azure

Verhoog in 3 stappen je NEN 7510 compliance binnen Office 365

In een eerdere blog schreven we al over het belang van informatiebeveiliging in de zorg vanuit het oogpunt van de General Data Protection RegulationDeze keer behandelen wij de NEN 7510 normering en hoe je hierbij binnen Office 365 je compliance verhoogt.

In de zorgsector is de NEN 7510 de normering welke zich richt op de informatiebeveiliging in zowel fysieke als digitale vorm. NEN 7510 kan worden gebruikt als leidraad voor de inrichting van een veilig informatiebeveiligingsbeleid en gaat uit van een goed risico-assessment, waarop vervolgens de juiste maatregelen getroffen kunnen worden. Om dit te bewerkstelligen biedt de NEN 7510 uitgangspunten en richtlijnen voor het nemen van maatregelen ten behoeve van vertrouwelijkheid, integriteit en beschikbaarheid van zorg-gerelateerde data. Het monitoren en handhaven van de maatregelen maakt tevens onderdeel uit van de norm.

Veel zorgorganisaties beschikken reeds over een informatie beveiligings- management systeem (ISMS). Dit systeem, wat een procesmatige aanpak is en niet per se een digitaal systeem, wordt ingezet voor het verkrijgen van overzicht in de te nemen en genomen maatregelen, én de controle hierop.

Aspecten die hierin worden meegenomen zijn onder andere, de organisatie van informatiebeveiliging, het personeel, beheer van communicatie en bedieningsprocessen, toegangsbeveiliging, ontwikkeling en onderhoud van informatiesystemen, beheer van beveiligingsincidenten, en naleving. Middels het ISMS dient ontwikkeling op de onderliggende onderdelen stelselmatig worden gepland, uitgevoerd, geëvalueerd, bijgehouden en verbeterd.

Office 365 & Nen 7510 – verhoog je compliance in 3 stappen

Stap 1
De eerste stap is de opname van Office 365 in het eerder genoemde Informatie Beveiligings Management Systeem (ISMS). Het nemen van deze stap betekent dat de informatiebeveiliging binnen Office365 stelselmatig wordt meegenomen en geëvalueerd.

22.1.png

 

Informatie Beveiligings Management Systeem (ISMS)

Wat op papier slechts een kleine stap lijkt, is in de praktijk een stap van grote betekenis. Het betekent namelijk dat de organisatie stelselmatig aandacht gaat schenken aan de informatieveiligheid binnen Office 365. In de praktijk merk ik dat alleen deze stap organisaties al sterk helpt bij de bewustwording van de diversiteit van aspecten van informatiebeveiliging in combinatie tot de inzet van Office 365.

Stap 2
De tweede stap is het analyseren en vaststellen van de beveiligingsaspecten. Bij deze stap behoort onder andere het in kaart brengen van de specifieke informatie welke middels specifieke onderdelen van Office 365 worden verwerkt en de analyse van de mate van beveiliging.

In de praktijk merk ik dat er voor zorgorganisaties doorgaans een flinke uitdaging ligt om de NEN 7510 te vertalen naar hun Office 365 omgeving. Met name omdat de NEN 7510 zelf geen concrete vertaling naar Office365 biedt. De concrete vertaling zelf past niet in deze blog, maar het goede nieuws is dat we zorgorganisaties middels de Beveiligings Assessment tool een directe inzage kunnen bieden in de stand van zaken binnen de Office 365 omgeving en de te nemen maatregelen. Deze tooling beschikt tevens over de mogelijkheid om eigen wegingen aan de verschillende onderdelen te geven. Ook geeft de tooling inzicht in welke onderdelen al binnen de specifieke licentie van Office365 zijn opgenomen en waardoor er meer uit de al bestaande licenties gehaald kan worden.

Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Stap 3
De derde stap omvat het nemen van de passende technische maatregelen om de algehele mate van NEN 7510 compliance middels de onderdelen van de Office365 omgeving te verhogen. Hierbij kan gedacht worden aan verschillende specifieke maatregelen. Bijvoorbeeld specifieke onderdelen uit de Azure AD ten aanzien van het beheer gebruikers en toegang, passende MFA-instellingen ten aanzien van verificatie van authenticatie en goedgekeurde toegangsmethoden voor specifieke informatie onderdelen, retentiepolicies, en security management ten behoeve van de identificatie van potentiele bedreigingen en andere onderdelen.

In de praktijk merk ik dat het voor zorgorganisaties erg waardevol is om te kunnen partneren met een organisatie welke niet alleen over technische kennis beschikt maar over praktijk gerichte oplossingen. Juist door deze samenwerking kunnen er compliance verhogende maatregelen genomen worden waarbij ook de praktische overwegingen goed worden meegenomen.

Bovenstaande beschreven stappen maken onderdeel uit van het totale stappenplan dat gerelateerd is aan de NEN 7510. Wilt u meer weten over deze en de andere stappen van de NEN 7510, of over de digitale beveiligingsassement van Office 365 ten behoeve van de NEN 7510? Neem dan contact met ons Security Team op.

De nieuwe meldplicht datalekken en Office 365: welke middelen kan ik inzetten?

Op 1 januari 2016 is de Wet Meldplicht Datalekken ingegaan. Deze meldplicht valt onder de Wet Bescherming Persoonsgegevens. De bedoeling van de meldplicht is om de bescherming van persoonsgegevens te verbeteren voor Nederlandse burgers. Onder de nieuwe richtlijnen kan een datalek organisaties duur komen te staan; er kan een maximale boete opgelegd worden van €820.000,-.

Deze boete kan voorkomen worden door passende organisatorische en technische maatregelen te treffen. Office 365 biedt hier uitstekende mogelijkheden voor. Sinds 1 juli 2003 is in Amerika de Wet Meldplicht Datalekken van kracht. Sinds de lancering van Office 365 in oktober 2011 zijn datalekken, beveiliging en compliance een hot-item voor Microsoft. Organisaties in Amerika eisen strenge en verregaande functionaliteiten om datalekken te voorkomen.

Vanaf de lancering is de continue ontwikkeling van Office 365 in een sneltreinvaart gegaan. Niet alleen de bekende producten als Exchange en SharePoint zijn stevig doorontwikkeld, maar vooral de beveiliging en compliance functionaliteiten die hiermee integreren zijn inmiddels volwassen te noemen. Veel van deze functionaliteiten zijn terug te vinden in het Office 365 Protection Center. Deze nieuwe managementinterface geeft een goed overzicht van welke meldingen en activiteiten er hebben plaatsgevonden die te maken hebben met compliance en beveiliging.

56.1.png

Afhankelijk van de abonnementsvormen zijn er diverse middelen inzetbaar om een datalek te voorkomen. Microsoft biedt standaard in haar E3 licentiepakket compliance en beveiligingsfunctionaliteiten aan als Data Loss Prevention en eDiscovery. Deze twee functionaliteiten bieden organisaties de mogelijkheid tot monitoring en voorkoming van datalekken op het gebied van SharePoint Online en Exchange Online. Hiermee kan anoniem een rapportage worden geleverd aan stakeholders binnen organisaties, zoals Security Officers en directieleden. Een goede functionaliteit voor het opleiden en vooral het bewustmaken van uw medewerkers is de Policy Tip. Veel mensen kennen de Mail Tip in Outlook: de bekende preventieve berichtgeving dat uw collega geniet van een vakantie en Out-Of-Office is. De Policy Tip geeft medewerkers automatisch een waarschuwing op het moment dat zij mogelijk data gaan lekken.

56.2.png

Met deze intuïtieve en gebruiksvriendelijke melding worden medewerkers bewust gemaakt van vaak onbewuste handelingen die leiden tot een datalek. Deze meldingen worden verzameld en in de vorm van moderne rapportages gedeeld met de verantwoordelijke binnen uw organisatie.

Naast deze functionaliteiten die onderdeel zijn van de Enterprise abonnementsvorm, biedt Microsoft meer, veel meer. Deze producten zijn beter bekend als de Enterprise Mobility Suite (EMS). Met one-liners zoals “The world is always connected & mobile” en “More freedom increases risk” houdt Microsoft zich niet afzijdig van veel gevoerde hedendaagse discussies. Microsoft biedt echter ook oplossingen, en wel met producten zoals Microsoft Intune, Microsoft Azure Rights Management Premium en Advanced Threath Analytics.

Met de inzet van Microsoft Intune zijn organisaties voorzien van functionaliteiten zoals Mobile Device Management, Mobile Application Management en PC Management. Met dit product worden mobiele devices voorzien van beleidsinstellingen op het gebied van security en compliancy . Nadat het apparaat is geregistreerd in Microsoft Intune wordt het voorzien van de ICT policies en beveiligingseisen van uw organisatie. Functionaliteiten als het vereisen van een pincode op het apparaat, gelimiteerde toegang tot e-maildata en bovenal het versleutelen van bedrijfskritische data is mogelijk met maar enkele muisklikken.

56.3.png

Nadat het apparaat is geregistreerd in Microsoft Intune en is voorzien van de laatste policies, kunnen  bedrijfsapps worden geinstalleerd op het mobiele apparaat van de medewerker. Ook kunnen er WiFi-instellingen of gewenste certificaten gepushed worden. Het maakt in deze scenario’s niet uit of het apparaat eigendom is van de medewerker of van de organisatie. Microsoft Intune beheert namelijk enkel de bedrijfsdata en apps. In geval van calamiteit worden enkel de zakelijke apps en data verwijdert.

Het verwijderen kan van afstand als het apparaat verbonden is met het Internet en uiteraard selectief. Sinds 1 januari 2016 worden organisaties geacht laatstgenoemde functionaliteit paraat te hebben in geval van verlies of diefstal van mobiele apparaten. De Nederlandse wetgeving gaat er namelijk van uit dat organisaties de beschikbare technologische middelen inzetten ter voorkoming van datalekken. Het onbreken van dergelijke technologische middelen wordt uw organisatie dus ook sterk aangerekend in geval van een datalek.

Wilt u graag bijgepraat worden welke mogelijkgeden Office 365 biedt die bijdragen aan het voorkomen van datalekken binnen uw organisatie? Onze consultants praten u graag kosteloos bij in de vorm van een workshop bij u op locatie. Neem bij interesse contact op met Wilco Turnhout via wilco.turnhout@rapidcircle.com of 06-15 22 90 76

Laat u inspireren en laat Rapid Circle u aan de hand meenemen in de wereld van continue innovatie, met Office 365.