Als organisatie en vooral een organisatie die actief werkt in de cloud, is het enorm belangrijk om je bewust te zijn van je compliance beleid. Veel organisaties houden zich hier niet actief mee bezig en lopen daardoor het risico niet te voldoen aan hun eigen compliance beleid. Wij gaan je hierbij helpen! We gaan jullie de handvatten bieden naar de weg van compliance en bieden begeleiding in dit proces. In dit blog zullen wij ons focussen op drie onderdelen binnen Microsoft 365 compliance, namelijk: Information Governance, Information Protection en Data Loss Prevention.
Belangrijk om te onthouden is dat de middelen genoemd in dit document enkel handvatten zijn naar een betere compliance strategie en dat het beleid afhankelijk is van de organisatie zelf en wij hier enkel ondersteuning in kunnen aanbieden. Het beleid zelf is echter altijd afkomstig van de organisatie.
Over compliance
Om te beginnen, wat is compliance en waarom is dit een lastig onderwerp? Compliance is het in staat zijn om aan richtlijnen te voldoen, of om in het proces te zitten om dit voor elkaar te krijgen. Compliance is een groeiend probleem voor velen organisaties door de constant veranderende regels en wetten. Om aan de compliance standaarden te voldoen, moet de organisatie de regels en wetten volgen die zijn opgelegd door de overheid op hun specifieke sector of situatie. Echter worden deze regels vaak niet opgevolgd en niet heel serieus genomen.
We hebben daarom drie stappen in het compliance proces opgenomen, namelijk information governance, information protection en data loss prevention. Deze stappen helpen je op weg naar een compliance strategie die in lijn staat met je beleid.
Information Governance
Laten we beginnen bij ons eerste deelonderwerp, namelijk: Information Governance. Dit gaat om het managen van je data levenscyclus en het gebruiken van opties voor het importeren, opslaan en detecteren van gevoelige informatie, zodat je kunt houden wat cruciaal is en kunt verwijderen wat je niet meer nodig hebt.
Stap 1: Ken je data!
Het begrijpen van het soort data waar je over bezit en het identificeren van belangrijke data in je cloud omgeving. Microsoft 365 biedt verschillende mogelijkheden in het helpen bij deze data classificaties. Zo kunnen wij met behulp van ingebouwde of aangepaste functies (labels) in Microsoft 365, typen gevoelige informatie definiëren. Deze manier van inhoud verkennen kun je ook gebruiken om inzicht te krijgen in de acties die je gebruikers uitvoeren op deze items.
Information Protection
Het tweede onderwerp waar we inzicht in zullen bieden is information protection, of te wel het beveiligen van je data. Microsoft biedt hier ook verschillende mogelijkheden om flexibele beveiligingsacties toe te passen, denk hier aan versleuteling van data, toegangsbeperkingen en markeringen.
Stap 2: Beveilig je data!
De tweede stap richting een compliance vriendelijkere omgeving is het beveiligen van je data. Personen in een organisatie werken met elkaar binnen de organisatie, maar ook met externe personen. Dit betekent dat inhoud overal gebruikt kan worden, op verschillende apparaten. Wanneer dit gebeurt, wil je natuurlijk dat dit in op een beschermde en manier gebeurt.
Microsoft 365 biedt hier wat oplossingen voor om dit op een gemakkelijke wijze te doen. Denk bijvoorbeeld aan vertrouwelijkheid labels die je op verschillende manieren kunt toepassen. Zo kun je bijvoorbeeld bepaalde inhoud beperken door versleuteling toe te passen. Deze kun je gebruiken voor je teams, groepen en je sites én in Outlook. De labels zorgen er puur voor dat je gegevens in je organisatie kunt classificeren en beveiligingsinstellingen kunt afdwingen op basis van die classificatie. Om dit correct uit te voeren is het belangrijk om een juiste implementatie strategie te hebben. Wij kunnen je helpen bij deze implementatie en de door de organisatie gedefinieerde labels te realiseren.
Stap 3: Data Loss Prevention
Als organisatie heb je gevoelige informatie onder je controle, denk bijvoorbeeld aan financiële gegevens, eigendomsgegevens, creditcardnummers, gezondheidsrecords of bijvoorbeeld bsn-nummers. Om deze gevoelige gegevens te beschermen en risico’s te beperken, heb je een manier nodig om te voorkomen dat deze data gedeeld wordt met externen. Dit wordt ook wel preventie van gegevensverlies genoemd, of te wel data loss prevention (DLP).
DLP kun je inregelen in Microsoft 365 op verschillende manieren. Zo kun je items op verschillende gebieden identificeren, controleren én automatisch beveiligen. Denk bijvoorbeeld aan het analyseren op primaire gegevens die overeenkomen met trefwoorden, door gegevensmatchen of door de evaluatie van reguliere expressies. DLP maakt gebruik van algoritmen en andere methoden om deze inhoud te detecteren die overeenkomt met je DLP-beleid.
Tuurlijk is DLP maar een klein onderdeel van de Microsoft 365 compliance mogelijkheden. Om compliant te zijn, is het belangrijk om te begrijpen hoe de verschillende hulpmiddelen in Microsoft 365 samenwerken. Uiteraard kunnen wij je hier begeleiding in bieden.
Aantal voorbeelden van beschermende acties van DLP
Een DLP-beleid is de manier waarop activiteiten gecontroleerd worden op activiteiten die worden uitgevoerd op gevoelige gegevens. Een voorbeeld, een gebruiker probeert een verboden actie uit te voeren, zoals het kopiëren van een gevoelig item naar een niet-goedgekeurde locatie zoals dat in het beleid is vastgesteld. Dan zou DLP bijvoorbeeld: Een pop-up kunnen tonen aan de gebruiker die hem of haar waarschuwt dat hij of zij mogelijk een gevoelig item ongepast probeert te delen.
Het delen kunnen blokkeren en via een tip toe te staan het blok te overschrijven en de rechtvaardiging van de gebruikers vast te leggen. Het delen kunnen blokkeren zonder de optie overschrijven. Het verplaatsen en vergrendelen van gevoelige items naar een veilige quarantaine locatie. In de Teams chat wordt gevoelige informatie niet getoond.
Ook worden alle activiteiten die door DLP worden gecontroleerd, standaard opgenomen in een auditlogboek en doorgeleid naar een activiteitenverkenner. Om DLP te realiseren als onderdeel van je compliance plan, is het handig dit goed te plannen. Mocht je geen idee hebben hoe je hier mee uit de voeten moet, is dat natuurlijk geen enkel probleem. Wij kunnen je hier begeleiding bij bieden. Zo kunnen wij je beleid technisch ontwerpen binnen Microsoft 365.
Wél is het natuurlijk belangrijk dat dit beleid van tevoren is gedefinieerd binnen de organisatie en dat deze de doelstellingen van de organisatie belichaamt. Na het ontwerp, kunnen we gaan testen. Dit zullen we in de volledige breedte doen zodat we een goed beeld van de resultaten terugkrijgen. Als laatste stap controleren we de resultaten en kunnen we de compliance strategie verder afstemmen en jouw organisatie helpen op de weg naar een compliance vriendelijke werkomgeving!
Wil jij meer weten over een compliance vriendelijke omgeving met Microsoft 365? Neem dan contact met ons op.