Het delen van documenten met collega's en externe partijen bevordert de samenwerking en verhoogt de productiviteit. Helaas brengt dit ook aanzienlijke IT-securityrisico's met zich mee, zoals het per ongeluk delen van vertrouwelijke informatie met de verkeerde personen. Meestal gebeurt dit door medewerkers, niet met opzet, maar vooral door onwetendheid. In deze blog bespreken we de risico's die gepaard gaan met het delen van documenten en geven we je handige tips om dit op een veilige en verantwoorde manier te doen.
Laten we het eerst eens hebben over de ouderwetse manier van het delen van documenten met externen. En met ouderwets bedoelen we dat je een pdf of Word-bestand als bijlage naar iemand mailt. Deze manier van het delen van documenten is eenrichtingsverkeer, met het grootste nadeel dat je verder geen controle meer hebt over wat er met het document gebeurt. Je geeft in principe het eigenaarschap van het document én de inhoud uit handen. Tegenwoordig kun je dit eigenaarschap bij je houden, door bijvoorbeeld de link te delen van een bestand die op jouw SharePoint staat. Meer over deze moderne manier van samenwerken met externe partijen lees je bij de tips.
Hoewel documenten vaak niet met opzet op een verkeerde manier worden gedeeld, kunnen de gevolgen serieus zijn. Zeker als je nog de informatie op een ouderwetse manier deelt, dus als bijlage in plaats van een link. Want wat als de inhoud gevoelige informatie bevat, zoals intellectueel eigendom of persoonsgegevens? Dan zijn dit de gevaren:
Ook al wordt informatie per ongeluk met een externe partij gedeeld, de consequenties zijn niet mis. Lees daarom snel onze tips om dit wél op een veilige manier te doen.
Voor een bedrijf is informatie een van de meest waardevolle bezittingen. Je wilt niet dat gevoelige bedrijfsinformatie of persoonsgegevens terechtkomen bij de verkeerde persoon. Daarom is het belangrijk om op de juiste manier samen te werken. Met mensen binnen én buiten je organisatie. Natuurlijk zijn voor ieder bedrijf de risico's weer anders, net als de bijbehorende maatregelen, maar onderstaande tips gaan je zeker helpen om op een gestandaardiseerde en veilige manier om te gaan met gevoelige informatie.
Of je nu samenwerkt met collega's, klanten, leveranciers of andere externe partijen, deze zeven tips helpen je om vertrouwelijke informatie te beschermen.
Met de technologie van Microsoft deel je eenvoudig documenten vanuit SharePoint, Teams of OneDrive. Hiervoor kun je specifieke maatregelen treffen, bijvoorbeeld dat de ontvanger alleen toegang krijgt door middel van MFA en dat het document alleen voor een bepaalde periode te openen is. Ook is het mogelijk om aan te geven wat de ander met het document kan doen: alleen lezen of juist bewerken? Zo houd je als documenteigenaar de controle over de informatie en wat ermee gebeurt.
Door in SharePoint een workflow te creëren voor het delen van gevoelige informatie kun je het vierogenprincipe uitvoeren. Bovendien kun je standaard labeling toepassen voor bijvoorbeeld financiële data en persoonsgegevens (zie tip 3). Dan is de workflow altijd van toepassing. Een voorbeeld: bestanden van het managementteam mogen niet zomaar extern worden gedeeld, maar de notulen van een MT-vergadering wel. Je kunt dan een gesloten site aanmaken voor het MT en na goedkeuring (via de workflow) de notulen verplaatsen naar een publieke site.
Essentieel is het identificeren en classificeren van documenten. Welke informatie mag echt niet worden gedeeld buiten de organisatie? Hier kun je vervolgens sensitivity labels aan hangen en Data Loss Prevention voor instellen. Gebaseerd op het beleid dat hierbij hoort, wordt (automatisch) bepaald wie toegang heeft tot bepaalde documenten, en welke acties wel en niet zijn toegestaan. Wil je graag meer lezen over sensitivity labels en Data Loss Prevention? Dat kan, we hebben er een uitgebreide blog over geschreven. Die vind je hier.
Als het om gevoelige informatie gaat, zoals medische informatie, medewerkersdossiers en strategische bedrijfsplannen, dan kun je ervoor kiezen om slechts een beperkt aantal mensen de rechten te geven om die informatie te kunnen delen (of wijzigen). Deze beheerders, of key users, weten exact wat wel en niet mag met deze documenten. Andere betrokkenen krijgen bijvoorbeeld alleen leesrechten.
Een praktische manier om specifieke informatie met klanten te delen, is het inrichten van een aparte documentbibliotheek binnen SharePoint. Zo heeft iedere klant toegang tot zijn eigen bibliotheek. Daarnaast kun je een algemene bibliotheek opzetten voor alle klanten, waar ze algemene informatie kunnen terugvinden. Denk aan handleidingen of nieuwsberichten. Via Azure AD voeg je externe gebruikers toe en bepaal je per klantbibliotheek wie toegang heeft.
Microsoft biedt je de mogelijkheid om een audit log aan te zetten. Hiermee kun je zien wie wat doet of heeft gedaan. Zo kun je wijzigingen volgen en terugzien als er iets bewust is gedeeld met externen. Deze functionaliteit vind je binnen Microsoft 365, maar is standaard uitgeschakeld. De audit log wordt actief vanaf het moment dat je dit hebt ingeschakeld. Je kunt dit doen via ‘Onderdelen van de siteverzameling'. Overigens zie je dan geen namen van de persoon, maar alleen een user ID.
Medewerkers de volledige verantwoordelijkheid geven voor het veilig delen van documenten met externen is niet zo'n goed idee. Een medewerker kan een verkeerde beoordeling maken of de labeling aanpassen. Daarnaast vraagt het toepassen van een securitybeleid om een medewerker die het beleid bijhoudt en controleert. Daarom is het aan te bevelen om hier iemand intern voor aan te stellen of een externe ICT-partner om hulp te vragen.
Een goede ICT-partner heeft de expertise in huis die je nodig hebt om proactief je informatie te beveiligen. Voor een individuele medewerker is het vaak niet te doen om op de hoogte te blijven van de nieuwste securityontwikkelingen én om de omgeving te beheren. Een ICT-partner helpt je bij het maken van beleidskeuzes en het treffen van securitymaatregelen, zodat gevoelige informatie niet zomaar kan worden gedeeld.
Ben je benieuwd welke documenten er buiten jouw organisatie worden gedeeld en met wie? Ontdek het met onze quickscan. Je krijgt een heldere rapportage en we adviseren je over mogelijke verbeteringen. Vraag nu een offerte aan.
Weet jij verder waar de lekken zitten in jouw digitale beveiliging? Ontdek het met onze Security Health Scan, inclusief specifieke aanbevelingen voor jouw organisatie. Neem contact op met één van onze IT Consultants via +31(0)88 - 181 1300 of info@handsonict.nl voor meer informatie.
