Dit gaat er bijvoorbeeld mis
Veel organisaties werken in een omgeving – RDS – waarop de functionaliteiten van Microsoft 365 niet (voldoende) worden ondersteund. In de praktijk zien we dan dat de programma’s lokaal op de laptop worden geïnstalleerd. Wanneer gebruikers vervolgens via Teams bestanden uitwisselen met collega’s en of relaties, worden deze in de lokale download map geplaatst. Onschuldig op het eerste gezicht, maar dit vormt een groot risico op datalekken, zelfs als er voorzieningen zijn getroffen voor bijvoorbeeld lokale encryptie van data.
Maar dit ook..
We zien veelal dat Teams vrijelijk gebruikt kan worden, zonder richtlijnen vanuit de organisatie. Iedereen kan Teams-kanalen aanmaken en hierin bestanden plaatsen en heel eenvoudig delen. Als het gaat om een simpel Word-document, dan is er nog geen nood aan de man. Vaak worden echter ook documenten met privacygevoelige informatie gedeeld met personen binnen en buiten de organisatie waarvan niet duidelijk is of ze hiertoe gerechtigd zijn. Maar denk ook aan de documenten die langer dan de maximale bewaartermijn in Teams of op Sharepoint blijven staan en eindeloos worden gedeeld zonder een verloopdatum.
Governance
Dus wat moet je nu doen? Een stap terug en aan de slag met het op orde brengen van alles wat te maken heeft met online werken in de organisatie. We hebben het dan over beleid voor dataclassificatie en governance, waarin je je bezighoudt met de vraag: hoe richt je technische oplossingen dusdanig in dat deze aansluiten bij de werkzaamheden, maar ook goed beveiligd zijn en voldoen aan alle wet- en regelgeving?
Welke verplichtingen hebben wij als het gaat om het delen van informatie? Welke informatie mogen wij wel en niet delen met derden? Weten onze medewerkers dit? En hoe gaan wij (technisch) zorgen dat wij in controle zijn als het gaat om het delen van informatie, zowel intern als extern?
Hierbij komen zaken kijken als het ‘Trust en Compliancy Centre’en Azure Information Protection binnen Office365 of Microsoft 365. Daarnaast ga je aan de slag met vulnerability checks, e-mail- en netwerkbeveiliging en bewustwording onder medewerkers. Zo weet je zeker dat alles goed geregeld is en jouw organisatie de toetsing van bijvoorbeeld een koepelinstantie doorstaat.
Security checklist
Bij Arcus IT werken wij met een compliancy- en security checklist, waarmee een basismeting doen van de huidige risico’s binnen jouw organisatie. Zo verkrijg je snel inzicht in welke maatregelen er getroffen moeten worden. Denk je nu, dat zal wel meevallen? We verzekeren je dat dit niet het geval is. Aan de slag met de basismeting of meer weten over governance, training en beveiliging? Neem contact met ons op, we helpen je graag verder!
Bron: Compliance en security? Begin bij governance! (arcusit.nl)
Geef een reactie