Hoe Office 365 je helpt tegen datalekken!

Zoals algemeen bekend is er vanaf 1 januari 2016 een nieuwe wet doorgevoerd: Meldplicht Datalekken. Het voornaamste doel van deze wet is om de bescherming van de persoonsgegevens te verbeteren voor Nederlandse burgers.

Wat betekent dit voor mij?
Deze wet verplicht je dus tot het melden van een datalek, zoals van persoonsgegevens. Dit dient binnen 72 uur gemeld te zijn, vanaf het moment van signalering. Dit zou al kunnen betekenen dat wanneer je jouw laptop verliest en je hebt persoonsgegevens (99% heeft persoonsgegevens heeft dit) op je device staan, je hier direct een melding van zou moeten maken. Verlies van persoonsgegevens door bijvoorbeeld het verwijderen van gegevens uit de database valt hier ook onder. Wanneer je de persoonsgegevens hebt encrypt hoeft dit niet gemeld te worden aan de betrokken persoon. Wel aan de AP. Het gevaar bevindt zich dus al in een klein hoekje.
Boetes voor het lekken van data kunnen theoretisch oplopen tot €820.000,-. of 10% van de jaaromzet (dit is excl. evt. schadeclaims vanuit de betrokkenen/slachtoffers). Denk ook aan de reputatieschade met al haar gevolgen; klantenverlies etc. Je bent namelijk als eigenaar (bedrijf) van de data verantwoordelijk, niet de bewerker. Ofwel, een wet die een grote impact kan hebben op je organisatie wanneer je hier niet adequaat mee omgaat.

Voorkomen is beter dan genezen. Onderneem actie.
Door passende organisatorische en technische maatregelen te treffen, kan je datalekken voorkomen/minimaliseren. In dit blog gaan we in op een technologische maatregel, die gevangen zit in Office365. Deze oplossing van Microsoft biedt namelijk functionaliteiten in de strijd tegen datalekken.

Waarom is Office 365 al voorbereid?
Sinds 1 juli 2003 is de wet Meldplicht Datalekken al doorgevoerd in Amerika. Sinds de lancering van Office365 in oktober 2011 zijn datalekken, beveiliging en compliance een belangrijk onderwerp voor Microsoft. Organisaties in Amerika eisen strenge en verregaande functionaliteiten om datalekken te voorkomen. Hier plukken Nederlandse bedrijven nu de vruchten van.

Functionaliteiten in Office 365 die je helpen een datalek te voorkomen.
Afhankelijk van de Office 365 abonnementsvormen zijn er diverse middelen inzetbaar om een datalek te voorkomen. Microsoft biedt standaard compliance en beveiligingsfuncties aan in haar E3 licentiepakket als Data Loss Prevention en eDiscovery. Deze functionaliteiten bieden je de mogelijkheid tot monitoring en voorkoming van datalekken op het gebied van SharePoint Online en Exchange Online. Door middel van deze functies kan er anoniem een rapportage worden aangeleverd bij de stakeholders binnen organisaties.

De Mail Tip in Outlook is al bekend bij velen. De bekendste is waarschijnlijk de berichtgeving dat jouw collega Out-Of-Office is. Deze Policy Tip geeft medewerkers automatisch een waarschuwing op het moment dat zij mogelijk data gaan lekken. Denk hierbij een het lekken van financiële gegevens als creditcard informatie. Met deze gebruiksvriendelijke melding worden medewerkers bewust gemaakt van vaak onbewuste handelingen die mogelijk kunnen leiden tot een datalek. De meldingen die verschijnen worden verzameld en worden in een vorm van moderne rapportages gedeeld met de verantwoordelijke(n) binnen de organisatie.

Naast bovenstaande functionaliteiten die onderdeel uit maken van de Enterprise abonnementsvorm, biedt Microsoft veel meer aan. Deze producten staan beter bekend als de Enterprise Mobility Suite (EMS). Microsoft biedt ook oplossingen die gelinkt zijn aan producten als Microsoft Intune, Microsoft Azure Rights Management Premium en Advanced Treath Analytics.

Met de inzet van Microsoft Intune ben je voorzien van de volgende functionaliteiten: Mobile Device Management, Mobile Application Management en PC Management.

Met Microsoft Intune worden mobiele devices voorzien van beleidsinstellingen op het gebied van security en compliancy. Het apparaat wordt voorzien van ICT policies en beveiligingseisen van jouw onderneming nadat het geregistreerd staat in Microsoft Intune.

Met maar enkele muisklikken kan je functionaliteiten instellen op de geregistreerde devices als het vereisen van een pincode op het apparaat, gelimiteerde toegang tot e-maildata en tot slot het versleutelen van bedrijfskritische data.

Apparaten beheren met Microsoft Intune.
Nadat je het apparaat geregistreerd hebt in Microsoft Intune en ook is voorzien van de laatste policies, kun je bedrijfsapps installeren op het mobiele apparaat van de medewerker. Ook kun je er Wi-Fi-instellingen of gewenste certificaten mee pushen. Het maakt in deze scenario’s niet uit of het apparaat eigendom is van de medewerker of van de organisatie. Microsoft Intune beheert namelijk enkel de bedrijfsdata en apps. Mocht het zo zijn dat er een calamiteit plaats vindt, dan worden enkel de zakelijke apps en data verwijderd.

Verwijderen van bedrijfsgegevens/zakelijke apps.
Het apparaat kan op afstand gewist worden, mits het apparaat verbonden is met het internet. Sinds 1 januari 2016 worden organisaties geacht laatstgenoemde functionaliteit in werking te hebben in geval van verlies of diefstal van mobiele apparaten. De Nederlandse wetgeving gaat er namelijk van uit dat jij als organisaties de beschikbare technologische middelen inzet ter voorkoming van datalekken.

Weet van de Security Health Check.
90% van de bedrijven heeft niet gedocumenteerd staan welke beveiligingsoplossingen zij in huis heeft en of deze up-to-date zijn. Wanneer je te maken krijgt met een datalek is één van de vereisten goed inzichtelijk te hebben hoe je omgeving opgebouwd is en in hoeverre je een beveiligingsstrategie ingebouwd hebt: Wat heb je eraan gedaan om het lek te voorkomen? Daarom ondersteunen we je graag in een Security Health check van je organisatie. Op deze manier hebben we de gegevens om samen met jou het gesprek aan te gaan naar een “Meldplicht datalekken proof” bedrijf.

Beperk de risico’s.
Zorg ervoor dat jouw organisatie de juiste technologische middelen in huis heeft in geval van een datalek door verlies, diefstal of bijvoorbeeld een hack aanval. We helpen je graag het risico zoveel mogelijk te verkleinen. Aangezien ook menselijke factoren een rol spelen willen wij ook bij de constatering van een datalek zorgen dat de gevolgen zoveel mogelijk beperkt worden en je kan aantonen dat je er alles aan gedaan hebt om dit te voorkomen.

Meer weten?
Wil je meer weten over dit onderwerp of welke mogelijkheden Office365 biedt die bijdragen aan het voorkomen van datalekken binnen jouw organisatie? SPEYK helpt je graag verder!

Bron: Autoriteit Persoonsgegevens (AP).