Grip op documenten met Azure Information Protection

Door de nieuwe Europese wetgeving genaamd de General Data Protection Regulation (GDPR) staat bescherming van persoonsgegevens en het voorkomen van datalekken bij veel bedrijven hoog op de agenda. Het beschermen van documenten is daarin een belangrijk aandachtspunt, omdat lang niet iedereen zich even bewust is van de veiligheidsrisico’s bij het delen van documenten. Zoals een administratief medewerker die even de klantendatabase kopieert of een verkoper die de toekomstplannen naar een partner doorstuurt. In dit blog bekijken we de mogelijkheden van Azure Information Protection voor document bescherming en geef ik je praktische tips voor de invoering.

Bij de invoering van de GDPR per 25 mei wordt de directie aansprakelijk gesteld voor de naleving ervan. Het niet naleven kan een boete van 20 miljoen euro opleveren of vier procent van de wereldwijde omzet, afhankelijk wat hoger uitvalt. Dat geeft weliswaar direct een sterke business driver, maar dat is natuurlijk niet de enige reden om documenten beter te beveiligen. De schade van een datalek kan ook zware reputatieschade brengen en resulteren in grote financiële schade.

De GDPR verplicht bedrijven om persoonsgegevens goed te beveiligen en te bewijzen dat ze daadwerkelijk maatregelen hebben genomen. Voor de GDPR zijn persoonsgegevens alle gegevens waarmee een persoon rechtstreeks of met aanvullende gegevens kan worden geïdentificeerd. Dat zijn de naam van een persoon, een vingerafdruk of een foto, maar ook een telefoonnummer of e-mailadres van het werk. Dit soort gegevens komen vaak in documenten terug, waarmee de grip op documenten uiterst belangrijk is.

Documenten beveiligen met Azure Information Protection (AIP)

Nog te vaak wordt gevoelige informatie intern of zelfs extern gemaild zonder enige versleuteling. Bestanden staan dan overal en nergens, en iedereen met toegang kan ook aanpassingen doen. Kortom: grip op documenten ontbreekt nog bij veel bedrijven. Met de introductie van Azure Information Protection (AIP) geeft Microsoft een praktische tool om documenten te beschermen.

In AIP voegt een medewerker met een simpele klik het juiste label toe aan een document in Office 365. Daarmee worden direct encryptie toegepast en de bijbehorende beperkingen ingesteld, voor acties zoals bewerken, printen, knippen en plakken of het intern doorsturen. Bij het delen met externen kan de duur van de toegang worden ingesteld. Krijgt een conceptdocument bijvoorbeeld het label vertrouwelijk, dan kan deze niet meer worden geprint of extern worden gemaild, en krijgt het ook automatisch een watermerk.

Azure Information Protection

De beheerder kan ook automatische regels instellen voor het detecteren van gevoelige informatie. Wil een gebruiker bijvoorbeeld een Word-document opslaan met creditcardgegevens, dan krijgt de medewerker een automatische melding met het advies een specifiek label te gebruiken.

De beveiliging van documenten is een cruciaal onderdeel van een scala aan maatregelen om data te beveiligen en datalekken te voorkomen. Het dient ook als bewijslast om aan te tonen dat in het bedrijf concrete maatregelen genomen zijn, om eventueel achteraf die torenhoge boete te voorkomen.

6 tips voor een succesvolle implementatie van Azure Information Protection

De noodzaak voor document beveiliging en de mogelijkheden van AIP zijn duidelijk. Een aantal praktijktips voor het implementatieproces van AIP:

  1. Bepaal eerst de gewenste resultaten;
  2. Stel vervolgens bedrijfsscenario’s vast aan de hand van de gewenste resultaten;
  3. Indien aanwezig in het bedrijf: betrek de Security Officer in het project;
  4. Documenteer de gewenste classificaties, labels en eigenschappen;
  5. Maak een testscript aan de hand van de bedrijfsscenario’s;
  6. Begin met een kleine set aan labels om te testen en evalueren;

En houd de ontwikkelingen rondom AIP goed in de gaten, want het product krijgt nog regelmatig updates en nieuwe functies.

Awareness is hoofdzaak

De mens is vaak de zwakste schakel in data en document beveiliging. Systemen kun je wel optimaal inrichten, maar het juiste gebruik ervan begint bij de mens. De eindgebruiker moet zich bewust worden van de mogelijke risico’s van het document waarin hij werkt. Een datalek zit in een klein hoekje, maar de gevolgen voor het bedrijf en daarmee uiteindelijk voor hemzelf kunnen heel groot zijn. Dat besef begint bij het herkennen van de gevoeligheid van de data waar hij mee werkt. De automatische meldingen in Azure Information Protection helpen daar goed bij. Zodat men getraind wordt en zelf beter gaat leren inzien wanneer men met persoonsgegevens en gevoelige informatie werkt en daar ook naar handelt. Met bewerkingsbeperkingen zorgt Azure Information Protection er ook voor dat onopzettelijke foutjes worden voorkomen. Een document kan dan niet meer per ongeluk extern worden gedeeld en een typo in de adresbalk geeft dan geen grote gevolgen meer.