MS Teams openzetten voor externen? De gebruikers zijn je veiligheidsrisico.

Gebruik Azure Information Protection om je data op bestandsniveau te beschermen.

Digitaal samenwerken is voor veel organisaties en bedrijven de norm geworden. Alle COVID-beperkingen en de verwachte strengere maatregelen dit najaar zorgen ervoor dat veel organisaties meer en meer Microsoft Teams en SharePoint Online openzetten voor externen om samenwerking te bevorderen. Dat moeten ze ook vooral doen en proberen, maar het brengt een veiligheidsvraagstuk met zich mee: “Hoe houden wij als organisatie controle over onze eigen vertrouwelijke en gevoelige data?”. Realiseer je dan, dat de gebruikers een veiligheidsrisico zijn.

In deze blog ga ik in op de gevolgen voor jouw medewerkers wanneer jouw organisatie ervoor kiest om (delen) van je MS Teams en Sharepoint voor externen open te zetten en laat ik je zien hoe jouw bedrijf controle over haar data behoudt door met Azure Information Protection (AIP) je bedrijfsinformatie op bestandsniveau te beschermen.

Overheidsinstanties, zorginstellingen en andere organisaties en bedrijven die financiële gegevens verwerken zijn verplicht om hun data te classificeren. Vertrouwelijke en geheime informatie zoals subsidie gegevens, financiële gegevens, bijzondere persoonsgegevens en geheime strategische informatie mogen alleen gebruikt worden door de daarvoor gemachtigde personen.

Delen of beschermen

Dit brengt een uitdaging met zich mee in Microsoft Teams en SharePoint Online, omdat het daar juist draait om alle informatie toegankelijk en openbaar met elkaar te delen om zo het digitale samenwerken te bevorderen. Organisaties nodigen medewerkers van andere bedrijven en leveranciers uit om op hun omgeving samen te werken. Handig én noodzakelijk in deze tijden. Maar is het ook veilig?

Nee, ondanks dat het “open, tenzij” principe voor een goed lopende samenwerking zorgt, is het niet altijd veilig. Met name wanneer medewerkers vertrouwelijke documenten behandelen, is het van belang dat jouw organisatie de controle houdt over haar data.

Delen én beschermen

Eén van de applicaties van Microsoft die een oplossing biedt voor deze uitdaging is “Azure Information Protection” (AIP). Doormiddel van AIP kunnen alle (Microsoft 365) bestanden en e-mails beveiligd worden. Technisch kan dit een handige oplossing zijn om als organisatie controle te houden over alle data in Office 365. Maar er moet ook aandacht zijn voor de impact op de eindgebruiker en de gevolgen voor de productiviteit van de medewerker.

De impact op de gebruiker

Alle bestanden en e-mails moeten met AIP geclassificeerd worden. Dit kan op twee manieren: handmatig of automatisch op basis van de inhoud (M365 E5 licentie nodig) Dit betekent dat in veel gevallen de eindgebruiker altijd minimaal een extra handeling moet uitvoeren: het classificeren van zijn/haar bestanden en e-mails. Op zichzelf is dit geen grote uitdaging, wat is één extra handeling? Maar het juist classificeren van data werkt alleen wanneer de medewerker genoeg kennis heeft over de verschillende classificatie labels. De medewerker moet weten wanneer welk bestand een specifiek label moet krijgen, en hij/zij moet zich bewust zijn wat de gevolgen van het toekennen van die classificatie (bv. Niet doorsturen).  In de praktijk vinden veel mensen dit lastig. Dit is logisch, want veel medewerkers hebben hier niet eerder zo bewust over na hoeven denken.

Wat is Azure Information Protection en hoe gebruik je het?

Wat is Azure Information Protection en hoe gebruik je het?

Azure Information Protection is een Cloud oplossing waarmee organisaties documenten en e-mail berichten kunnen classificeren en beveiligen door labels toe te passen. Je kunt labels kunnen op verschillende manieren toepassen:

  • Automatisch door beheerders die regels en voorwaarden gebruiken
  • Handmatig door gebruikers
  • Gecombineerd, waarbij beheerders de aanbevelingen definiëren die worden weer gegeven voor gebruikers

Hoe werkt Azure Information Protection?

Azure Information Protection toepassen in Word

 

  1. Als AIP is toegevoegd aan de tenant van je Microsoft 365 is toegevoegd stelt jouw bedrijf brede classificatie labels op.
    Bijvoorbeeld: Persoonlijk, Intern, Openbaar, Vertrouwelijk en Geheim.
  2. Gebruikers kunnen vrij eenvoudig een document, spreadsheet of mail classificeren door in je gereedschappenbalk op ‘Protect’ te klikken en de door jouw gekozen classificatie toe te wijzen.
  3. Aan elk van deze labels worden beleidsregels toegekend. Zo kunnen bestanden en e-mails met het label “Vertrouwelijk” alleen geopend worden door specifieke personen. Of kunnen persoonlijke e-mails niet doorgestuurd worden naar derden.
  4. Naast dat office documenten geclassificeerd kunnen worden is het doormiddel van de Azure Information Protection client ook mogelijk om pdf files te beveiligen.

Wil je dit zoveel mogelijk automatiseren, dan zal je organisatie minimaal een M365 E5 of AIP P2 Licentie van Microsoft moeten hebben. Wil je hier meer over weten? Neem dan contact met mij of een van de andere adoptifiers op.

Het belang van Adoptie, bewustwording en digitale discipline.

Het simpelweg aanzetten van een applicatie zoals AIP zal dus niet genoeg zijn om de data van jouw organisatie afdoende te beveiligen wanneer je samenwerkt met externen. Als organisatie zal je een bewustwording en digitale discipline onder jouw medewerkers moeten creëren om veilig digitaal samen te kunnen werken. Zonder deze bewustwording over wat dataclassificatie is, wat het betekent voor jouw bestanden en waarom het noodzakelijk is, loop jij als organisatie immers nog steeds een risico. Je medewerker is de zwakste schakel, Daarom moet de medewerker centraal staan!

Voor veel mensen in veel verschillende functies is dataclassificatie niet hun primaire taak. Daarom is het aan jou als organisatie om dataclassificatie zo laagdrempelig mogelijk te maken. Doe je dat niet, dan kiezen de meeste werknemers na verloop van tijd altijd de laagste classificatie want dat heeft de laagste impact op hun werk. Een goed adoptie traject is cruciaal om draagvlak te creëren onder de gebruikers. Zonder draagvlak geen veiligheid.

Ons advies

Sta jij op het punt om jouw O365 omgeving open te zetten of heb jij dit net gedaan? Onthoud dan dat veilig samenwerken valt of staat met het gedrag van je eigen medewerkers. De techniek ondersteunt je hierin en veel kan technisch afgedwongen worden. Maar net als water zullen mensen altijd de weg van de minste weerstand kiezen. Door het creëren van draagvlak en de medewerker centraal te stellen wordt jouw veiligheidsbeleid echt effectief.

Hulp nodig?

  • Doe een Security Scan om er zeker van te zijn dat je data veilig is.
  • Neem contact op met een van onze security experts voor een gratis second opinion.
  • Onderzoek de digitale vaardigheden van jouw medewerkers door de DigiFitscan.

Heb je nog een vraag?

Niek Ong geeft je graag antwoord.

Week 43 (2020) Best bekeken hack ooit: Powerpoint delen in MS Teams

STAY CURIOUS

Mis niets! Ontvang maandelijks onze nieuwsbrief

Gerelateerde berichten:

24 nov
BLOG

Digitale Rituelen: Hoe ga je met elkaar om in een digitale werkomgeving?

De Corona crisis heeft het digitaal overleggen en samenwerken (met bijvoorbeeld MS Teams) in een stroomversnelling gebracht. Waar wij voor de eerste lockdown in maart nog tegen veel weerstand en…

18 nov
BLOG

Alle updates in MS Teams die je niet mag missen: Oktober

Meer controle in MS Teams  Microsoft maakte vorige week bekend dat er dagelijks 115 miljoen actieve gebruikers met MS Teams werken. Een fanatische mijlpaal, als je bedenkt dat er tijdens de eerste corona–lockdown ‘nog maar’ 75 miljoen dagelijks actieve gebruikers met MS Teams…

VOL
17Nov

MS TEAMS EXPERTS sessie: 10 Serious Productivity Hacks

Digitaal samenwerken lukt alleen als je je op gezette tijden focust op je eigen werk en tijdens contactmomenten écht de aandacht van je collega’s hebt. Weten hoe? Schrijf je dan…

MS 365 security scan
Jouw Microsoft 365 omgeving veiliger en toch gebruiksvriendelijk
MEER WETEN?