Menu

Werken in de cloud stelt nieuwe eisen aan informatiebeveiliging

Door Albert Hoitingh en Ron Witjes

Binnen elke organisatie is informatie één van de meest belangrijke bedrijfsmiddelen. Informatie kan bijvoorbeeld om medische redenen privacygevoelig zijn, of wellicht is het intellectueel eigendom of betreft het concurrentiegevoelige informatie. Als organisatie bent u verantwoordelijk om te zorgen dat wordt voldaan aan de BIV-classificatie. De basis hiervoor is aanwezig binnen wet- en regelgeving en normeringen als de AVG en ISO27001.

Het borgen van de vertrouwelijkheid van informatie is zeer belangrijk. Ongeautoriseerde toegang tot informatie en het verlies van de grip op informatie kunnen leiden tot informatielekkage, diefstal van intellectueel eigendom of concurrentiegevoelige informatie. De gevolgen hiervan, het niet voldoen aan wet- en regelgeving en normeringen en aanzienlijke (imago)schade, kunnen ingrijpend zijn. Werken in de cloud stelt nieuwe eisen aan informatiebeveiliging, maar is zeer goed mogelijk.

Elke organisatie die werkt in de cloud moet zich goed beseffen dat de tijd waarbij een firewall of netwerkbeveiliging volledige bescherming bood tegen ongeoorloofde toegang tot informatie, voorbij is. Met de veranderingen in het IT-landschap van organisaties maken verschillende cloudoplossingen, zowel bedoeld voor de zakelijke- als consumentenmarkt, het mogelijk om informatie en documenten eenvoudig te delen, op te slaan en te benaderen. Dit gebeurt vanaf diverse apparaten en vanuit een grote verscheidenheid aan locaties.

Microsoft Information Protection

Het is zaak om werk te maken van informatiebeveiliging vanuit de bron: de gevoeligheid van de informatie zelf. Gebaseerd op deze gevoeligheid worden de juiste beveiligingsmaatregelen genomen. Deze maatregelen zorgen ervoor dat de vertrouwelijkheid van de informatie wordt gewaarborgd, ongeacht waar de informatie is opgeslagen, wordt geraadpleegd of met wie deze wordt gedeeld. Microsoft Information Protection biedt deze mogelijkheden.

Microsoft Information Protection is de oplossing voor het detecteren, classificeren en beschermen van informatie, zowel binnen Microsoft 365 als andere cloud-toepassingen en is daarmee zeer breed inzetbaar. Documenten en e-mail berichten worden voorzien van een zogenaamd classificatielabel. Dit label (bijvoorbeeld ‘privacygevoelig’) biedt hierbij zowel beschermingsmaatregelen als visuele markeringen (bijvoorbeeld een watermerk).

De beschermingsmaatregelen zorgen ervoor dat alleen geautoriseerde medewerkers (intern en extern) het document kunnen openen. Eventueel wordt hierbij een bepaald permissieniveau afgedwongen. Zo is het mogelijk dat het document niet kan worden afgedrukt of dat kopiëren en plakken niet is toegestaan. Een belangrijke eigenschap van de labels is dat deze aan het document worden toegevoegd. Ongeacht de locatie van het document blijft het label aan het document gekoppeld.

De labels worden door medewerkers zelf toegevoegd. Als de organisatie beschikt over de meer uitgebreide licentievorm, kan gebruik worden gemaakt van automatische detectie en classificatie. Beheerders en compliance officers hebben via een label-dashboard inzage in het gebruik van de labels en de locatie van de informatie.

Waarom de Basis op Orde aanpak

Het realiseren van een information protection baseline is geen eenvoudige zaak. Onze Basis op Orde aanpak is daarom gebaseerd op het zogenaamde Kruip | Loop | Ren model. Met gedachte dat men eerst moet leren kruipen voordat er gelopen kan worden, wordt de realisatie van een information protection baseline in de tijd geplaatst.

Kruip

  • Identificeer de locaties waarbinnen zeer gevoelige informatie wordt opgeslagen;
  • Gebruik Microsoft 365 Message Encryption voor de uitwisseling van zeer gevoelige e-mail berichten;
  • Zet een standaard label classificatie op, zonder bescherming;
  • Start een bewustwordingstraject rondom informatiebeveiliging en -classificatie.

Loop

  • Stel de juiste beheergroep in om eventueel documenten te ontsleutelen;
  • Rol de standaard labels uit richting alle medewerkers;
  • Koppel labels aan SharePoint-sites en Microsoft Teams-omgevingen;
  • Configureer de eerste, specifieke, labels met beveiliging en start hiermee een pilot;
  • Rol deze labels met beveiliging verder uit.

Ren

  • Breid de label-classificatie uit met beveiligingslabels;
  • Start met geautomatiseerde classificatie van informatie.

Zo werken we aan een information protection baseline waarbij zowel de opslaglocatie, de bewaarperiode én de beveiliging samenkomen.

Meer weten over een information protection baseline met de Basis op Orde aanpak van Motion10

Wilt u meer weten over hoe u met de Basis op Orde aanpak van Motion10 een information protection baseline kunt realiseren binnen Microsoft 365? Lees hier meer over de Basis op Orde aanpak of neem contact op met Albert Hoitingh, Technology Lead bij Motion10 of uw Accountmanager.