De populariteit van Microsoft 365 is de laatste jaren sterk gegroeid bij organisaties. Maar ervan gebruikmaken betekent niet direct dat je security en privacy compliant bent. Welke stappen moet een organisatie nemen om informatiebeveiliging en privacy wél te borgen? Wij spraken daarover met Carlien Daniels, Consultant Microsoft Security & Compliance bij Audittrail: “De kern is organisaties in staat stellen overzicht én inzicht te houden in de risico’s van hun Microsoft 365-omgeving.”

De overstap naar Microsoft 365 wordt momenteel door veel organisaties genomen. “Het lijkt soms eenvoudig, maar toch zijn er zaken waar vooraf goed over nagedacht moet worden,” vertelt Carlien. “Neem bijvoorbeeld het delen van bestanden; wil je dat alle documenten met iedereen gedeeld kunnen worden, of alleen bepaalde bestanden? Door de mogelijkheden naast elkaar te zetten en de voors- en tegens af te wegen, kun je de juiste beslissingen nemen die passen bij je organisatie. Want wanneer je niet goed nadenkt over de inrichting, de gebruikers niet meeneemt én er na de installatie niet meer naar omkijkt, zet je een deur open voor onbevoegden. Een van de grootste gevaren van Microsoft 365 is dan ook dat er vooraf geen goed onderbouwde besluiten worden genomen over informatiebeveiliging. Security by design loont echt.”

MFA en rollen

Het technisch veilig maken van Microsoft 365 is de eerste stap wanneer informatiebeveiliging wordt aangepakt. “Microsoft heeft recent verschillende mooie ontwikkelingen doorgemaakt om steeds veiliger te kunnen werken,” legt Carlien uit. “Multifactorauthenticatie (MFA) is hier een bekend voorbeeld van, maar dit wordt tegenwoordig ook aangevuld met voorwaardelijke toegang en identity protection. Maar ook voor beheerders van de Microsoft 365-omgeving zijn er meer mogelijkheden. Dit is nu bijvoorbeeld ingericht op basis van rollen, en door middel van privileged identity management kun je de beheertaken ook tijdelijk toekennen aan een beheerder. Dit zorgt voor een duidelijke functiescheiding; je bent of aan het werk als beheerder of als gebruiker. Het belangrijkste voordeel hiervan is dat het risico op toegang voor onbevoegden in de beheeromgeving hier mee verkleind wordt.”

Nieuwe risico’s

Omdat organisaties met Microsoft 365 altijd en overal kunnen werken, neemt dit andere risico’s met zich mee. “Plaats- en tijdsonafhankelijk werken betekent dat je actief de bewustwording van medewerkers hoog moet houden. Thuis voelen we ons vaak vrijer dan op kantoor en zijn we minder alert op bedreigingen. Een verkeerd mailtje wordt over het hoofd gezien, maar ook wordt informatie steeds vaker ‘letterlijk’ vervoerd. Denk aan een smartphone in de jaszak of een laptop in de rugtas. Je moet hier niet alleen bewust van zijn, maar deze hardware ook goed beschermen zodat onbevoegden bij eventueel verlies niet bij de data kunnen.”

Gevaar van datalekken verkleinen

Het risico op dataverlies kan binnen Microsoft 365 op verschillende manieren verkleind worden, gaat Carlien verder. “Dit begint al met het inrichten van je toegang op basis van rollen, iets wat met behulp van de groepen in Azure AD eenvoudig in te richten is. Vanuit daar ga je vertrouwelijke documenten beter beschermen door middel van gegevensclassificatie. Ook apparaten als laptops en smartphones beveilig je via een Endpoint Manager, waarin ook nog ruimte is om te zorgen dat data niet uit de beheerde apps gehaald kan worden. Zo wordt het gevaar van een datalek of beveiligingsincident zoveel mogelijk verkleind.”

Afwegingen

Het beschermen van privacy binnen Microsoft 365 gaat volgens Carlien verder dan klantdata alleen. “Microsoft 365 leent zich voor een AVG-compliant inrichting, maar dan moet de organisatie nog wel een paar stappen nemen. Logging is daar een voorbeeld van. Binnen Microsoft 365 zijn vele logging mogelijkheden en hoewel dit belangrijk is voor security, geldt dat niet voor alle logging mogelijkheden. Je moet daarom steeds de afweging maken wat zwaarder weegt; de privacy van de medewerker of het belang van security. Als je besluit om logging wel aan te zetten, dan moet je transparant daarover zijn naar medewerkers. Dat laatste zien we nog weinig gebeuren.”

“Een voordeel van logging is bijvoorbeeld het feit dat Microsoft middels AI steeds meer voorspellingen maakt. Hiervoor wordt wel vaak de data van medewerkers gebruikt. Logt een medewerker bijvoorbeeld tegelijk in vanuit twee verschillende landen, dan kan de toegang worden geblokkeerd of om meer authenticatie gevraagd worden. Dat verbetert de informatiebeveiliging, maar kan dus alleen gesignaleerd worden wanneer de locatie van de gebruiker bekend is.”

Overzicht én inzicht

Op de vraag of het lastig is om als organisatie veilig en compliant te werken binnen Microsoft 365, sluit Carlien af: “Door middel van het Microsoft Compliance Center en het Microsoft Security Center wordt dit steeds makkelijker. Hierin zie je stap voor stap wat je kunt veranderen om aan bepaalde wetgeving te voldoen. Maar daarvoor is wel enige kennis van Microsoft 365 nodig om de veranderingen en eventueel bijkomende risico’s te kunnen zien. Audittrail kan hier als Microsoft-partner met veel kennis van security en compliance binnen Microsoft 365 bij helpen. Ook zijn we op de hoogte van de laatste en toekomstige ontwikkelingen. We helpen organisaties vooral bij het overzichtelijk maken van alle verschillende onderdelen binnen Microsoft 365. Wij kijken vanuit privacy en security naar een omgeving die vaak alleen met een IT-blik wordt bekeken en vertalen dit naar de organisatie. Op deze manier kunnen de verantwoordelijken ook daadwerkelijk goed onderbouwde keuzes maken zonder dat daar veel IT-kennis voor nodig is. Zo is de organisatie in staat om overzicht én inzicht te houden in de risico’s van de Microsoft 365-omgeving.”

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.

Interview is afgenomen door Johan van den Beld van vdBeld Communicatie.