NEN 7510 en de Security Assessement tool: De Ins and Outs

Voor wie tooling zoekt ter ondersteuning van de systematische toetsing van het niveau van de security binnen de inrichting van het Office 365 platform heeft Microsoft nieuwe tooling in preview, namelijk het Security Assessment!

Als consultant ben ik erg enthousiast over het concept. Met name in de zorg, waar de vraag wordt gesteld hoe systematische toetsing van het Office 365 platform in het Security Information Management System ten behoeve van de NEN7510 kan worden uitgevoerd, kan dit instrument een eerste goede stap van het proces bieden.

Wat houdt de Security Assessment tool in?

De Security Assessment is een tool die organisaties, aan de hand van een score en de bijbehorende details, inzage geeft in de inrichting van de Office 365 tenant en hiermee verwante onderdelen. Ieder Office365 platform biedt een zeer ruime set aan technische instellingen waarmee beveiligingsmaatregelen genomen kunnen worden. In de praktijk richten organisaties zich bij de initiële inrichting van de tenant met name op de functionele aspecten van Office 365, zoals een Intranet, werkende Skype en mail omgeving. Ze richten zich doorgaans echter minder op passende beveiligingsmaatregelen. De tooling breng de te nemen maatregelen duidelijk in zicht.

Waarom kan dit ondersteuning bieden bij compliance aan de NEN 7510?

Laat ik eerst starten met wat de tool niet biedt.

De tool is geen exacte vertaling van de verschillende artikelen uit de NEN7510 naar security instellingen en onderdelen binnen de omgeving. Een voorbeeld hiervan is dat dit bijvoorbeeld niet aangeeft dat het artikel “Toegang van data op basis van locatie, data type en domein” expliciet wordt vertaald naar de specifieke inrichting van security groupen en conditional access policies. Bij dit soort zaken bieden wij nog steeds onze kennis.

Het biedt wel de mogelijkheid om letterlijk te toetsen tegen de inrichting en activering van de verschillende Office 365 onderdelen, zoals de conditional access policies. Hierbij worden alle onderdelen beoordeeld met een eigen score. De score hangt samen met de toegenomen mate van beveiliging. Daarbij is het mogelijk om om zelf een streef-score te bepalen. Deze loopt van laag, medium tot hoog. Voor wie al eerder met het NEN 7510 bijltje heeft gehakt herkent hierin de verschillende levels: low, medium en high. Door het verschil in score wordt er ook direct een overzichtelijk beeld gegeven van de te nemen beveiligingsmaatregelen, en welke als eerste worden genomen.

Daarnaast kan de security analyse een handig instrument zijn als onderdeel van de structurele beveiligings-analyse in het Security Information Management System. De tooling kan hierdoor ondersteuning bieden in het controlerende element en zal input leveren ten aanzien van instellingen binnen Office365. Positief hierbij is dat er ook bekeken kan worden welke beveiliging-verhogende features binnen je eigen specifieke licentievorm beschikbaar zijn.

Samenvattend, vind ik het een interessante tool voor organisaties die op een vrij eenvoudige en toegankelijke wijze inzage willen hebben in de wijze hoe zij de beveiliging van hun Office365 omgeving kunnen verhogen. Afsluitend wil ik hierbij wel als aandachtspunt benoemen dat voor activatie van de features een gedegen voorbespreking van de impact van de features noodzakelijk is.

Bent u geïnteresseerd in wat deze tool voor uw organisatie kan betekenen? Neem contact op met het Rapid Circle Security Team.