Skip to main content
Blogs

MS Teams openzetten voor externen? De gebruikers zijn je veiligheidsrisico.

Door 1 november 2022Geen reacties
Door Niek Ong
1 november 2022

Gebruik Microsoft Purview Information Protection om je data op bestandsniveau te beschermen.

Digitaal samenwerken is voor veel organisaties en bedrijven de norm geworden. Door het hybride werken kunnen medewerkers tijd en plaats ongebonden werken. Nu dit mogelijk is willen organisaties graag Microsoft Teams en SharePoint Online openzetten voor externen om samenwerking te bevorderen. Dat moeten ze ook vooral doen en proberen, maar het brengt een veiligheidsvraagstuk met zich mee: “Hoe houden wij als organisatie controle over onze eigen vertrouwelijke en gevoelige data?”. Realiseer je dan, dat de gebruikers een veiligheidsrisico zijn.

In deze blog ga ik in op de gevolgen voor jouw medewerkers wanneer jouw organisatie ervoor kiest om (delen) van je MS Teams en Sharepoint voor externen open te zetten en laat ik je zien hoe jouw bedrijf controle over haar data behoudt door met Microsoft Purview Information Protection (MIP) je bedrijfsinformatie op bestandsniveau te beschermen.

Overheidsinstanties, zorginstellingen en andere organisaties en bedrijven die financiële gegevens verwerken zijn verplicht om hun data te classificeren. Vertrouwelijke en geheime informatie zoals subsidie gegevens, financiële gegevens, bijzondere persoonsgegevens en geheime strategische informatie mogen alleen gebruikt worden door de daarvoor gemachtigde personen.

Delen of beschermen

Dit brengt een uitdaging met zich mee in Microsoft Teams en SharePoint Online, omdat het daar juist draait om alle informatie toegankelijk en openbaar met elkaar te delen om zo het digitale samenwerken te bevorderen. Organisaties nodigen medewerkers van andere bedrijven en leveranciers uit om op hun omgeving samen te werken. Handig én noodzakelijk in deze tijden. Maar is het ook veilig?

Nee, ondanks dat het “open, tenzij” principe voor een goed lopende samenwerking zorgt, is het niet altijd veilig. Met name wanneer medewerkers vertrouwelijke documenten behandelen, is het van belang dat jouw organisatie de controle houdt over haar data.

Delen én beschermen

Eén van de applicaties van Microsoft die een oplossing biedt voor deze uitdaging is “Microsoft Purview Information Protectoin”. Doormiddel van MIP kunnen alle (Microsoft 365) bestanden en e-mails beveiligd worden. Technisch kan dit een handige oplossing zijn om als organisatie controle te houden over alle data in Office 365. Maar er moet ook aandacht zijn voor de impact op de eindgebruiker en de gevolgen voor de productiviteit van de medewerker.

De impact op de gebruiker

Alle bestanden en e-mails moeten met MIP geclassificeerd worden. Dit kan op twee manieren: handmatig of automatisch op basis van de inhoud (M365 E5 licentie nodig) Dit betekent dat in veel gevallen de eindgebruiker altijd minimaal een extra handeling moet uitvoeren: het classificeren van zijn/haar bestanden en e-mails. Op zichzelf is dit geen grote uitdaging, wat is één extra handeling? Maar het juist classificeren van data werkt alleen wanneer de medewerker genoeg kennis heeft over de verschillende classificatie labels. De medewerker moet weten wanneer welk bestand een specifiek label moet krijgen, en hij/zij moet zich bewust zijn wat de gevolgen van het toekennen van die classificatie (bv. Niet doorsturen).  In de praktijk vinden veel mensen dit lastig. Dit is logisch, want veel medewerkers hebben hier niet eerder zo bewust over na hoeven denken.

Wat is Microsoft Purview Information Protection en hoe gebruik je het?

Wat is Microsoft Purview Information Protection en hoe gebruik je het?

Microsoft Purview Information Protection is een Cloud oplossing waarmee organisaties documenten en e-mail berichten kunnen classificeren en beveiligen door labels toe te passen. Je kunt labels kunnen op verschillende manieren toepassen:

  • Automatisch door beheerders die regels en voorwaarden gebruiken
  • Handmatig door gebruikers
  • Gecombineerd, waarbij beheerders de aanbevelingen definiëren die worden weer gegeven voor gebruikers

Hoe werkt Microsoft Purview Information Protection (MIP)?

  1. Als MIP is toegevoegd aan de tenant van je Microsoft 365, stelt jouw organisatie bedrijfs brede classificatie labels op.
    Bijvoorbeeld: Persoonlijk, Intern, Openbaar, Vertrouwelijk en Geheim.
  2. Gebruikers kunnen vrij eenvoudig een document, spreadsheet of mail classificeren door in je gereedschappenbalk op ‘sensitivity’ te klikken en de door jouw gekozen classificatie toe te wijzen.
  3. Aan elk van deze labels word een classificatie en optioneel beleidsregels toegekend. Zo kunnen bestanden en e-mails met het label “Vertrouwelijk” alleen geopend worden door specifieke personen. Of kunnen persoonlijke e-mails niet doorgestuurd worden naar derden.
  4. Naast dat officedocumenten geclassificeerd kunnen worden is het ook mogelijk om geconverteerde pdf files te beveiligen.

Wil je dit zoveel mogelijk automatiseren, dan zal je organisatie minimaal een M365 E5 of AIP P2 Licentie van Microsoft moeten hebben. Wil je hier meer over weten? Neem dan contact met mij of een van de andere adoptifiers op.

Het belang van Adoptie, bewustwording en digitale discipline

Het simpelweg aanzetten van een applicatie zoals MIP zal dus niet genoeg zijn om de data van jouw organisatie afdoende te beveiligen wanneer je samenwerkt met externen. Als organisatie zal je een bewustwording en digitale discipline onder jouw medewerkers moeten creëren om veilig digitaal samen te kunnen werken. Zonder deze bewustwording over wat dataclassificatie is, wat het betekent voor jouw bestanden en waarom het noodzakelijk is, loop jij als organisatie immers nog steeds een risico. Je medewerker is de zwakste schakel, Daarom moet de medewerker centraal staan!

Voor veel mensen in veel verschillende functies is dataclassificatie niet hun primaire taak. Daarom is het aan jou als organisatie om dataclassificatie zo laagdrempelig mogelijk te maken. Doe je dat niet, dan kiezen de meeste werknemers na verloop van tijd altijd de laagste classificatie want dat heeft de laagste impact op hun werk. Een goed adoptie traject is cruciaal om draagvlak te creëren onder de gebruikers. Zonder draagvlak geen veiligheid.

Ons advies

Sta jij op het punt om jouw Microsoft 365 omgeving open te zetten of heb jij dit net gedaan? Onthoud dan dat veilig samenwerken valt of staat met het gedrag van je eigen medewerkers. De techniek ondersteunt je hierin en veel kan technisch afgedwongen worden. Maar net als water zullen mensen altijd de weg van de minste weerstand kiezen. Door het creëren van draagvlak en de medewerker centraal te stellen wordt jouw veiligheidsbeleid echt effectief.

Hulp nodig?

  • Doe een Security Scan om er zeker van te zijn dat je data veilig is.
  • Neem contact op met een van onze security experts voor een gratis second opinion.
  • Onderzoek de digitale vaardigheden van jouw medewerkers door de Digi Fit Index Scan.
Niek Ong

Heb je nog een vraag?

Niek Ong geeft je graag antwoord.

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.
MS 365 security scan
Jouw Microsoft 365 omgeving veiliger en toch gebruiksvriendelijk
MEER WETEN?