De producten van Microsoft worden inmiddels door nagenoeg alle organisaties gebruikt en is niet meer weg te denken binnen organisaties. Denk aan het bekende Microsoft Office, maar ook aan Microsoft Outlook voor de email en sinds Covid-19 ook aan het gebruik van Microsoft Teams. Om SharePoint/OneDrive en het platform Azure niet te vergeten.

Met de samenvoeging van dit alles onder de naam Microsoft 365 heeft Microsoft een flinke slag geslagen. Maar hoe zit het nu met de security en privacy van deze applicaties?

Security

Het makkelijkste is om te zeggen dat het wel goed zit met security; maar dat is te kort door de bocht. Er is enorm veel in te stellen en te monitoren en Microsoft 365 leent zich voor de basis van security by design. Dit moet je echter wel zelf configureren in de Microsoft 365 omgeving!

Er zijn veel algemene instellingen in het Microsoft 365 beheercentrum, in Azure Active Directory en in Microsoft Endpoint Manager. Maar wist je dat er ook aparte instellingen zijn om te zorgen dat Microsoft Teams veilig is? Eén van de basisprincipes van informatiebeveiliging is natuurlijk dat autorisaties toegekend worden aan het need-to-know principe en dat geldt: geen toegang, tenzij. Die instellingen zijn allemaal mogelijk, ook in Microsoft Teams.

Een van de grootste zorgen voor de IT-afdeling en security officer, zijn mogelijk dataverlies via laptops, tablets en smartphones. Gelukkig biedt Microsoft 365 veel mogelijkheden om deze te beveiligen.

Vers van de pers is de toevoeging van Microsoft Compliance Manager in Microsoft Compliance Center. Waar Microsoft Compliance Manager in de trust portal een vrij statische tool was werkt Microsoft Compliance beheer nu heel dynamisch. Voor alle licenties in de Data Protection Baseline kun je direct met je compliance aan de slag gaan. Heb je de juiste licentie, dan heb je toegang tot meer dan 150 Wet- en regelgevingen/normenkaders en kun je zelfs custom normenkaders toevoegen.

Microsoft Compliance Score geeft je direct inzicht in hoe je ervoor staat. Hoe meer acties je uitvoert hoe hoger je score.

Privacy

Bij privacy denken wij vaak aan de gegevens van klanten en – als het gaat om medewerkers – om de salarisadministratie. Maar er is natuurlijk meer! Binnen het security domein van Microsoft 365 en Azure is er veel te monitoren als het gaat om gebruikersgedrag. Dat zie je bijvoorbeeld ook aan MyAnalytics. Vanuit security oogpunt zijn er verschillende zaken die je wilt monitoren voor de beveiliging. Maar niet alles is nodig. Bedenk van tevoren goed wat je wel en niet wilt vastleggen en zet bewust bepaalde zaken uit.

Microsoft 365 leent zich voor een AVG-compliant inrichting, daar heeft Microsoft al voor gezorgd. Het gaat er alleen om dat je zelf de juiste configuratie kiest, houd ook rekening met zaken die Microsoft standaard aanzet. Wil je bijvoorbeeld dat Bing gegevens verzamelt om zoek ervaringen te verbeteren? Verzamel en monitor je toch meer (maar natuurlijk wel binnen de kaders van de wet); wees daar dan transparant in. Vertel duidelijk wat je doet en waarom.

Kortom: met Microsoft 365 en Microsoft Azure kun je jouw organisatie secure en privacy compliant inrichten. Maar dat moet je wel zelf doen en blijven doen! Hulp nodig? Audittrail heeft alle benodigde kennis in huis. We helpen je graag!

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail is Microsoft Partner op het gebied van security & compliance en helpt organisaties hun Microsoft omgeving secure en privacy compliant in te richten. Heb je vragen naar aanleiding van dit artikel? Laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.