Blog

Dataclassificatie in Office 365: grip op je data

Bij een migratie naar de cloud verandert niet alleen de manier waarop je documenten opslaat. Ook het gebruik van je data is anders. Bij on-premises installaties lag de nadruk op het aan banden leggen van de toegang tot devices: had je als medewerker eenmaal je wachtwoord ingevoerd op je workstation, kon je vervolgens bij alle data die bij je rol hoorde. Toegang van buiten het gebouw was vaak beperkt tot, beveiligd verbonden, devices van medewerkers.

Niet het device beveiligen, maar de data zelf

De moderne digital workplace ziet er heel anders uit. We nodigen klanten, leveranciers en partners uit om samen aan documenten te werken en we werken zelf vanaf een groot aantal verschillende devices. Sommige daarvan zijn ‘van de zaak’, maar even een document bekijken op je privételefoon of op vakantie in een internetcafé is tegenwoordig de normaalste zaak van de wereld. Daardoor is databeveiliging fundamenteel veranderd. In het verleden lag de prioriteit bij het beveiligen van apparaten, omdat we data centraal opsloegen. Met de komst van de cloud verschuiven beveiligingsmaatregelen naar de applicatielaag en de datalaag waarbij beveiligingsopties in de applicatie- en op dataniveau zijn ingesteld.

Een internetcafé in Barcelona

Een voorbeeld: stel, een medewerker downloadt een vertrouwelijk document in een internetcafé in Barcelona. Dat document staat daar dus lokaal op de harde schijf en een volgende gebruiker kan het vinden in de Downloads-map. Diegene zal het document, dankzij databeveiliging, echter nooit kunnen openen. Ook zonder internetverbinding ‘weet’ het versleutelde document welke identiteiten het wel en niet mogen bekijken of bewerken.

Structuur, inzicht en controle

Het classificeren van data doe je gewoon in Office 365. Verander je een classificatie, bijvoorbeeld van ‘Intern’ naar ‘Vertrouwelijk’, dan wordt het nieuwe beleid meteen toegepast. Dat geldt ook voor lokale kopieën op devices van medewerkers en externen. Het classificeren van data geeft je meer structuur en inzicht in de data die je hebt. Heb je bijvoorbeeld een aparte classificatiecategorie voor persoonsgegevens? Dan kun je ook met één klik alle persoonsgegevens in je hele Office-omgeving op het scherm krijgen. Het omgekeerde kan ook: ben je de eigenaar van het document, dan zie je in één oogopslag wie er allemaal toegang hebben en kun je rechten verlenen, intrekken of beperken tot een specifieke periode.

Azure Information Protection

In de Microsoft-cloud doe je dit met Azure Information Protection (AIP). Met deze tool kun je al je Office 365-data op documentniveau te classificeren en te beveiligen. Door AIP te combineren met Data Loss Prevention (DLP) en Cloud App Security kun je documenten zelfs traceren en zo nodig onbruikbaar maken op externe apps als Dropbox, WhatsApp en Slack.

Beginnen met dataclassificatie in Office 365

Starten met dataclassificatie is meestal de tweede stap in de Security Journey, de reis naar een veilige werkplek in de cloud die wij samen met onze klanten maken. De eerste stap is de Security Scan, waar je meer over kunt lezen in mijn vorige blog.

Na de scan kijken we wat er op dat moment is aan beveiligingsbeleid en welke classificaties we nodig hebben. Dan classificeren we de data die er is. Een aantal zaken kan eventueel geautomatiseerd worden. AIP bevat functies voor het scannen van je bestandssysteem en het automatisch classificeren van documenten. Dit kan op basis van locatie - staat het bijvoorbeeld in de HR-map? Of op een specifieke projectsite? - of op basis van de inhoud. Daarbij ‘leest’ AIP de documenten daadwerkelijk en bepaalt op basis van het gebruik van bepaalde woorden wat de classificatie moet zijn.

De regels bepalen

Nu kunnen we per classificatie daadwerkelijk de regels bepalen. We kijken welke regels er moeten gelden voor specifieke disciplines zoals HR, Research & Development etc. We stellen in wat de impact moet zijn van classificatie van een document. Mag het door een ontvanger doorgestuurd worden? Mag alleen de directie het inzien? Mag het met externen gedeeld worden? Zelfs het maken van een screenshot kunnen we per classificatie beperken.

De volgende stap…

Na het classificeren van je data en het vaststellen van het beveiligingsbeleid ben je al een aardig stuk op weg naar een veilige werkplek in de cloud. Wat betreft je bestaande data ben je nu op orde. Maar ondertussen hebben je medewerkers gewoon doorgewerkt en documenten aangemaakt en met anderen gedeeld. Hoe weet je dat ze daarmee geen datalekken hebben veroorzaakt? Om dat te kunnen controleren heeft Microsoft tools die gebruikersgedrag continu actief kunnen monitoren. Daarover gaat het volgende blog.

Meer weten over dataclassificatie? 

Volg hier het webinar 'Classificeren, labelen en beveiligen van je bedrijfsdata in de cloud'.

Wil je meer weten?

Laat je telefoonnummer achter en we bellen je terug om al je vragen te beantwoorden.