OneDrive for Business Part 2: Uw beveiliging op orde

Secure by design

OneDrive for Business (Online) is een cloud dienst van Microsoft. Voor veel Nederlandse organisaties is het voor de wet- en regelgeving die van toepassing is op de cloud provider – in dit geval Microsoft – vereist om te weten waar de data fysiek wordt bewaard. Dit heeft namelijk invloed op de privacyregels en veiligheidsregels en daarmee ook de betrouwbaarheid. Wanneer u bij het aanmaken van uw tenant gekozen heeft voor de Geo Europese Unie betekent dit dat uw OneDrive for Business data opgeslagen wordt in datacenters van Microsoft in Nederland en Ierland.

Bij het gebruik van een cloud dienst ontstaat vaak de discussie of dit veilig is. Ik durf stellig te zeggen, dat het per definitie veiliger is dan wanneer je dezelfde functionaliteit vanuit het eigen datacenter ontsluit. Microsoft heeft een cybersecurity budget van ruim 1 miljard dollar per jaar én kan significante merkafbreuk oplopen wanneer blijkt dat Microsoft nalatig zou zijn geweest. De beveiliging van de Microsoft datacenters en het OneDrive for Business platform is dan ook niet te evenaren met het IT-budget van de gemiddelde organisatie.

Beleid

Ondanks dat Microsoft ‘Secure by design’ is moet er beleid zijn wat toepasbaar is op OneDrive for Business. OneDrive biedt diverse functionaliteiten rondom het synchroniseren en benaderen van de data. Vanuit risico’s zoals dataverlies, ransomware en hacking moet een beleid richting geven in het voorkomen van- en omgaan met deze bedreigingen. Een voorbeeld is het delen van bestanden met internen en externen; standaard kunnen bestanden op anonieme basis gedeeld worden met externen. Het kan goed zijn dat u wilt kunnen terugvinden met wie bestanden gedeeld worden. In dat geval zal dit in het beleid moeten worden opgenomen, om vervolgens deze beleidskeuze effectief (technisch) in te regelen.

Om het beleid te bepalen moeten dit soort vragen gesteld, bediscussieerd en beantwoord worden. Bij het bepalen van het beleid zijn meerdere disciplines nodig. Waaronder de Chief Security Officer (beveiligingsfunctionaris) die verantwoordelijk is voor de veiligheid van de data. Een afvaardiging van de IT-afdeling die bekend is met de IT-middelen, de manier van werken en het kennisniveau van gebruikers. En tot slot een specialist die u voorziet van de juiste informatie, zodat u weet wat de mogelijkheden en tegenmaatregelen zijn en op basis daarvan kunt bepalen wat wel en wat niet toegestaan is. Daar waar nog risico’s bestaan dienen deze expliciet in het beleid te staan zodat hierover bewustwording gecreëerd kan worden bij de eindgebruiker.

Beveiligingsmogelijkheden

Microsoft biedt vanuit Office 365 en Enterprise Mobility + Security (EM+S) abonnementen diverse tools om data te beveiligen. Ik zal een aantal van deze mogelijkheden beschrijven en voorbeelden geven van de toepasbaarheid. Afhankelijk van uw abonnement kunt u één of meerdere van onderstaande tools inzetten:

• SyncSettings: OneDrive heeft een aantal instellingen ingebouwd om de synchronisatie te beïnvloeden. Het is mogelijk de Sync Client for Mac OS X te blokkeren en te forceren dat nieuwe connecties met de OneDrive Client voor Windows gecontroleerd worden op Active Directory domeinlidmaatschap. Het is goed om te vermelden dat de mobiele OneDrive apps hiermee niet geblokkeerd worden.
• Conditional Access, Azure MFA, Intune en Office 365 MDM: met Conditional Access kunt u ervoor zorgen dat alleen compliant en vertrouwde devices toegang krijgen tot OneDrive en data kunnen synchroniseren. In dat geval is bijvoorbeeld een tweede authenticatiefactor met Azure MFA, een compliant device met Office 365 MDM of een Intune-managed OneDrive app nodig om toegang te krijgen. Conditional Access kan ook zorgen voor uitzonderingen zodat een aangepast beleid geldt op uw eigen locaties, voor bepaalde personen of andere toegangsmethoden.
• Data Loss Prevention (DLP): DLP is een policy gedreven optie om data te classificeren en detecteren, zodat hier acties op ondernomen kunnen worden. Bij het herkennen van uw vertrouwelijke data kan naast het rapporteren hierover er automatisch een mail gestuurd worden naar de deler van het bestand, of kan ervoor worden gezorgd dat het bestand niet meer gedeeld wordt.
• SharePoint Information Rights Management (IRM): SharePoint IRM valt onder de paraplu van Azure Information Protection (AIP). Voor OneDrive for Business wordt dit bediend vanuit het SharePoint Admin Center. Met IRM kunnen complete OneDrive Sites of individuele mappen beveiligd (versleuteld) worden zodat alleen geautoriseerde personen toegang krijgen. Ook kunnen gebruikers eventueel selectief zijn in de machtigingen binnen het document zodat printen van en kopiëren uit het document voorkomen kan worden. Daarnaast kunnen ook individueel versleutelde bestanden van AIP in OneDrive geplaatst worden.

Compliance-tools

Naast het voorkomen van beveiligingsincidenten is het kunnen verschaffen van inzichten vanuit operationeel beheer maar ook de Algemene verordening gegevensbescherming (AVG/GDPR) essentieel. Microsoft levert vanuit Office 365 en EM+S abonnementen ook hiervoor diverse handvatten, waardoor u eenvoudiger inzicht kunt krijgen in data dat in OneDrive is opgeslagen ten opzichte van traditionele file shares. Afhankelijk van uw abonnement kunt u één of meerdere van onderstaande compliance tools inzetten:

• Rapportages: er kunnen diverse standaardrapporten gemaakt worden, bijvoorbeeld van de gebruikte capaciteit per OneDrive Site, gebruikte capaciteit in totaal en van het aantal gedeelde bestanden. Met behulp van Microsoft Graph en PowerBI zijn ook geavanceerdere rapporten te maken, zo kun je in de PowerPI Office 365 Adoption Dashboard gegevens zien van gesynchroniseerde bestanden, actieve bestanden, intern gedeelde bestanden, extern gedeelde bestanden, etc.
• Auditing: auditing is in OneDrive ingebouwd zodat zowel de beheerder als gebruiker kan zien welke activiteiten plaats vinden op bestanden en welke bestanden gedeeld zijn.
• Retention Policies: Retention Policies kunnen gebruikt worden om data te classificeren en op basis hiervan acties te definiëren. Deze actie kan zijn dat bepaalde bestanden niet verwijderd mogen worden om aan een bewaartermijn van een aantal jaar te voldoen en/of dat bestanden automatisch verwijderd worden wanneer het ouder (niet gewijzigd) is dan een aantal jaar. Retention Policies kunnen vanuit regelgeving noodzakelijk zijn.
• eDiscovery: tot slot is eDiscovery een optie om zogenaamde cases aan te maken om data (onder andere OneDrive Sites) gebundeld te doorzoeken en eventueel te exporteren voor bijvoorbeeld juridische kwesties. Een optioneel onderdeel hiervan is In-Place Hold, om ervoor te zorgen dat bepaalde data van een punt in tijd altijd bewaard blijft, ook als het verwijderd of aangepast wordt door de gebruiker.

Gebruikerservaring vs beveiliging – de juiste balans

De beveiliging van uw data op orde hebben is uiteraard de belangrijkste factor. Maar neem hierin mee wat de consequentie in functionaliteit en gebruikerservaring voor uw eindgebruikers is! Uiteindelijk gaat het om de juiste balans voor uw organisatie, anders heeft de beveiliging van OneDrive als effect dat uw medewerkers wederom zelfstandig uitgekozen middelen inzetten om bestanden te delen. Daarmee wordt één van de belangrijke IT-business drivers, het voorkomen van shadow IT, alsnog niet verwezenlijkt.

Heeft u naar aanleiding van het lezen van deze blog vragen of wilt u meer informatie over OneDrive for Business? Neem contact op met PQR.

Erik van Veenendaal
Senior Consultant