Bescherm en gebruik data volgens wet- & regelgeving met Zero Trust

Door Rick Tucker (Information Protection & Modern Work Security Consultant)

Een belangrijke pilaar in het Zero Trust Framework van Microsoft is het beschermen van (gevoelige) data, zoals beschreven in onze eerste Security Blog over het Zero Trust Framework. De onderdelen Confidentiality, Integrity en Availability – ook wel de CIA-driehoek genoemd – zijn van toepassing op de data die binnen Microsoft 365 en Azure leeft. In deze blog wordt uitgelegd hoe de verschillende producten binnen Microsoft 365 ervoor zorgen dat aan de onderdelen van de CIA-driehoek worden voldaan, data beschermd wordt én jouw organisatie kan voldoen aan wet- en regelgeving.

Data moet vertrouwelijk (Confidentiality) zijn, zodat alleen de juiste personen er toegang tot hebben. Integriteit (Integrity) van data is ook een belangrijk aspect, waarbij de data consistent blijft en niet wordt aangepast op de bronlocatie of ten tijde van ‘transport’. Beschikbaarheid (Availability) is het derde aspect van de CIA-driehoek, wat ervoor moet zorgen dat de data te alle tijden beschikbaar is voor de juiste personen.

Sensitivity Labeling
Om data zowel intern als extern correct in te laten lezen en/of te bewerken is het belangrijk om inzichtelijk te hebben welke medewerker, groepen medewerkers en/of externen toegang mogen hebben tot bepaalde informatie. Sensitieve informatie zoals strategieën of productontwikkelingen mogen bijvoorbeeld alleen door het management worden ingezien en niét door de rest van de organisatie of externen. Andere type informatie kan binnen de organisatie vrijuit gedeeld worden maar mag de organisatie niet verlaten. In dit geval is het noodzakelijk Sensitivity Labeling toe te passen.

Door middel van Sensitivity Labeling is het mogelijk documenten, e-mails en Microsoft Teams te beveiligen, waardoor alleen de juiste personen toegang krijgen tot de documentatie. Voor iedere hiërarchische laag in de organisatie is een sensitivity label op te zetten, waarin het mogelijk is specifieke instellingen toe te passen. Eén van die instellingen is wanneer een document of e-mail een specifiek sensitivity label krijgt, kan deze bijvoorbeeld encrypted (versleuteld) worden, waardoor onbevoegden het niet eenvoudig kunnen openen.

Data Loss Prevention (DLP)
Sensitieve informatie kan op verschillende manieren de organisatie verlaten. Een document kan gedeeld worden vanuit Microsoft Teams, e-mail of een Microsoft chat. Data Loss Prevention (DLP) binnen Microsoft 365 zorgt ervoor dat gevoelige data niet met externen gedeeld kan worden. Microsoft 365 zorgt er dan automatisch voor dat documenten, e-mails of chats met AVG(GDPR)-gevoelige informatie niet gedeeld worden met bijvoorbeeld externen. DLP kan in combinatie met Sensitivity Labeling worden toegepast, waardoor het bij voorbaat al niet mogelijk is gelabelde bestanden met externen en/of specifieke internen te delen.

AVG (GDPR)
Om persoonlijke data op de juiste manier te beschermen en ermee om te gaan, heeft meer dan 70% van de landen wereldwijd in de afgelopen jaren privacywetgeving doorgevoerd. Een voorbeeld hiervan is de AVG (GDPR) binnen de Europese Unie. Sensitivity Labeling en het toepassen van DLP helpen organisaties binnen Microsoft 365 compliant te zijn aan de AVG(GDPR). Als toevoeging verdient het beheren en bewaren van informatie voor een bepaalde termijn – volgens wet- en regelgevingen – ook een belangrijke plaats.

Data bewaartermijnen & retentie labeling
De AVG schrijft onder andere voor dat persoonlijke informatie na een bepaalde termijn verwijderd dient te worden. Retentie labeling in Microsoft 365 maakt het mogelijk beheer en (automatische) verwijdering van data door te voeren op geselecteerde applicaties, zoals Microsoft Teams, SharePoint en Exchange.

De genoemde Microsoft Information Protection producten en diens mogelijkheden kunnen op talrijke manieren worden toegepast. Stap voor stap zorgen deze producten ervoor dat organisaties compliant zijn, waardoor data beschermd en beheersbaar blijft zoals gewenst vanuit de Confidentiality, Integrity en Availability (CIA) driehoek.