security

Hoe een zorginstelling AVG-compliant blijft

Ook in de toekomst blijft AVG een aandachtspunt
 

Voldoen aan AVG, het is één van de meest besproken onderwerpen van de afgelopen maanden. Nu de wet officieel van kracht is verdwijnt het onderwerp echter niet naar de achtergrond. Want is er een beter moment om te evalueren wat we precies hebben gedaan? En hoe zorgen we ervoor dat we ook in de toekomst blijven voldoen?
 

Verhoogde complexiteit

Om te voldoen aan de AVG kreeg elke organisatie te kampen met structurele en nieuwe aandachtspunten. Vooral bij zorginstellingen is dit een bijzonder complex gegeven. Grote hoeveelheden vertrouwelijke data worden niet alleen binnen de zorginstelling verwerkt en bewaard, er vindt ook veel data-uitwisseling plaats met andere zorgverleners en derde partijen zoals zorgverzekeraars. Om cruciale data zoals medische gegevens, genetische gegevens en biometrische gegevens te verwerken en op te slaan hebben zorginstellingen, net als Rijksoverheid en Politie, een ontheffing gekregen op de restrictie voor het opslaan en verwerken van deze bijzondere persoonsgegevens. Het garanderen en veiligstellen van privacy is dus van het grootste belang.
 

10 aandachtspunten om compliant te blijven

Wij schreven een whitepaper over de 10 aandachtspunten op die top of mind moeten blijven om te voldoen aan de AVG. 4 punten zetten we alvast op een rijtje,  de andere 6 kan je rustig nalezen in deze gratis whitepaper.

  1. Stel de mens centraal en respecteer privacy: De mens staat centraal bij digitale veiligheid. Mensen weten precies welke informatie organisaties van ze hebben en wat ze hiermee doen.
  2. Zorg voor bewustzijn bij alle medewerkers: AVG is meer dan voldoen aan de wet, het is een bewustzijn creëren binnen de organisatie over hoe we omgaan met persoonsgegevens.
  3. Huidige wetten en regels blijven van kracht: De huidige wetten en regels die van toepassing zijn op zorginstellingen blijven gewoon van kracht.
  4. Stel een beveiligingsbeleid op: Leg vast hoe opgeslagen en verwerkte persoonsgegevens worden beveiligd. Maak aantoonbaar wie goedkeuring gaf voor het vastleggen.

Houd AVG dus op het netvlies en download snel deze whitepaper. Deze 10 aandachtspunten zorgen ervoor dat jij compliant bent en vooral, compliant blijft!

Heb jij toch nog twijfels of jouw organisatie wel alles goed heeft geregeld? Schrijf je dan snel in voor het gratis webinar AVG in de Zorg: is alles echt (goed) geregeld op 21 juni 2018 laat je bijpraten door AVG-expert Jeroen Erkelens van Rapid Circle.

AVG binnen de zorg: de echte uitdagingen komen nu pas 

De AVG is van kracht! Na maanden van voorbereiding, inlezen, de risico’s en consequenties in kaart brengen en de nodige aanpassingen doen, is het eindelijk zover. Het klinkt bijna alsof we niet konden wachten. En het klinkt ook bijna alsof we er nu zijn. Maar niets is minder waar. Eigenlijk kunnen we zelfs stellen dat het nu pas echt begint. Want het blijven voldoen aan de Algemene Verordening Gegevensbescherming (AVG), is een belangrijke uitdaging voor de komende tijd: 

  • Hoe zorg je er in de zorg voor dat de AVG op een juiste manier wordt nageleefd?  
  • En dat iedereen binnen de hele organisatie zich bewust is van de nieuwe regels en manier van werken?  

Is dit eigenlijk wel mogelijk binnen de zorg? 
 

Van de privacyfunctionaris tot de rest van de organisatie 

Waar in veel andere branches vooral de privacyfunctionaris te maken heeft met de AVG en een juiste uitvoering hiervan, geldt dit niet voor zorginstellingen. In de zorg werkt het merendeel van de medewerkers met patiëntgegevens. En hebben veel medewerkers zelf de verantwoordelijkheid om hier op een juiste manier mee om te gaan. Zowel richting de patiënt, bij de uitwisseling van deze gegevens binnen de organisatie en ook het delen van deze gegevens met derde partijen. Het bewustzijn creëren en vergroten bij medewerkers is een essentieel deel van het naleven van de AVG. Net als dat ze begrijpen waar het écht om gaat, namelijk het centraal stellen van de patiënt en zijn (of haar) privacy. En dit laatste is dan vaak weer wat makkelijker in de zorg, waar de intrinsieke motivatie van medewerkers juist draait om het centraal stellen van de patiënt. 
 

De uitdaging van de juridische kant 

Naast de zachte kant, dus bewustzijn over en het begrijpen van de AVG, komt de juridische kant van de AVG bij zorginstellingen extra hard aan. Het is weer de zoveelste regel waar men zich aan moet houden en het werk wordt er niet minder op. Er komt veel administratie bij kijken, zoals het opstellen en bijhouden van een verwerkingsovereenkomst, het uitvoeren van Data Protection Impact Assessments (DPIA) en het voeren en up-to-date houden van je beveiligingsbeleid. En dan hebben we het nog niet eens over de extra lasten voor de patiënten, zoals het geven van toestemming over hun gegevens en wat hiermee gebeurt.  
 

Is jullie AVG-werkwijze wel de juiste? 

Natuurlijk heeft de AVG een mooie visie, voor zowel organisaties als patiënten. En het centraal stellen van de mens en zijn privacy, is iets dat we alleen maar kunnen toejuichen. Dit betekent alleen niet dat het er in de praktijk makkelijker op wordt. Helemaal wanneer je nagaat dat alle andere huidige wetten, regels en NEN-standaarden ook gewoon blijven bestaan. Behalve dat zorginstellingen hier dus een flinke kluif aan hebben, krijgen ook de toezichthouders er flink wat werk bij. Komende periode gaan meerdere partijen verschillende controles uitvoeren, om na te gaan of iedereen de AVG wel goed handhaaft. En wanneer dit niet zo is, kun je een flinke boete verwachten Gelukkig kunnen we wel coulance verwachten bij de controles, want iedereen begrijpt dat deze AVG wet een complex onderwerp is binnen de zorg. 
 

De belangrijkste aandachtspunten op een rij 

Enerzijds kunnen we absoluut stellen dat het juist voor zorginstellingen een moeilijke en complexe wet is. Niet alleen door alle regels, maar ook (of juist) doordat veel medewerkers werken met patiëntgegevens. En met de discussies binnen de zorg over de hoeveelheid werk, een tekort aan medewerkers en de overdaad aan administratie, kunnen we concluderen dat de AVG weer een last erbij is. Anderzijds is het ook zo dat juist de zorg al bekend is met allerlei wetten, regels en procedures. En zich al heeft bewezen dit goed aan te kunnen. Daarbij is het een branche die mensgericht is, dus ook hier verandert er niet veel. Dus ja, het is moeilijk en veel. En tegelijk hebben we er alle vertrouwen in dat wanneer je aandacht blijft hebben voor alle uitdagingen, alles mogelijk is binnen de zorg. Zolang de patiënt er maar beter van wordt. 

Om je een overzicht te bieden van wat je te wachten staat om te blijven voldoen aan de AVG hebben we een handige whitepaper voor je ontwikkeld. Hierin hebben we de 10  aandachtspunten voor je op een rij gezet. Inclusief nog meer toelichting en diepgang over hoe je dit binnen jouw organisatie kan toepassen. Download hier de whitepaper.

Beveiligen en beperken van toegang tot Office 365 met aangepaste AD FS claimrules

3.1.png

Samen met onze klanten zijn we hard aan het werk geweest om toegang tot Office 365 workloads te beveiligen, zoals Exchange Online. In dit specifieke artikel willen we graag onze kennis delen over hoe toegang beperkt kan worden tot Exchange Online, specifieke netwerken en specifieke protocollen.

Eén van onze klanten gebruikte MobileIron voor het beveiligen van mobiele devices en wilde graag deze MDM oplossing integreren met Office 365.

Het lastige aan het beveiligen van toegang tot Exchange Online met MobileIron is dat MobileIron Sentry servers specifieke IP adressen vereisen naar Exchange. Zoals je je wel kunt voorstellen, de altijd veranderende Office 365 Cloud (met al zijn IP adressen) maakt het erg moeilijk om aan deze eis te voldoen. We moesten dus een andere technologie gebruiken, los van MobileIron, voor het beperken van de toegang tot Office 365.

We hebben er voor gekozen om aangepaste claimrules in AD FS te implementeren. De omgeving waar we deze oplossing voor hebben gebouwd was een AD FS 2016 farm. In deze nieuwe versie in AD FS zijn er verschillende veranderingen in hoe aangepaste claimrules worden gemaakt. AD FS 2016 gebruikte standaard Acces Control Policies en met deze policies was het niet mogelijk om zulke aangepaste claimrules te maken. Dus, voordat we gaan beginnen, gaan we eerst uitleggen hoe we in de oude situatie claimrules maakten.

  1. Log in op één van de AD FS servers
  2. Start PowerShell en voer deze commando’s uit
    1. $ADFSRpt = Get-AdfsRelyingPartyTrust -Name “Microsoft Office 365 Identity Platform”
    2. Set-AdfsRelyingPartyTrust -TargetRelyingParty $ADFSRpt -AccessControlPolicyName $null
    3. Set-AdfsRelyingPartyTrust -TargetRelyingParty $ADFSRpt -IssuanceAuthorizationRules $null
    4. Set-AdfsRelyingPartyTrust -TargetRelyingParty $ADFSRpt -IssuanceAuthorizationRules ‘@RuleName = “TEMP RULE” exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D) => issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”,Value = “true”);’
  3. Open de AD FS Management Console
  4. Navigeer naar “Relying Party Trusts” en selecteert de Office 365 relying party trust.
  5. Klik op “Edit Access Control Policy” in het rechter menu, om het oude menu te vinden om “Issuance Authorization Rules” te configureren
  6. Verwijder NIET de “TEMP RULE’ en sluit het venster niet.
3.2.png

Vanaf hier komt het coole gedeelte, wat eigenlijk gaat om het beperken van specifiek verkeer en protocollen in toegang tot specifieke netwerken, bijvoorbeeld SMTP of EWS verkeer.

Beperken van ActiveSync Protocol

  1. Voeg een nieuwe regel toe
  2. Vul de volgende custom claim in
  3. Deze claim bevat het specifieke IP adres van de MobileIron Sentry server vanuit waar we ActiveSync verkeer naar Office 365 wel accepteren. Alle andere IP adressen worden geweigerd.

exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D
&& exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application”, Value == “Microsoft.Exchange.ActiveSync”])
&& NOT exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip”, Value =~ “\b82\.125\.45\.23\b”])
=> issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”, Value = “true”);

Beperken van IMAP Protocol

  1. Voeg een nieuwe regel toe
  2. Vul de volgende custom claim in
  3. Deze claim bevat het specifieke IP adres van de MobileIron Sentry server vanuit waar we IMAP verkeer naar Office 365 wel accepteren. Alle andere IP adressen worden geweigerd.

exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D
&& exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application”, Value == “Microsoft.Exchange.Imap”])
&& NOT exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip”, Value =~ “\b82\.125\.45\.23\b”])
=> issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”, Value = “true”);

Beperken van SMTP Protocol

  1. Voeg een nieuwe regel toe
  2. Vul de volgende custom claim in
  3. Deze claim bevat het specifieke IP adres van de MobileIron Sentry server vanuit waar we SMTP verkeer naar Office 365 wel accepteren. Alle andere IP adressen worden geweigerd.

exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D
&& exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application”, Value == “Microsoft.Exchange.SMTP”])
&& NOT exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip”, Value =~ “\b82\.125\.45\.23\b”])
=> issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”, Value = “true”);

Beperken van POP Protocol

  1. Voeg een nieuwe regel toe
  2. Vul de volgende custom claim in
  3. Deze claim bevat het specifieke IP adres van de MobileIron Sentry server vanuit waar we POP verkeer naar Office 365 wel accepteren. Alle andere IP adressen worden geweigerd.

exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D
&& exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application”, Value == “Microsoft.Exchange.Pop”])
&& NOT exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip”, Value =~ “\b82\.125\.45\.23\b”])
=> issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”, Value = “true”);

Beperken van EWS Protocol

  1. Voeg een nieuwe regel toe
  2. Vul de volgende custom claim in
  3. Deze claim bevat de publieke IP adres range van het on-premises netwerk vanuit waar we EWS verkeer naar Office 365 wel accepteren. Alle andere IP adressen worden geweigerd. Voor deze claimrule vereisen we ook dat de hybrid Exchange servers EWS verkeer naar Office 365 sturen voor het afleveren van naast elkaar bestaande functionaliteit naar alle gebruikers. Dit voorbeeld staat verkeer toe van de range 82.125.45.1 – 82.125.45.14.

exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy”%5D
&& exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application”, Value == “Microsoft.Exchange.SMTP”])
&& NOT exists([Type == “http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip”, Value =~ “\b82\.125\.45\.([1-9]|1[0-4])\b”])
=> issue(Type = “http://schemas.microsoft.com/authorization/claims/deny”, Value = “true”);

Nu zou de huidige rule configuratie er als volgt uit moeten zien:

3.3.png

De laatste regel die toegevoegd moet worden is een standaard regel “Sta toegang toe voor alle gebruikers”. Wees er zeker van dat deze regel zich onderaan de lijst bevindt van de lijst met de “Toestaan” actie.

Nu zijn alle gewenste Exchange protocollen tot overal beperkt, behalve de MobileIron Sentry server of de on-premises netwerk range voor wat EWS verkeer om free/busy en ander hybride verkeer naar Exchange on-premises te ondersteunen. Echter, de nieuwe Outlook voor iOS en Android app gebruikt deze traditionele Exchange protocollen niet. Deze nieuwe handige app gebruikt de Graph API voor het ophalen van e-mail en andere resources.

Om toegang te beperken voor onbekende clients naar Exchange Online, met het gebruik van de Outlook voor iOS of Android app, kiezen we er voor om gebruik te maken van Conditional Access voor Azure Active Directory. En het beperken van toegang naar andere netwerken, dan het publieke IP adres van de Sentry server. Om gebruik te maken van deze feature is een Azure Active Directory Premium P1 licentie wel vereist!

Een laatste leuk feitje om deze blogpost mee te eindigen is het feit dat de documentatie geboden door Microsoft op TechNet niet klopt. De technet documentatie voor het beperken van toegang tot Office 365 services, gebaseerd op de locatie van de client noemt een verkeerde HTTP Header voor Imap verkeer. Na veel zoeken en fouten opsporen met Microsoft viel ons oog op een klein detail in de ADFS trace logs die ervoor zorgen dat de oorspronkelijke claimrule voor Imap faalt. We kwamen er achter dat HTTP Headers voor Imap verkeer de waarde Microsoft.Exchange.Imap gebruikt en niet Microsoft.Exchange.PopImap, zoals beschreven in het artikel. Hieronder kan de event worden gevonden, geregistreerd in de AD FS Trace Logs van een Imap client:

Volgende verzoek voor context headers presenteren:

X-MS-Client-Application: Microsoft.Exchange.Imap
X-MS-Client-User-Agent: –
client-request-id: 6338b8c2-c283-4c93-2c00-0080000000c6
X-MS-Endpoint-Absolute-Path: /adfs/services/trust/2005/usernamemixed
X-MS-Forwarded-Client-IP: xxx.xxx.xxx.xxx, xxx.xxx.xxx.xxx
X-MS-Proxy: WAP
X-MS-ADFS-Proxy-Client-IP: xxx.xxx.xxx.xxx

Groot applaus voor mijn goede vriend en teamlid Kevin Raap voor het samenwerken aan de claimrules en het vinden van de fout in de Microsoft Technet documentatie.

Deze blog is oorspronkelijk geplaatst op blog www.thomasverwer.com. Klik hier om op de hoogte te blijven van zijn recente blogposts.

Het belang van een digitale cultuur

In de nabije toekomst zal elk succesvol bedrijf een digitale onderneming worden. Maar niet elk bedrijf dat de poging doet zal succesvol zijn.

Volgens de Harvard Business Review is een ruime meerderheid van de CEO’s van vandaag van mening dat digitale disruptie hen op korte termijn zal treffen en bijna de helft verwacht dat hun bedrijfsmodel in 2020 niet langer relevant zal zijn. Toch hebben de meeste bedrijven geen concreet plan voor digitale transformatie. Zij hebben hun huidige digitale volwassenheid niet in kaart gebracht en hebben niet een scherp beeld van hoe hun digitale toekomst eruit ziet — laat staan die van hun industrie of hun concurrenten.

In de loop der jaren heb ik gezien dat veel bedrijven niet zo snel stappen kunnen maken in hun digitale transformatie als ze hadden gewild of verwacht. Hoewel er veel redenen zijn, vallen een aantal op:

Ten eerste hebben ze een focus op het moderniseren van hun bedrijfsapplicaties, datacenters of netwerkinfrastructuur en dan stoppen ze. Dit is natuurlijk een belangrijk aandachtspunt. Maar dat is niet alles. Organisaties zullen ook moeten heroverwegen hoe ze werken en nadenken over een digitale cultuur en bijbehorende digitale vaardigheden.

Ten tweede hebben ze alle gegevens van de hele organisatie niet geaggregeerd in een enkele, samenhangende datastrategie met duidelijke doelstellingen. Dit laat hen beslissingen nemen op basis van gefragmenteerde gegevens en suboptimale bedrijfsprocessen.

Het derde missende element is het blijven hangen in traditionele manieren van project implementaties met veel plannen en lange doorlooptijden in plaats van de adoptie van een agile methode, met veel digitale experimenten en zo snel ervaring op te doen met nieuwe mogelijkheden.

Om deze valkuilen te voorkomen, zijn er een aantal belangrijke dingen die je in het vizier moet hebben als je een echte digitale transformatie wilt starten.

1. Investeer in een digitale cultuur en vaardigheden

Een digitale cultuur gedijt niet in een ouderwetse IT landschap dat is ingedeeld in silos. Met technologie als een enabler implementeren succesvolle organisaties een moderne werkplek die security combineert met het gemak van het werken in een netwerk. Beschikbaarheid over- en het delen van gegevens staan centraal. Ook over bedrijfsprocessen een grenzen heen.

2. Definieer een holistische strategie voor uw gegevens

In een digitale wereld is alles met alles verbonden en gegevens worden in veel bronnen gehouden. De uitdaging is om al die gegevens samen te brengen, te analyseren en te gebruiken voor het maken van betere beslissingen en betere resultaten. Dit betekent in veel gevallen dat u uw data moet verbinden en verrijken. Met externe bronnen, maar ook met inzichten uit kunstmatige intelligentie en deep learning.

3. Tot slot: investeer in continue innovatie

De realiteit van vandaag is dat de wereld om ons heen zo snel verandert dat we continue met disrupties en onzekerheid te maken hebben. Dit geeft kansen maar houdt ook in dat continue kansen en bedreigingen moeten worden afgewogen; op het vlak van employee empowerment, customer engagement, optimalisatie van operaties en product transformatie. Vaak weten we niet op voorhand wat werkt. Met een gewenste business outcome in gedachten stimuleren we organisaties om veel en continue te experimenteren in innovatieve projecten. Snel leren wat werkt (en zo nodig snel falen) draagt zorg voor een digitaal momentum.

Organisaties moeten nu beginnnen met experimenteren. leder experiment is een stap in de richting van een voordurende digitale transformatie.

NEN 7510 en de Security Assessement tool: De Ins and Outs

Voor wie tooling zoekt ter ondersteuning van de systematische toetsing van het niveau van de security binnen de inrichting van het Office 365 platform heeft Microsoft nieuwe tooling in preview, namelijk het Security Assessment!

Als consultant ben ik erg enthousiast over het concept. Met name in de zorg, waar de vraag wordt gesteld hoe systematische toetsing van het Office 365 platform in het Security Information Management System ten behoeve van de NEN7510 kan worden uitgevoerd, kan dit instrument een eerste goede stap van het proces bieden.

Wat houdt de Security Assessment tool in?

De Security Assessment is een tool die organisaties, aan de hand van een score en de bijbehorende details, inzage geeft in de inrichting van de Office 365 tenant en hiermee verwante onderdelen. Ieder Office365 platform biedt een zeer ruime set aan technische instellingen waarmee beveiligingsmaatregelen genomen kunnen worden. In de praktijk richten organisaties zich bij de initiële inrichting van de tenant met name op de functionele aspecten van Office 365, zoals een Intranet, werkende Skype en mail omgeving. Ze richten zich doorgaans echter minder op passende beveiligingsmaatregelen. De tooling breng de te nemen maatregelen duidelijk in zicht.

Waarom kan dit ondersteuning bieden bij compliance aan de NEN 7510?

Laat ik eerst starten met wat de tool niet biedt.

De tool is geen exacte vertaling van de verschillende artikelen uit de NEN7510 naar security instellingen en onderdelen binnen de omgeving. Een voorbeeld hiervan is dat dit bijvoorbeeld niet aangeeft dat het artikel “Toegang van data op basis van locatie, data type en domein” expliciet wordt vertaald naar de specifieke inrichting van security groupen en conditional access policies. Bij dit soort zaken bieden wij nog steeds onze kennis.

Het biedt wel de mogelijkheid om letterlijk te toetsen tegen de inrichting en activering van de verschillende Office 365 onderdelen, zoals de conditional access policies. Hierbij worden alle onderdelen beoordeeld met een eigen score. De score hangt samen met de toegenomen mate van beveiliging. Daarbij is het mogelijk om om zelf een streef-score te bepalen. Deze loopt van laag, medium tot hoog. Voor wie al eerder met het NEN 7510 bijltje heeft gehakt herkent hierin de verschillende levels: low, medium en high. Door het verschil in score wordt er ook direct een overzichtelijk beeld gegeven van de te nemen beveiligingsmaatregelen, en welke als eerste worden genomen.

Daarnaast kan de security analyse een handig instrument zijn als onderdeel van de structurele beveiligings-analyse in het Security Information Management System. De tooling kan hierdoor ondersteuning bieden in het controlerende element en zal input leveren ten aanzien van instellingen binnen Office365. Positief hierbij is dat er ook bekeken kan worden welke beveiliging-verhogende features binnen je eigen specifieke licentievorm beschikbaar zijn.

Samenvattend, vind ik het een interessante tool voor organisaties die op een vrij eenvoudige en toegankelijke wijze inzage willen hebben in de wijze hoe zij de beveiliging van hun Office365 omgeving kunnen verhogen. Afsluitend wil ik hierbij wel als aandachtspunt benoemen dat voor activatie van de features een gedegen voorbespreking van de impact van de features noodzakelijk is.

Bent u geïnteresseerd in wat deze tool voor uw organisatie kan betekenen? Neem contact op met het Rapid Circle Security Team.

Verhoog in 3 stappen je NEN 7510 compliance binnen Office 365

In een eerdere blog schreven we al over het belang van informatiebeveiliging in de zorg vanuit het oogpunt van de General Data Protection RegulationDeze keer behandelen wij de NEN 7510 normering en hoe je hierbij binnen Office 365 je compliance verhoogt.

In de zorgsector is de NEN 7510 de normering welke zich richt op de informatiebeveiliging in zowel fysieke als digitale vorm. NEN 7510 kan worden gebruikt als leidraad voor de inrichting van een veilig informatiebeveiligingsbeleid en gaat uit van een goed risico-assessment, waarop vervolgens de juiste maatregelen getroffen kunnen worden. Om dit te bewerkstelligen biedt de NEN 7510 uitgangspunten en richtlijnen voor het nemen van maatregelen ten behoeve van vertrouwelijkheid, integriteit en beschikbaarheid van zorg-gerelateerde data. Het monitoren en handhaven van de maatregelen maakt tevens onderdeel uit van de norm.

Veel zorgorganisaties beschikken reeds over een informatie beveiligings- management systeem (ISMS). Dit systeem, wat een procesmatige aanpak is en niet per se een digitaal systeem, wordt ingezet voor het verkrijgen van overzicht in de te nemen en genomen maatregelen, én de controle hierop.

Aspecten die hierin worden meegenomen zijn onder andere, de organisatie van informatiebeveiliging, het personeel, beheer van communicatie en bedieningsprocessen, toegangsbeveiliging, ontwikkeling en onderhoud van informatiesystemen, beheer van beveiligingsincidenten, en naleving. Middels het ISMS dient ontwikkeling op de onderliggende onderdelen stelselmatig worden gepland, uitgevoerd, geëvalueerd, bijgehouden en verbeterd.

Office 365 & Nen 7510 – verhoog je compliance in 3 stappen

Stap 1
De eerste stap is de opname van Office 365 in het eerder genoemde Informatie Beveiligings Management Systeem (ISMS). Het nemen van deze stap betekent dat de informatiebeveiliging binnen Office365 stelselmatig wordt meegenomen en geëvalueerd.

22.1.png

 

Informatie Beveiligings Management Systeem (ISMS)

Wat op papier slechts een kleine stap lijkt, is in de praktijk een stap van grote betekenis. Het betekent namelijk dat de organisatie stelselmatig aandacht gaat schenken aan de informatieveiligheid binnen Office 365. In de praktijk merk ik dat alleen deze stap organisaties al sterk helpt bij de bewustwording van de diversiteit van aspecten van informatiebeveiliging in combinatie tot de inzet van Office 365.

Stap 2
De tweede stap is het analyseren en vaststellen van de beveiligingsaspecten. Bij deze stap behoort onder andere het in kaart brengen van de specifieke informatie welke middels specifieke onderdelen van Office 365 worden verwerkt en de analyse van de mate van beveiliging.

In de praktijk merk ik dat er voor zorgorganisaties doorgaans een flinke uitdaging ligt om de NEN 7510 te vertalen naar hun Office 365 omgeving. Met name omdat de NEN 7510 zelf geen concrete vertaling naar Office365 biedt. De concrete vertaling zelf past niet in deze blog, maar het goede nieuws is dat we zorgorganisaties middels de Beveiligings Assessment tool een directe inzage kunnen bieden in de stand van zaken binnen de Office 365 omgeving en de te nemen maatregelen. Deze tooling beschikt tevens over de mogelijkheid om eigen wegingen aan de verschillende onderdelen te geven. Ook geeft de tooling inzicht in welke onderdelen al binnen de specifieke licentie van Office365 zijn opgenomen en waardoor er meer uit de al bestaande licenties gehaald kan worden.

Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Office 365 Beveiligings Assessment ten behoeve van de NEN 7510

Stap 3
De derde stap omvat het nemen van de passende technische maatregelen om de algehele mate van NEN 7510 compliance middels de onderdelen van de Office365 omgeving te verhogen. Hierbij kan gedacht worden aan verschillende specifieke maatregelen. Bijvoorbeeld specifieke onderdelen uit de Azure AD ten aanzien van het beheer gebruikers en toegang, passende MFA-instellingen ten aanzien van verificatie van authenticatie en goedgekeurde toegangsmethoden voor specifieke informatie onderdelen, retentiepolicies, en security management ten behoeve van de identificatie van potentiele bedreigingen en andere onderdelen.

In de praktijk merk ik dat het voor zorgorganisaties erg waardevol is om te kunnen partneren met een organisatie welke niet alleen over technische kennis beschikt maar over praktijk gerichte oplossingen. Juist door deze samenwerking kunnen er compliance verhogende maatregelen genomen worden waarbij ook de praktische overwegingen goed worden meegenomen.

Bovenstaande beschreven stappen maken onderdeel uit van het totale stappenplan dat gerelateerd is aan de NEN 7510. Wilt u meer weten over deze en de andere stappen van de NEN 7510, of over de digitale beveiligingsassement van Office 365 ten behoeve van de NEN 7510? Neem dan contact met ons Security Team op.

De impact van de General Data Protection Regulation op bedrijven en organisaties

Bescherming van privacy is een hot item en dat is niet voor niets. Zoals we allen weten kan het verliezen van persoonsgegevens verstrekkende impact op iemand zijn zakelijke en privéleven hebben. Met name in de zorgbranche en dienstverleningsbranche zijn er in het afgelopen jaar behoorlijk wat in de media geweest. Dit terwijl er een toenemende trend is in het “betalen” van (online) diensten tegen persoonsgegevens en gegevensuitwisseling tussen databases steeds vaker norm dan uitzondering wordt. Om burgers in hun privacy te beschermen is in 2016 de General Data Protection Regulation (GDPR) van kracht gegaan. In dit blog worden er compacte antwoorden gegeven op de vraag wat de GDPR is, wanneer deze van toepassing is voor uw bedrijf, wat de belangrijkste uitgangspunten zijn en hoe er gestart kan worden.

Wat is de GDPR?

De General Data Protection Regulation (GDPR) is Europese wetgeving over de omgang met persoonsgegevens en privacy. Het doel hiervan is het aan de burgers teruggegeven van de grip op persoonsgegevens en het beschermen van de privacy.

Persoonsgegevens zijn hierbij letterlijk alle informatie die gelinkt kan worden aan een identiteit. Dit loopt van patiënt en personeelsnummers en gegevens tot IP-nummers. Eigenlijk zijn geanonimiseerde persoonsgegevens de enige genoemde uitzondering. De belangrijkste gegevens zijn hierbij degene welke schade aan de persoon in kwestie kunnen berokkenen.

Op welke bedrijven en organisaties is de GDPR van toepassing?

In de praktijk is de GDPR van toepassing op praktisch alle bedrijven en organisaties. Dit komt omdat bijna alle organisaties voor hun bedrijfsvoering en dienstverlening diverse soorten persoonsgegevens verwerken. De GDPR legt specifiek de nadruk op twee verschillende rollen welke bedrijven hebben bij de omgang bij persoonsgegevens, namelijk:

  1. Bedrijven en organisaties die in bezit zijn van persoonsgegevens, of de opdracht hebben uitbesteed om persoonsgegevens te verwerken, ook wel de data controllers rol
  2. Bedrijven en organisaties die persoonsgegevens verwerken. Het verwerken loopt van storage, de opslaghandeling tot en met het inzien van de gegevens. Deze bedrijven worden data processors genoemd

Wat zijn de belangrijkste consequenties?

Middels een set aan 99 artikelen worden maatregelen en verplichtingen van technische als organisatorische aard gesteld. Onderstaande punten bevatten een compacte opsomming van de belangrijkste:

  • Nemen van passende technische en organisatorische maatregelen ter bescherming van de privacy. De GDPR legt deze verplichting zowel bij partijen welke in het bezit zijn van de data als welke de data enkel in opdracht verwerken. Een belangrijk aandachtspunt is dat de eigenaar hierbij de hoofdverantwoordelijke is.
  • Privacy by design en Privacy by default. Privacy by design betekent dat bij nieuwe diensten of services privacy meegenomen dient te worden bij de ontwerpkeuzes en criteria. Privacy by default betekent dat standaard de meest strikte privacy settings moeten worden toegepast wanneer er een nieuw product of service wordt geïntroduceerd. Daarnaast dient de persoonlijke data enkel te worden bewaard voor de benodigde tijd voor de dienstverlening of service.
  • Om adequate inzage te verkrijgen in waar de risico`s liggen, stelt de GDPR dat deze ricico`s middels een Data Protection Impact Assesment (DPIA), ook wel Privacy Impact Assesment (PIA), in kaart worden gebracht. Hierbij gaat het hoofdzakelijk om de impact op de privacy, risico`s voor de organisatie en het doel van het project/verwerking. Voortkomend uit de DPIA kunnen aanvullende maatregelen worden genomen.
  • De documentatieplicht is, ten opzichte van de huidige actieve en eerder gerelateerde privacywetgeving, de meest kenmerkende verandering. De documentatieplicht betekent dat organisaties moeten kunnen aantonen wat voor informatie zij opslaan of verwerken, van wie deze data is, waar dit wordt opgeslagen en hoe dit is beveiligd. Op dit laatste vlak gaat het primair over de technische maatregelen, echter kan dit worden aangevuld met organisatorische maatregelen.
  • De GDPR stelt dat de verwerking van persoonsgegeven met een duidelijk doel verbonden en context gebonden dient te zijn. In de praktijk betekent dit dat persoonsgegevens alleen verwerkt mogen worden als er een legitieme doelstelling achter ligt. Overmatige verwerking van persoonsgegevens is niet toegestaan. Bovendien mogen de gegevens niet zonder toestemming gebruikt worden voor de levering van andere producten of diensten.
  • Inzichtelijkheid en het recht om vergeten te worden. Natuurlijke personen hebben volgens de GDPR het recht om in te zien welke gegevens van hen elektronisch zijn vastgelegd en hieruit verwijderd te worden. Voor bedrijven betekent dit dat organisaties niet alleen middels een veilige wijze deze gegevens moeten delen, ook betekent dit dat van organisaties hun informatiehuishouding rondom persoonsgegevens duidelijk en bekend moet zijn.
  • Als bedrijf kan de GDPR-impact hebben op het personeelsbestand. In meerdere gevallen is het namelijk verplicht om een Data Protection Officer (DPO) aan te stellen. Dit is o.a. bij verwerking voor een overheidsorgaan, het bijzondere gegevens betreffen zoals gezondheid, of wanneer er op grote schaal of stelstelmatig gegevens worden verwerkt. De belangrijkste taak van de DPO is het informeren en adviseren over de omgang met persoonsgegevens conform. Deze DPO mag overigens ook in middels inhuur zijn verzaamheden verrichten. Opvallend is dat er momenteel geen eisen worden gesteld ten aanzien van het fte percentage.
  • Bij een datalek van persoonsdata dient een data controller binnen 72 uur na het ontdekken van het datalek, op specifieke wijze, een melding te maken. Daarnaast kan het zijn dat het lek verplicht aan de data objects, ook wel de personen in kwestie, moet worden gemeld. Met name wanneer het lek waarschijnlijk zal resulteren in een hoog risico op inbreuk van de vrijheidsrechten van de persoon.

Wordt er op de GDPR gehandhaafd?

Dat de EU de bescherming van privacy serieus neemt blijkt uit de boethoogte. Deze liggen hoger dan bij de voorgaande wetgevingen. Bij een overtreding is de maximale boete bedraagt 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet, afhankelijk van het hoogste bedrag is. Per 25 mei 2018 wordt er daadwerkelijk gehandhaafd op de GDPR. Een belangrijk aandachtspunt hierbij is de naleving op de GDPR met terugwerkende kracht.

Hoe te starten?

Organisatie hebben echter nog een jaar totdat er ook daadwerkelijk op gehandhaafd gaat worden. Een DPIA biedt een startpunt voor het inzichtelijk krijgen van waar een organisatie zich op bevindt en welke beveiligingsmaatregelen er nog genomen dienen te worden. Ook is het de eerste stap naar de bewustwording van de risico`s en de te nemen technische en organisatorische maatregelen. Op technisch vlak zijn hier diverse toolings mogelijk zoals Azure Rights Managent, Back-up procedures en governance. Op organisatorisch vlak biedt naast de DPO en het governance, met name adoptie van privay bewust gedrag een belangrijk onderdeel uit van de te nemen stappen.

Bron: General Data Protection. (2016, 26 april). Geraadpleegd op 30 maart, 2017, van http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

Verdedig jezelf met Office 365 tegen Ransomware

Ransomware is een van de snelst groeiende aanvallen die uitgevoerd worden op zowel bedrijven als consumenten. Dit artikel beschrijft wat het is, wat Office 365 doet om je te beschermen en wat je kunt doen als het via een gebruiker toch je Office 365 omgeving binnen komt.

Wat is het?

Ransomware is software (code) dat een (deel) van de computer in gijzeling neemt (onbruikbaar maakt), welke na betaling van losgeld weer vrij wordt gegeven.
Ransomware bestaat als begrip al sinds 1989, waar de PC Cyborg trojan een personal computer binnendrong, op slot zette en er gevraagd werd om $189 losgeld. Daarna werd het stil.
Maar sinds 2005 is het aan een opmars bezig waar het sinds 2015 een explosieve groei meemaakt. Meer diepgaande info over ransomware in het rapport Evolution of Ransomware

Ransomware verschijnt in 2 soorten; locker & crypto.
Locker: Dit vergrendeld de gehele PC
Crypto: Dit versleutelt bestanden op de PC

De crypto versie vertegenwoordigt minimaal 65% van alle meldingen van ransomware aanvallen. Dit komt omdat het makkelijker en net zo effectief is om data aan te vallen dan een volledig systeem. In dit artikel focussen we ons op deze vorm omdat dit type zich een weg naar Office 365 kan vinden.

Hoe komt de infectie binnen?

De infectie komt op verschillende manieren binnen. Bijvoorbeeld via een hack. Deze vorm is vooral voor criminele hackers die bedrijven/organisaties binnen dringen en vervolgens de ransomware op de het netwerk laden om zo een hoge losgeld prijs te eisen. Hiervan zijn al enkele spraakmakende voorbeelden van in de media verschenen; L.A. Hospital infected by ransomware .

Een andere bekende manier is via SPAM waarbij er getracht wordt om de gebruiker ervan te overtuigen om een bijlage te openen, waarna de ransomware losgelaten wordt op het systeem.

Verder komt de infectie binnen via sites die bestanden/programma’s verspreiden die geïnfecteerd zijn.

Hoe werkt het?

De crypto ransomware voert bij binnenkomst 2 processen uit;

1. Zoeken naar alle bestanden van een of meerdere specifieke type(n). Meestal gaat het op zoek naar alle Office documenten (Word, Excel, PowerPoint) en/of afbeeldingen en/of e-mail berichten.
2. Het past de bestandsextensie aan, vraagt via internet een geheime sleutel op en versleutelt met deze sleutel de bestanden waardoor ze corrupt worden gemaakt.

Hierna start de afpersing. De bekenste versie is Cryptolocker, welke $300 aan bitcoins vraagt.
Wanneer dit betaald wordt en je hebt geluk, dan ontvangt de software via de server een andere sleutel om de bestanden vrij te geven.

50.1.png

Wat doet Microsoft om Office 365 te beschermen?

Microsoft heeft een uitgebreid arsenaal van beveiligingsmethoden om Office 365 te beschermen tegen infectie van virussen e.d.
De belangrijkste;

– Actieve bescherming: constant lopende antivirus/-malware software controleren en beschermen continue de Office 365 servers.

– Pro-actieve bescherming: 2 teams binnen Microsoft houden zich constant bezig met het pro-actief testen van de beveiliging. 1 team valt de servers aan en 1 team moet verdedigen.

– Back-ups: Back-ups zijn de allerbeste bescherming tegen infecties. Mocht het namelijk toch een keer voorkomen, dan kun je snel terug naar de laatste ongeinfecteerde back-up. Microsoft draait constante back-up routines.

– MFA & Password policies: Microsoft dwingt af dat de eigen medewerkers enkel en alleen met gebruik van MFA (Multi-Factor Authentication) en biometrische scans toegang krijgen tot hun werkplek. Daarnaast dwingt Office 365 het gebruik van harde wachtwoorden af van gebruikers en biedt het de mogelijkheid om MFA in te zetten.

– SPAM/Virus filter op Exchange Online: e-mails worden gescanned en bij minimaal gerede twijfel wordt de email tegengehouden. Dit voorkomt dat gebruikers per ongeluk een bijlage binne krijgt welke de eigen omgeving kan infecteren.

– Whitelist: Servers van Office 365 maken gebruik van whitelists. Dit betekent: enkel en alleen opdrachten die op de goedgekeurde lijst voorkomen, mag en zal ik uitvoeren. Alle andere programma’s, services, code wordt automatisch uitgesloten.

– Encryptie: Altijd en overal maakt Microsoft gebruik van sterke encryptie. Alle bestanden en servers zijn versleuteld en maken enkel gebruik van de beveiligde verbindingen waarover enkel versleutelde data verzonden wordt.

Lees meer over bescherming op het Trust Center voor Office 365 of in de whitepaper Security in Office 365

Hoe kan Ransomware dan toch mijn Office 365 omgeving binnen komen?

Ondanks alles is het toch mogelijk dat ransomware je Office 365 omgeving binnen sluipt. Zoals elke beveiliging, is deze zo sterk als de zwakste schakel. Ondanks alle beveiliging van Office 365 zelf, is het wel mogelijk dat een gebruiker zelf geïnfecteerd raakt. Dat komt doordat deze persoon via een persoonlijk e-mailadres een geïnfecteerde email ontvangt, de bijlage opent, waarna de gebruiker zichzelf infecteert.

De ransomware gaat vervolgens alle Office bestanden versleutelen. Dus ook Office bestanden die via OneDrive for Business zijn gesynchroniseerd met Office 365. Dit kan de persoonlijk OneDrive zijn, maar ook SharePoint bilbiotheken die gesynchroniseerd worden.

Omdat de bestanden “geupdate” zijn, gaat OneDrive deze nieuwste versie direct synchroniseren met Office 365. Hierdoor komen deze corrupte bestanden in de cloud.

Bijkomend effect is, dat iedereen die dezelfde bibliotheek hebben gesynchroniseerd, deze laatste versie ook ontvangen. Waardoor ook de versie op hun PC corrupt raakt.

Zie ook het schema hieronder hoe dit er uit ziet.

50.2.png

Op deze wijze komen de corrpute bestanden Office 365 in. Gelukkig is het niet zo dat de ransomware zich als een worm gedraagt, corrupte bestanden kunnen niet zelfstandig andere bestanden corrupt maken. Office 365 zelf raakt hierdoor niet corrupt of geinfecteerd, maar wel de bestanden die binnen gebracht zijn. Deze weg het zorgt er wel voor dat elke versie die gesynchroniseerd wordt, wordt geinfecteerd. Het grote voordeel van OneDrive, werkt in dit geval niet ons voordeel.

Wat doe ik als er geinfecteerde bestanden op mijn Office 365 zijn binnen gekomen?

Ten eerste; wees kalm. Er zijn opties om zonder losgeld te betalen, je bestanden terug te krijgen.

ten tweede; loop de volgende checklist na om de corrupte bestanden terug te zetten. Voer deze checklist uit op Office 365. Op deze manier gebruiken we het voordeel van Office 365 weer voor onszelf, doordat de schone bestanden de laatste versie zijn, worden deze weer verspreid worden via OneDrive sync naar alle aangesloten gebruikers.

1. Verwijder de extra toegevoegde extensie van de bestanden. De bestanden krijgen allemaal een nieuwe extensie mee (document.docx wordt bijvoorbeeld document.docx.ltygh) en deze zullen we eerst moeten verwijderen.

2. Herstel de laatste schone versie, te herkennen aan de juiste extensie, van het bestand. (voorwaarde is wel dat versioning aan staat).

3. Verwijder de ransomware van de bron PC door deze te scannen met de juiste software, de PC te herstellen naar een herstel punt van voor de infectie of door de PC compleet te resetten.

Dit hele proces (extensie verwijderen, versie terug zetten) is ook te scripten en uit te voeren via bijvoorbeeld een ConsoleApp. Rapid Circle kan hierbij assisteren of de oplossing leveren.

Hoe is dit te voorkomen?

Zoals eerder aangegeven is het in dit geval vooral de gebruiker zelf die ervoor zorgt dat corrupte bestanden binnen Office 365 kunnen binnen komen. Wat kun je als organisatie doen om dit (zoveel mogelijk) te voorkomen;

– Backup, backup, backup: Backups en herstelpunten in Windows voorkomen een infectie niet, maar zorgen er wel voor dat je snel weer verder kunt met een schone omgeving.

– Antivirus/-malware & firewall: Het regelmatig updaten van antivirus/-malware en firewall instellingen zorgen ervoor dat de PC zo beveiligd mogelijk is. Hiermee volstaat de standaard Microsoft Defender service, maar mocht je de allerbeste beveiliging willen, dan zijn er hele goede 3rd party programma’s. Voor antivirus zijn dat Avira, Kaspersky & BitDefender, voor malware is dat MalwareBytes. Meer info over antivirus software: AV-Comparatives

– Uitschakelen van Sync: Het is in Office 365 mogelijk om de synchronisatie van bestanden uit te schakelen. Hiermee kun je voorkomen dat belangrijke bibliotheken geïnfecteerd kunnen raken via OneDrive. Dit doe je door in de geavanceerde instellingen van de bibliotheek de “Beschikbaarheid van offlineclient” uit te schakelen. Dit kan ook Site Collectie niveau door de gelijknamige site collectie onderdeel uit te schakelen.

50.3.png

– SPAM/Junk filter: Een goede spam/junk filter houdt heel veel tegen en de meeste providers bieden dit al standaard aan. Maar daarnaast is er ook de persoonlijke filter. Als een e-mail verdacht lijkt dan is dit ook zo. Open nooit zomaar een bijlage, zeker niet van iemand die je niet kent.

– Bewustzijn: De meesten van ons zijn ons niet bewust van de gevaren die het internet ook biedt. We weten allemaal dat je niet zomaar bijlagen moet openen, maar toch gebeurd het vaak genoeg. Ook moet je goed kunnen beoordelen of een site wel betrouwbaar is voordat je er iets van download. Een korte online traninig van Webdetective kan al genoeg zijn. Communiceer over veilig internet gebruik actief naar je de eigen gebruikers toe. Een eerste guide staat op Get Safe Online.

Dit artikel is mede tot stand gekomen met de hulp van Gino Kemp van het ROC van Amsterdam. Hij heeft mij geholpen aan de real life voorbeelden van Ransomware infecties op via OneDrive. Ook heeft hij de oplossing gedeeld hoe zij dit herstellen.

Neem contact met ons op via Mark.Overdijk@RapidCircle.com of Support@RapidCircle.com.

Bronvermelding

De nieuwe meldplicht datalekken en Office 365: welke middelen kan ik inzetten?

Op 1 januari 2016 is de Wet Meldplicht Datalekken ingegaan. Deze meldplicht valt onder de Wet Bescherming Persoonsgegevens. De bedoeling van de meldplicht is om de bescherming van persoonsgegevens te verbeteren voor Nederlandse burgers. Onder de nieuwe richtlijnen kan een datalek organisaties duur komen te staan; er kan een maximale boete opgelegd worden van €820.000,-.

Deze boete kan voorkomen worden door passende organisatorische en technische maatregelen te treffen. Office 365 biedt hier uitstekende mogelijkheden voor. Sinds 1 juli 2003 is in Amerika de Wet Meldplicht Datalekken van kracht. Sinds de lancering van Office 365 in oktober 2011 zijn datalekken, beveiliging en compliance een hot-item voor Microsoft. Organisaties in Amerika eisen strenge en verregaande functionaliteiten om datalekken te voorkomen.

Vanaf de lancering is de continue ontwikkeling van Office 365 in een sneltreinvaart gegaan. Niet alleen de bekende producten als Exchange en SharePoint zijn stevig doorontwikkeld, maar vooral de beveiliging en compliance functionaliteiten die hiermee integreren zijn inmiddels volwassen te noemen. Veel van deze functionaliteiten zijn terug te vinden in het Office 365 Protection Center. Deze nieuwe managementinterface geeft een goed overzicht van welke meldingen en activiteiten er hebben plaatsgevonden die te maken hebben met compliance en beveiliging.

56.1.png

Afhankelijk van de abonnementsvormen zijn er diverse middelen inzetbaar om een datalek te voorkomen. Microsoft biedt standaard in haar E3 licentiepakket compliance en beveiligingsfunctionaliteiten aan als Data Loss Prevention en eDiscovery. Deze twee functionaliteiten bieden organisaties de mogelijkheid tot monitoring en voorkoming van datalekken op het gebied van SharePoint Online en Exchange Online. Hiermee kan anoniem een rapportage worden geleverd aan stakeholders binnen organisaties, zoals Security Officers en directieleden. Een goede functionaliteit voor het opleiden en vooral het bewustmaken van uw medewerkers is de Policy Tip. Veel mensen kennen de Mail Tip in Outlook: de bekende preventieve berichtgeving dat uw collega geniet van een vakantie en Out-Of-Office is. De Policy Tip geeft medewerkers automatisch een waarschuwing op het moment dat zij mogelijk data gaan lekken.

56.2.png

Met deze intuïtieve en gebruiksvriendelijke melding worden medewerkers bewust gemaakt van vaak onbewuste handelingen die leiden tot een datalek. Deze meldingen worden verzameld en in de vorm van moderne rapportages gedeeld met de verantwoordelijke binnen uw organisatie.

Naast deze functionaliteiten die onderdeel zijn van de Enterprise abonnementsvorm, biedt Microsoft meer, veel meer. Deze producten zijn beter bekend als de Enterprise Mobility Suite (EMS). Met one-liners zoals “The world is always connected & mobile” en “More freedom increases risk” houdt Microsoft zich niet afzijdig van veel gevoerde hedendaagse discussies. Microsoft biedt echter ook oplossingen, en wel met producten zoals Microsoft Intune, Microsoft Azure Rights Management Premium en Advanced Threath Analytics.

Met de inzet van Microsoft Intune zijn organisaties voorzien van functionaliteiten zoals Mobile Device Management, Mobile Application Management en PC Management. Met dit product worden mobiele devices voorzien van beleidsinstellingen op het gebied van security en compliancy . Nadat het apparaat is geregistreerd in Microsoft Intune wordt het voorzien van de ICT policies en beveiligingseisen van uw organisatie. Functionaliteiten als het vereisen van een pincode op het apparaat, gelimiteerde toegang tot e-maildata en bovenal het versleutelen van bedrijfskritische data is mogelijk met maar enkele muisklikken.

56.3.png

Nadat het apparaat is geregistreerd in Microsoft Intune en is voorzien van de laatste policies, kunnen  bedrijfsapps worden geinstalleerd op het mobiele apparaat van de medewerker. Ook kunnen er WiFi-instellingen of gewenste certificaten gepushed worden. Het maakt in deze scenario’s niet uit of het apparaat eigendom is van de medewerker of van de organisatie. Microsoft Intune beheert namelijk enkel de bedrijfsdata en apps. In geval van calamiteit worden enkel de zakelijke apps en data verwijdert.

Het verwijderen kan van afstand als het apparaat verbonden is met het Internet en uiteraard selectief. Sinds 1 januari 2016 worden organisaties geacht laatstgenoemde functionaliteit paraat te hebben in geval van verlies of diefstal van mobiele apparaten. De Nederlandse wetgeving gaat er namelijk van uit dat organisaties de beschikbare technologische middelen inzetten ter voorkoming van datalekken. Het onbreken van dergelijke technologische middelen wordt uw organisatie dus ook sterk aangerekend in geval van een datalek.

Wilt u graag bijgepraat worden welke mogelijkgeden Office 365 biedt die bijdragen aan het voorkomen van datalekken binnen uw organisatie? Onze consultants praten u graag kosteloos bij in de vorm van een workshop bij u op locatie. Neem bij interesse contact op met Wilco Turnhout via wilco.turnhout@rapidcircle.com of 06-15 22 90 76

Laat u inspireren en laat Rapid Circle u aan de hand meenemen in de wereld van continue innovatie, met Office 365.