Hierbij wordt het mogelijk om gegevens in Power BI (zoals dashboards of rapporten) te classificeren. Wanneer een medewerker de informatie exporteert of opslaat in de vorm van een document (PowerPoint, Excel, PDF), wordt dit document automatisch geclassificeerd.
Microsoft Purview
Een relatief nieuwe functie binnen Microsoft Information Protection is de integratie met het nieuwe (preview) platform Microsoft Purview. Dit platform is gepositioneerd als een generieke data governance-omgeving, waarmee uw organisatie diverse dataplatformen (multi-cloud) kan beheren. Hieronder vallen bijvoorbeeld Azure SQL en Azure Blob Storage. Vanuit Microsoft Information Protection is het mogelijk om gevoelige informatie in zowel data in de vorm van SQL-kolommen als in documenten binnen Azure Blob Storage te detecteren en classificeren.
Kruip | Loop | Ren model
Microsoft biedt steeds meer technologische mogelijkheden om de gevoeligheid en vertrouwelijkheid van informatie te waarborgen, ongeacht waar het zich bevindt. Toch is het implementeren van deze mogelijkheden meer dan slechts het omdraaien van een knop. Een juist classificatieschema, de juiste beschermingsmaatregelen en vooral de juiste aandacht voor bewustwording en ondersteuning van en voor de uiteindelijke medewerker – zijn van essentieel belang. Hanteer daarom voor een succesvolle introductie van Microsoft Purview Information Protection het Kruip | Loop | Ren model. Daarbij worden de nieuwe mogelijkheden stapsgewijs in de tijd geplaatst. Immers, je moet eerst kunnen kruipen en lopen om te kunnen gaan rennen.
Lees voor meer informatie over hoe u uw informatie stapsgewijs beter beschermt met het Kruip | Loop | Ren model: Krijg de basis op orde met een information protection baseline in Microsoft 365
Wilt u meer weten over hoe u als organisatie de nieuwe mogelijkheden van Microsoft Purview Information Protection optimaal benut? Neem dan contact met ons op.
Neem contact op