LEESTIJD 6 MINUTEN:
MS TEAMS in Control #1: Veiligheid
Corona heeft een digitale revolutie ontketend. Ondanks alle ellende wordt eindelijk door iedereen digitaal samengewerkt. Bewonderenswaardig, maar het is niet moeilijk om te begrijpen dat door de ongecontroleerde uitrol en omarming van oplossingen digitale chaos ophanden is. Als digitaal leider sta je nu voor de uitdaging om de digitale beheersbaarheid, werkbaarheid en veiligheid op orde te krijgen. Hoe herstel je op juiste wijze overhaast gemaakte keuzes?
In deze serie van drie blogs behandelen we de drie belangrijke vraagstukken om dat voor elkaar te krijgen. Werkbaarheid, beheersbaarheid en veiligheid. Maar laat ik beginnen met dit: koester de digitale revolutie die we nu meemaken. Deze gaat in de toekomst niet alleen productiviteitswinst opleveren, maar ook maatschappelijke winst.
Security first
We beginnen in deze blogserie niet zonder reden met security. De eerste vraag die je je namelijk moet stellen, is of je in de crisissfeer de juiste tools hebt gekozen. Nood breekt wetten, dus hebben sommige organisaties schoorvoetend Citrix – met al haar beveiligingslekken – weer aangezet, terwijl het nog onduidelijk is of al die gaten nu werkelijk gedicht zijn. Zoom ligt zwaar onder vuur. En hoewel de persvoorlichter steeds beterschap belooft, blijven er ‘security-lijken’ uit de kasten vallen.
Vooralsnog is tech-gigant Microsoft buitengewoon betrouwbaar gebleken. Werk je nu met Zoom of Citrix of een andere (zogenaamde gratis, geweldige, hippe en/of functioneel rijke) tool? Maak dan nu een verstandige keuze door deze uit te zetten en over te stappen op MS Teams. Trek die lijn consequent door en verbied medewerkers ook om deel te nemen aan Zoom-meetings georganiseerd door externe partijen. Zo loop je geen risico om in strijd te handelen met de AVG/GDPR-wetgeving.
[ms-team-in-control]
Niet voor niets
Bedenk goed hoe het kan dat een tool gratis wordt aangeboden. Als een tool gratis is, dan is jouw gebruiksdata vaak het betaalmiddel. Wees daarom terughoudend in het zakelijke gebruik van gratis (consumenten)producten. Gebruik zeker geen Zoom-meetings meer, want voor je het weet word jij of een van je collega’s alsnog gehackt. Deze maatregel gaat even pijn doen. Maar in dit geval is de eerste pijn, de beste pijn. Je medewerkers zitten nog in de leer- en probeerfase en staan dus nog open voor veranderingen.
Wat kost dat?
Microsoft heeft bij de uitbraak van de corona-pandemie de MS Teams E1-licentie voor alle Office 365-gebruikers opengezet, zodat zij ondanks alle beperkingen kunnen blijven doorwerken. Dat is voor zes maanden. Daarna brengt Microsoft licentiekosten in rekening. Het is goed om te weten dat bijna iedereen gebruik maakt van de E1-licentie. Dat is de meest basale versie van Teams. Er is ook een E3- en een E5-licentie beschikbaar. Daarmee zijn niet alleen je desktoptools van Office gekoppeld, maar heb je ook meer mogelijkheden om je beveiliging en compliance op orde te brengen.
Hardware
Ga je MS Teams gebruiken, of doe je dat al? Dan ben je door de standaard security-voorzieningen van Microsoft Office 365 al heel goed gedekt. Als jouw organisatie een managed devices-beleid hanteert is het absoluut aan te raden om multi factor authentication (aan te zetten en de werkplekken te voorzien van BitLocker-schijfencriptie. Hanteert jouw organisatie een BYOD-beleid en gebruiken je medewerkers hun eigen apparaten, dan is dit al moeilijker. Apple iOS bijvoorbeeld ondersteunt deze beveiliging niet.
Eigen routers of modems bij medewerkers plaatsen is onmogelijk of heel erg lastig.
Daarom is het belangrijk om te weten hoe goed beveiligd de thuis-wifi van jouw medewerker is. Welke technische maatregelen kun jij treffen om daar niet van afhankelijk te zijn? Dit moet je samen met je technisch beheer écht even goed in kaart brengen. Qua security-opties ben je (helaas) afhankelijk van de netproviders. Ziggo-abonnees zullen geen eigen router of modem kunnen plaatsen en bij KPN kan dit alleen met veel moeite. Eis daarom minimaal WPA2 -beveiliging op de modems van je medewerkers. Hebben ze dit niet, laat ze dan contact opnemen met hun provider om dit zo snel mogelijk te laten regelen.
En VPN dan?
Jouw VPN is waarschijnlijk niet berekend op zoveel verkeer op je bedrijfsnetwerk. Bovendien zal je je beveiligingsbeleid op twee niveaus moeten inregelen: in MS Teams en op je eigen netwerk. Zo creëer je een wirwar aan bevoegdheden en gebruiksafspraken, die in de praktijk het hele idee van MS Teams om zeep helpen. Maak eventueel een uitzondering voor heel bedrijfsgevoelige handelingen van bijvoorbeeld de raad van bestuur. Maar gebruik geen VPN voor de dagelijkse handelingen waarvoor MS Teams ontwikkeld en toegerust is.
Informatiegevoeligheid
Wil je toch echt centraal zicht hebben op welke content door wie gedeeld wordt en wil je de content kunnen classificeren op informatiegevoeligheid? Dit kan met de security- en compliance-modules van MS Teams. Hiervoor zal je je licenties moeten upgraden naar E3 of E5. Het is sowieso verstandig om voor je organisatie protocollen voor Data Loss Prevention (DLP) op te stellen en te monitoren. Gebruik hiervoor bijvoorbeeld de Microsoft Secure Score.
Bevoegdheden
Over protocollen gesproken. Als één iemand zich niet aan gemaakte afspraken houdt, heb je al een potentieel datalek. In MS Teams kun je naast online meetings houden ook heel eenvoudig en snel bestanden, mappen, taken en apps met andere afdelingen of zelfs externen delen. Makkelijk, maar ook risicovol. Daarom zul je snel afspraken moeten maken hoe je medewerkers werken en hoe ze met elkaar communiceren binnen MS Teams. Zorg dat er op verschillende niveaus in je organisatie personen zijn aangewezen die verantwoordelijk zijn voor de handhaving van die protocollen.
Security zou een mindset voor alle teamleden moeten zijn.
De teams-owner, zeker, maar hij of zij niet alleen! Security is een mindset voor alle teamleden. Voordat een map wordt gedeeld, moet er goed nagedacht worden over de consequenties. Wees daar ook weer niet te krampachtig in. Hanteer het principe: delen mag, tenzij er een zwaarwegende reden is om dit niet te doen. Erken dat elke afdeling andere behoeften en soms andere vrijheden nodig heeft. Voorkom regelwoede waarmee je het hele idee van digitaal samenwerken weer om zeep helpt.
Communiceer duidelijk en zorgvuldig over de bevoegdheden, want als iedereen naar believen kanalen en teams kan aanmaken en openen, raak je de grip op de security en governance kwijt.
Wat kun je verder allemaal ondernemen om regie over MS Teams te houden?
- Definieer de belangrijkste afdelingen en teams die je echt in control wilt krijgen.
- Verken de uitdagingen per afdeling/team; die kunnen behoorlijk verschillen.
- Initieer een Governance Board om het beleid te bepalen en evalueren.
- Bepaal de digitale rituelen per afdeling, wijs key users aan en analyseer het huidige gebruik.
- Maak een verbeterplan per afdeling en de configureer MS Teams-omgeving conform wensen en eisen.
- Train en coach de teamleden in het optimaal gebruiken van de tools.
- Evalueer je DLP-protocollen en richt deze met de DLP Secure Store in.
- Kijk welke repeteerbare processen binnen je organisatie te automatiseren zijn met bijvoorbeeld Microsofts Power Automate en het Power Platform. (Medewerkers die een paar weken op afstand hebben gewerkt zullen nu vast veel nieuwe ideeën hebben hoe werkzaamheden slim te automatiseren).
Kunnen wij helpen?
Adoptify heeft de afgelopen weken heel hard gewerkt om iedereen die met MS Teams wil of moet gaan werken te kunnen helpen. Bekijk het gratis aanbod op onze website. Ben je verantwoordelijk voor de ICT-omgeving? Kies dan onze webinar voor beleidsmakers. Hierin leggen we je in een uurtje uit hoe je met jouw organisatie snel en vooral slim met MS Teams aan de slag kunt gaan.
[webinar-beleidsmakers]