“Nieuwe regelgeving, met de Europese privacywet GDPR als bekendste voorbeeld, heeft het bewustzijn rond de nood aan dataprivacy gevoelig aangescherpt. Het heeft de investeringen van bedrijven in dataprivacy ook een pak dwingender gemaakt”, stelt Joeri Rotthier vast.

“Wie niet in orde is met de bestaande regelgeving, hangt nu al gauw een boete boven het hoofd. In het allerergste geval raak je zelfs je bedrijfsvergunning kwijt. En dan hebben we het nog niet eens over de potentiële imagoschade die je lijdt bij klanten, of over de mogelijke negatieve impact van zo’n veroordeling op je relaties met toeleveranciers en andere zakenpartners.”

Least privilege

Natuurlijk waren bedrijven vroeger ook al bezorgd om dataprivacy. “Als bedrijf wil je dat enkel wie toegang moet hebben tot bepaalde gegevens ook effectief toegang krijgt tot die gegevens. Daarom hanteren bedrijven al langer het principe van ‘least privilege’ of minimale bevoegdheid: iedere medewerker krijgt precies die bevoegdheid die nodig is om zijn of haar taken naar behoren te kunnen uitvoeren. Wie een document enkel moet kunnen lezen, kan het dan niet wijzigen, bijvoorbeeld.

Met de technologieën die vandaag voorhanden zijn, waaronder ook het Microsoft 365-platform, kan je dat principe perfect toepassen. Zo kan je de toegang tot documenten met confidentiële informatie beperken voor onbevoegden of hun die toegang helemaal ontzeggen.” 

Eerste stap: manueel labelen

Het goede nieuws is dat Microsoft ook daarvoor oplossingen aanreikt. Een eerste stap naar een betere beveiliging is het manueel toevoegen van zogeheten sensitivity labels aan documenten. De belangrijkste functie van die labels binnen Microsoft 365 is aan te geven welk type content een document bevat. Gaat het om vertrouwelijke content, dan kan je als documentbeheerder een encryptielaag aan het document toevoegen. Die zorgt ervoor dat enkel bevoegden die over de juiste sleutel beschikken toegang krijgen tot het versleutelde document. Onbevoegden die datzelfde document per ongeluk toegestuurd krijgen, kunnen het niet openen, lezen of bewerken. Daarbij komt dat alles wat er na het labelen met dat document gebeurt, ook systematisch bijgehouden wordt in je compliance policy. Zo kan je de toegang tot dat document achteraf nog uitbreiden, weer ontnemen, in de tijd beperken, noem maar op.”

Tweede stap: automatisch labelen

Als het op beveiliging aankomt, is manueel werk allesbehalve ideaal. En al helemaal als dat werk dan ook nog eens door eindgebruikers gebeurt. Mensen blijven nu eenmaal de zwakste schakel binnen security. “Daarom is het beter om de toekenning van labels te automatiseren”, zegt Joeri Rotthier.

“Dat kan door gebruik te maken van Defender for Cloud Apps. Dat is de Cloud Access Security Broker, kortweg CASB, van Microsoft. De tool werkt op basis van zogenoemde classifiers die typische, terugkerende content in documenten kunnen herkennen: van adres- tot paspoortgegevens en van bankrekening- tot kredietkaartnummers. Op basis van die inhoud en de policies die jij instelt en combineert, worden documenten vervolgens automatisch geclassificeerd. Als kers op de taart voorziet Microsoft ook ‘trainable classifiers’. Die kan je aanleren om specifieke content van jouw bedrijf te herkennen, op basis daarvan een label aan te maken en dat label ook automatisch toe te passen op bepaalde documenten.”

Derde stap: classificeren

“Medewerkers die toegang hebben tot zo’n label moeten dat label ook kunnen wijzigen”, vervolgt Joeri Rotthier. “Zo kan het gebeuren dat informatie niet langer confidentieel hoeft te blijven. Dan moet je de classificatie van dat document kunnen verlagen, zodat het breder toegankelijk wordt. Daarbij adviseer ik klanten om niet meer dan tien labels te gebruiken. Anders vindt een kat haar jongen er niet meer in terug.

Verhoog je een label van een lagere naar een hogere classificatie, dan kan dat automatisch gebeuren. Maar ga je van een hogere naar een lagere classificatie, dan zal je daar ook een ‘justification’ of rechtvaardiging voor moeten ingeven. En uiteraard houdt het systeem bij wie de classificatie van een label heeft aangepast.” 

Maatwerk

“Als het op dataprivacy governance aankomt, bestaat er helaas geen one-size-fits-all”, geeft Joeri Rotthier tot besluit nog mee. “Veel is hoe dan ook afhankelijk van het type van onderneming dat je bent en de sector waarin je opereert. Het kan dus zeker geen kwaad om daar gespecialiseerde externe hulp bij in te roepen.”

Meer info?

Heeft u controle over uw data in M365? Hebben de juiste gebruikers toegang tot alle items die ze nodig hebben? In een wereld waarin datalekken dagelijks het nieuws halen, zijn deze vragen meer dan ooit aan de orde. Vandaar het belang om uw prioriteiten op het gebied van security te bepalen. Welke inbreuken wilt u ten alle koste vermijden? Welke technologieën gebruikt u en welke initiatieven zijn er gepland? Via onze Priority Assessment helpen onze experten u op weg en krijgt u zicht op mogelijke kleine aanpassingen in uw bestaande omgeving met grote impact op het niveau van security. Voor meer info hierover, aarzel niet om contact op te nemen via uw vertrouwde Inetum-Realdolmen-contactpersoon, onze experten of via eenvoudige mail naar info@inetum-realdolmen.world.