De bedoeling van de GDPR is voor iedereen duidelijk, maar wat betekent dat voor u in de praktijk? Of beter: welke technologie kunt u gebruiken om persoonsgebonden informatie efficiënt af te schermen?
ALLES IN ÉÉN PAKKET
Persoonsgebonden of andere gevoelige informatie kunt u alleen efficiënt afschermen met behulp van de juiste technologie. Er bestaan heel wat tools, onder meer voor het classificeren van gevoelige informatie, voor het beveiligen van de toegang tot die informatie en voor het beheer van mobiele toestellen. U kunt natuurlijk voor elk van die functies de allerbeste oplossing zoeken, maar hier heeft Microsoft een grote troef met Microsoft Secure Productive Enterprise, dat ook Windows Intune omvat en allerlei beveiliging- en beheerfuncties perfect met elkaar en met uw Office-toepassingen integreert. Die integratie is een groot voordeel wat u niet hebt wanneer u werkt met tools van verschillende leveranciers. We zien ook dat Microsoft in snel tempo updates brengt zodat de technologie op alle vlakken steeds beter wordt. Het voordeel van het geïntegreerde aanbod is volgens ons sowieso groot genoeg om voor deze aanpak te kiezen – een manier ook om sneller klaar te zijn voor de GDPR-regelgeving.
BEVEILIGING ALLE NIVEAUS
Microsoft Secure Productive Enterprise combineert functies van Office 365, Enterprise Mobility + Security en Windows 10 Enterprise. Daarmee is Microsoft de enige leverancier die een geïntegreerd beheer biedt voor elk niveau: het toestel, de applicatie, de data en de gebruiker. Zo omvat het cloudpakket een ‘sniffing tool’ die niet alleen aanvallen van hackers opspoort maar ook dient voor ‘behavioral analytics’. Daarnaast is er een toepassing voor het beveiligen van cloudapplicaties – overigens niet alleen die van Microsoft maar bijvoorbeeld ook Dropbox. Informatie klasseren als gevoelig kan met Intune. Die gegevens zijn dan alleen toegankelijk met de juiste toegangsrechten en wanneer ze worden verplaatst, zijn ze automatisch geëncrypteerd.
MEER IN HANDEN LEGGEN VAN DE EINDGEBRUIKER
Bepalen in uw organisatie de IT-verantwoordelijken welke beveiliging nodig is voor uw gegevens? Bedenk dan dat zij daarvoor niet noodzakelijk de meest geschikte partij zijn: dat is vaak de eindgebruiker die de informatie creëert en/of ermee werkt. Vertrouw dus die taak toe aan de eindgebruiker, weliswaar gecombineerd met duidelijke regels en automatische instellingen voor bepaalde bestanden.
VEILIG IN DE CLOUD
Toch nog wat schrik om via de cloud de controle kwijt te spelen? Dat hoeft niet. Ook hier weer heeft Microsoft een handig hulpmiddel: Cloud App Security, apart te gebruiken of als onderdeel van Microsoft Secure Productive Enterprise. Met deze cloudapplicatie kunt u shadow IT detecteren en krijgt u een dashboard waarin u precies ziet welke cloudtoepassingen uw gebruikers bezigen en hoeveel dataverkeer ze daarbij genereren. Onveilige applicaties kunt u via het dashboard blokkeren. U kunt hierover natuurlijk best communiceren met de gebruikers zelf. Misschien hebben zij goede redenen om te kiezen voor een bepaalde applicatie, zodat u eventueel een alternatief kunt voorstellen.
MALAFIDE ACTIES OPSPOREN OP DOCUMENTNIVEAU
Op het niveau van bestanden in SharePoint of OneDrive kunt u zien welke bedrijfsinformatie werd gedeeld, verstuurd of gedownload. Zo komt u snel malafide acties – inclusief hackers op het spoor. U kunt ‘alerts’ instellen voor bepaalde handelingen die niet zijn toegestaan of die mogelijk verdacht zijn. Die instellingen zijn overigens absoluut niet technisch complex om uit te voeren. Het is zelfs mogelijk om de beveiligingsmelding (automatisch) door te sturen naar de manager van de eindgebruiker of naar de eindgebruiker zelf. Zo verschuift u die veranwoordelijkheid van de IT naar de business. Het is ook mogelijk dat het vals alarm is of dat de eindgebruiker zich niet bewust is van zijn riskante IT-gebruik. Daarom is het zeker nuttig om altijd te communiceren met de eindgebruikers.
GEVOELIGE INFO IDENTIFICEREN
Hoe doet u dat nu, gevoelige informatie identificeren? In Outlook kunt u bij het opstellen van een e-mail zelf instellen of het gaat om interne of persoonlijke informatie – een functie die veel gebruikers nog moeten ontdekken. U kunt ook instellen dat de gebruiker automatisch een melding krijgt wanneer hij een mail instelt als intern maar in het ‘Aan’-veld een e-mailadres invult van iemand buiten de organisatie.
Azure Information Protection is zeer handig voor het classificeren, labelen en beveiligen van documenten en e-mail. Dat kan automatisch door regels en voorwaarden te bepalen vanuit het beheersysteem, handmatig door de gebruikers zelf, of door een combinatie van de twee. Zo kunt u automatisch detecteren wanneer documenten persoonlijke informatie bevatten zoals een geboortedatum of een adres – het soort gegevens dat u volgens de GDPR moet afschermen. Als iemand zo’n document probeert door te mailen of op te slaan op OneDrive of op een stick, dan krijgt de gebruiker de melding dat dat niet is toegestaan voor persoonlijke informatie. Wanneer de gebruiker toch de rechten heeft om dat te doen, worden de gegevens geëncrypteerd en dan zijn ze alleen leesbaar voor mensen met toegangsrechten. Ook hier weer is het zeer belangrijk om de eindgebruikers bewust te maken van de redenen waarom ze op een bepaalde manier met informatie moeten omspringen.
INFORMATIE BEVEILIGEN OP VERPLAATSING
Even een voorbeeldscenario: een van uw medewerkers wil bedrijfsinformatie gebruiken vanop een publieke luchthavencomputer. U kunt in die situatie toestaan dat hij zijn e-mails leest maar eerst wel een extra identiteitscheck inbouwen, bijvoorbeeld door een verificatiecode naar zijn gsm te sturen. Applicaties met gevoelige klanteninformatie kunt u blokkeren voor gebruik op pc’s buiten het bedrijf.
U ziet het: er is voor alles een oplossing maar om helemaal te voldoen aan de GDPR-regelgeving moet u de afscherming van gevoelige informatie op meerdere niveaus aanpakken. Eventueel kunt u daarbij stap voor stap te werk gaan. We geven u graag advies!
Nog minder dan één jaar tot de GDPR: hoe pak ik het aan? Lees onze andere blog!