Centric connect.engage.succeed

Security and compliance in Office 365

Geschreven door Expertteam IT Outsourcing - 14 mei 2018

Expertteam IT Outsourcing
In deze blog behandel ik de diverse beveiligings- en compliancefeatures in Office 365. Het Security & Compliance Center is een portal waar een deel van de besturingselementen (de compliance controls) samenkomen om uw data te beveiligen en ervoor te zorgen dat uw organisatie compliant blijft aan wet- en regelgeving zoals de Wet bescherming persoonsgegevens (Wbp) of de Algemene Verordening Gegevensbescherming (AVG). Ik zal de belangrijkste mogelijkheden van het Security & Compliance Center kort beschrijven en aangeven wat dat voor de organisatie kan betekenen.

Je kent het wel, je bent een e-mail aan het schrijven en hebt op verzenden geklikt…en je komt erachter dat de e-mail die je net hebt verstuurd gegevens bevat die eigenlijk de organisatie niet hadden mogen verlaten. Om dit te voorkomen is er binnen Office 365 de functie Data Loss Prevention (DLP).

DLP

Het doel van DLP is het identificeren, monitoren, loggen en rapporteren van ‘gevoelige’ gegevens. Denk aan financiële, medische of persoonsgegevens maar ook gegevens die betrekking hebben op een ‘geheim’ project waar alleen een bepaalde afdeling van op de hoogte mag zijn en dat niet gedeeld mag worden binnen uw organisatie via e-mail, Sharepont of Onedrive.

Voorbeelden van gegevens die met DLP kunnen worden beschermd zijn gegevens met een vast patroon zoals creditcardnummers, paspoortgegeven en sociale verzekeringsnummers. Het eigen organisatiebeleid bepaalt uiteindelijk wat er wel en niet de organisatie of afdeling kan verlaten of welke gegevens intern mogen worden gedeeld met andere eindgebruikers.

Office 365 heeft standaard diverse voorgeconfigureerde sjablonen die van toepassing zijn op een land of een regio met de bijbehorende financiële, medische en privégerelateerde gegevens. Deze templates vormen de basis voor de configuratie van de DLP-instellingen.

Data Governance

In de alsmaar groeiende berg aan (gestructureerde en ongestructureerde) data en de alsmaar strengere wet- en regelgeving omtrent de bewaarplicht van gegevens is het belangrijk om grip te houden op data. Welke data moet ik bewaren en voor hoelang?

Een van de manieren om hier grip op te houden is door het labelen van gegevens. Hierdoor kun je er bijvoorbeeld voor zorgen dat gegevens een bepaalde retentietijd krijgen of na een bepaalde periode automatisch worden verwijderd. Dit voorkomt dat gegevens altijd binnen de organisatie blijven opgeslagen en geeft duidelijkheid over wáár deze gegevens zijn opgeslagen. De organisatie houdt controle over gegevens die niet meer relevant zijn of niet beschikbaar hoeven te worden gesteld aan instanties die inzicht moet hebben in deze gegevens, zoals bijvoorbeeld de Belastingdienst.

Het is aan te raden om documenten automatisch te laten labelen. Dit kan door gebruik te maken van specifieke keywords in documenten. Het is ook mogelijk gebruik te maken van dezelfde voorgeconfigureerde sjablonen die onder DLP beschikbaar zijn. Het voordeel van de sjablonen is dat de organisatie met een basis kan starten en de medewerkers zich kunnen focussen op hun dagelijkse werkzaamheden. De organisatie kan in een later stadium bedrijfsspecifieke DLP-instellingen invoeren, waardoor de organisatie zelf het tempo kan bepalen en medewerkers minder worden belast.

Data Governance stelt de organisatie in staat om op een effectieve manier Data Life Cycle management uit te voeren.

Office 365 Advanced Threat Protection

Office 365 Advanced Threat Protection bevat controls voor de beveiliging van inkomende en uitgaande mail. Deze controls controleren uw e-mail op malware, spam, phising mails en e-mails die onveilige bijlagen of URL’s bevatten.

Een nieuwe functie binnen de portal is ‘Attack simulator for Office 365 Threat Intelligence’. Met Attack Simulator kunnen beheerders gesimuleerde aanvallen op hun eindgebruikers uitvoeren, bepalen hoe eindgebruikers zich gedragen bij een aanval en hierop het beleid aanpassen en ervoor zorgen dat geschikte beveiligingshulpmiddelen aanwezig zijn om de organisatie tegen bedreigingen te beschermen.

Daarnaast bevat de portal een overzicht van de meest accurate informatie over digitale aanvallen die actief zijn. Dit wordt gevoed door het Microsoft CyberSecurity Center.

Search and Investigation

Binnen Search and Investigation zijn er verschillende functies die de organisatie ondersteunen bij het zoeken naar gegevens binnen de Office 365-omgeving. Daarnaast biedt het de mogelijkheid om een onderzoeksdossier aan te maken. De organisatie kan binnen dit dossier diverse query’s aanmaken of zoekopdrachten naar bepaalde keywords uitvoeren, vervolgens de inhoud behouden en de zoekresultaten exporteren voor verdere analyse.

De functie search kan ook gebruikmaken van labels. Het is namelijk niet noodzakelijk om een policy aan een label te hangen maar het is ook mogelijk alleen een label aan te maken en dit label met bijvoorbeeld de naam ‘Inkoop’ aan een document toe wijzen. Vervolgens kun je zoeken naar alle documenten die het label ‘Inkoop’ hebben.

De functie audit search log stelt de organisatie in staat om audits uit te voeren op diverse (beheer)activiteiten die plaatsvinden binnen de eigen tenant. Dit kan betrekking hebben op het aanmaken, wijzigen of verwijderen van bestanden of mappen of het delen en aanvragen van rechten op bestanden. Daarnaast kan er ook geaudit worden op wijzigingen die plaatsvinden in het Admin Center, zoals het wijzigen van gebruikerslicenties.

Waar bij Data Governance de nadruk ligt op het zoeken naar statische data, ligt de focus bij Search and Investigation meer op alles wat gewijzigd wordt binnen de tenant van de organisatie.

Service Assurance

Zodra de organisatie overstapt naar Office 365 geeft zij voor een deel de controle op haar data uit handen. Microsoft heeft er met Service Assurance voor gezorgd dat de organisatie altijd de beschikking heeft over een diversiteit aan documenten met betrekking tot security en compliancy binnen Office 365.

De eerste keer dat je hier inlogt stel je de geldende regio en branche in. De noodzakelijke documenten worden dan beschikbaar gesteld. De documenten bevatten informatie over welke beveiligingsmethode Microsoft zelf hanteert bij het beveiligen van de data en implementatie- en testdetails voor beveiligings-, privacy- en compliancecontroles die Office 365 gebruikt om de gegevens te beschermen. Deze documenten worden ook wel de ‘Trust’-documenten genoemd. Een voorbeeld hiervan is hoe Microsoft omgaat met beveiligingsincidenten in Office 365.

Je kunt hier ook lezen hoe Office 365-klanten kan helpen om te voldoen aan normen, wetten en voorschriften in verschillende sectoren, zoals Internationale Organisatie voor Standaardisatie (ISO) 27001/27018 en SOC1 (ISAE 3402).

De compliance-, audit- en risicobeheerteams van de organisatie zullen waarschijnlijk gebruikers van deze gegevens zijn. Laat hen weten dat deze bron voor hen beschikbaar is.

Secure score

Het laatste onderwerp dat ik wil behandelen is de Secure Score. De Secure Score is een digitaal dashboard en analyzer die op basis van de inrichting en de geconfigureerde beveiligingsmaatregelen binnen de Office 365-omgeving laat zien hoe veilig de Office 365-omgeving is ingericht.

De eindscore wordt bepaald door de aanwezige apps binnen het afgenomen abonnement. Dit is een dynamische waarde, wijzingen die worden doorgevoerd in de tenant kunnen ervoor zorgen dat de waarde van de secure score wijzigt. Het sturen op de secure score is daarom ook een Continuous Improvement-activiteit binnen de organisatie.

De secure score geeft aanbevelingen om ervoor te zorgen dat de score hoger kan uitvallen, de zogenaamde action queue. De secure score is geen doel op zich maar is richtinggevend voor de organisatie om verbeterpunten op het gebied van beveiliging en compliance binnen de Office 365-tenant door te voeren. Hierbij moet er een gezonde balans zijn tussen productiviteit en beveiliging!

Tot slot

Ik spreek bewust in deze blog over de beveiliging in de Office 365-tenant. De beveiligingsfuncties die ik heb behandeld zijn nog niet van toepassing op alle apps binnen Office 365. Maar tijdens het schrijven van dit blog kan het zo maar zijn dat Microsoft bepaalde beveiligingsfuncties ook beschikbaar heeft gesteld voor bijvoorbeeld Sway, Staffhub of andere Office 365-applicaties.

De features die zijn beschreven komen allemaal terug in een Office E5-abonnement. De beschikbare features worden uiteindelijk bepaald door het type abonnement.

In mijn volgende blog zal ik meer vertellen over een andere security feature van Microsoft, Cloud App Security, voorheen Advanced Security Management.

Links:

https://www.microsoft.com/microsoft-365/partners/securityandcompliance

https://www.yammer.com/office365partners/#/threads/inGroup?type=in_group&feedId=11057591

https://www.youtube.com/watch?v=eqhtos-Tf00

Arjan van Veen is werkzaam bij Centric als consultant en maakt onderdeel uit van het Expertteam IT Outsourcing.

       
Schrijf een reactie
  • Captcha image