Compliance en security? Begin bij governance!

Het gebruik van Microsoft 365 is met de corona-pandemie in een stroomversnelling gekomen. De inzet van Teams, Sharepoint en OneNote maakt ons ‘nieuwe normaal’ makkelijker, maar brengt tegelijkertijd ook risico’s met zich mee op het gebied van compliance en security. Hoe zorg je ervoor dat je in control bent van de gegevens die je deelt? En hoe bewaak je dat de gedeelde gegevens ook daadwerkelijke gedeeld mogen worden? We nemen je graag mee! 

Dit gaat er bijvoorbeeld mis 

Veel organisaties werken in een omgeving – RDS – waarop de functionaliteiten van Microsoft 365 niet (voldoende) worden ondersteund. In de praktijk zien we dan dat de programma’s lokaal op de laptop worden geïnstalleerd. Wanneer gebruikers vervolgens via Teams bestanden uitwisselen met collega’s en of relaties, worden deze in de lokale download map geplaatst. Onschuldig op het eerste gezicht, maar dit vormt een groot risico op datalekken, zelfs als er voorzieningen zijn getroffen voor bijvoorbeeld lokale encryptie van data.  

Maar dit ook.. 

We zien veelal dat Teams vrijelijk gebruikt kan worden, zonder richtlijnen vanuit de organisatie. Iedereen kan Teams-kanalen aanmaken en hierin bestanden plaatsen en heel eenvoudig delen. Als het gaat om een simpel Word-document, dan is er nog geen nood aan de man. Vaak worden echter ook documenten met privacygevoelige informatie gedeeld met personen binnen en buiten de organisatie waarvan niet duidelijk is of ze hiertoe gerechtigd zijn. Maar denk ook aan de documenten die langer dan de maximale bewaartermijn in Teams of op Sharepoint blijven staan en eindeloos worden gedeeld zonder een verloopdatum.  

Governance 

Dus wat moet je nu doen? Een stap terug en aan de slag met het op orde brengen van alles wat te maken heeft met online werken in de organisatie. We hebben het dan over beleid voor dataclassificatie en governance, waarin je je bezighoudt met de vraag: hoe richt je technische oplossingen dusdanig in dat deze aansluiten bij de werkzaamheden, maar ook goed beveiligd zijn en voldoen aan alle wet- en regelgeving?  

Welke verplichtingen hebben wij als het gaat om het delen van informatie? Welke informatie mogen wij wel en niet delen met derden? Weten onze medewerkers dit? En hoe gaan wij (technisch) zorgen dat wij in controle zijn als het gaat om het delen van informatie, zowel intern als extern?   

Hierbij komen zaken kijken als het “Trust en Compliancy Centre” en Azure Information Protection binnen Office365 of Microsoft 365. Daarnaast ga je aan de slag met vulnerability checks, e-mail- en netwerkbeveiliging en bewustwording onder medewerkers. Zo weet je zeker dat alles goed geregeld is en jouw organisatie de toetsing van bijvoorbeeld een koepelinstantie doorstaat.  

Security checklist 

Bij Arcus IT werken wij met een compliancy- en security checklist, waarmee een basismeting doen van de huidige risico’s binnen jouw organisatie. Zo verkrijg je snel inzicht in welke maatregelen er getroffen moeten worden. Denk je nu, dat zal wel meevallen? We verzekeren je dat dit niet het geval is.  

Aan de slag met de basismeting of meer weten over governance, training en beveiliging? Neem contact met ons op, we helpen je graag verder!  

Gratis whitepaper:
'Formuleer jouw routekaart naar de online werkplek'
Download de whitepaper