Gebruik sensitivity labels om de informatie in je Microsoft-omgeving te beschermen

Bam! Met een grote stempel zet een overheidsmedewerker 'classified' op een geheim dossier om de vertrouwelijkheid en geheimhouding ervan te waarborgen. Je hebt dit vast weleens in een serie of film gezien. Laat Microsoft nu net zulke ‘stempels’ hebben voor alle digitale informatie binnen jouw organisatie: de sensitivity labels. Bedoeld om alle informatie binnen je Microsoft-omgeving te beschermen, iets wat bij veel organisaties hoog op de agenda staat. In deze blog vertellen we je meer over deze sensitivity labels, maar ook over retentielabels voor het bewaren van informatie én Data Loss Prevention.

Hybride werken en grip op je data

Met Microsoft 365 is werken niet meer aan kantoor gebonden. Met Teams hebben we de vrijheid gekregen om overal en met iedereen te communiceren, samen te werken en bestanden te delen. Als je dit niet op een gestructureerde en veilige manier inricht, dan is de keerzijde dat je het overzicht verliest waar welke data staat. Dit vraagt om governance en goede digitale beveiliging. Met de sensitivity labels van Microsoft, ook wel vertrouwelijkheidslabels genoemd, krijg je grip op je data en het delen hiervan.

Bescherm gevoelige informatie in je Microsoft-omgeving

Hybride werken brengt vele mogelijkheden, maar ook risico’s met zich mee. Je wilt niet dat klant- of personeelsgegevens of financiële data in verkeerde handen vallen. Microsoft Purview Information Protection biedt je genoeg handvatten om het juiste beleid en de juiste maatregelen te treffen om dit te voorkomen:

  • Met de sensitivity labels bepaal je een beleid voor het delen van informatie.
  • De retentielabels ‘bevriezen’ een document voor een specifieke bewaartermijn.
  • En DLP detecteert automatisch wanneer er niet volgens het beleid met gevoelige informatie wordt omgegaan.

Wat zijn de sensitivity labels van Microsoft?

De labels vallen onder Microsoft Purview Information Protection (voorheen Microsoft Information Protection). Het doel is om te voorkomen dat gevoelige informatie zoals persoonsgegevens in onbevoegde handen vallen, omdat ze bijvoorbeeld onterecht worden gedeeld met personen buiten de organisatie. Dat doe je door een Word-document, SharePoint-site of e-mail te classificeren.

Welke informatie je welk type sensitivity label geeft, bepaal je vooraf zelf. Hier is dus een beleid voor nodig. Mag je bij HR-gegevens als je vanuit huis werkt? Of mag je financiële data zomaar checken op je privételefoon? Je legt bijvoorbeeld vast dat financiële data en personeelsgegevens zeer vertrouwelijke informatie is en daarom het label Zeer vertrouwelijk krijgt. Voorbeelden van andere sensitivity labels zijn Persoonlijk, Openbaar, en Vertrouwelijk.

1 labels

Deze labels kun je dus zelf creëren. Net als het beleid dat bij elk label hoort.

2 Edit sensitivity labels

Je kunt zelfs bepaalde visuele markeringen instellen voor de verschillende labels, zodat direct zichtbaar is dat het om vertrouwelijke informatie gaat. Zoals hier waarbij het label Highly confidential is gekoppeld aan een Word-document:

3 visuele markeringen sensitivity labels

Nu we steeds meer hybride werken, is het belangrijk om op een veilige manier om te gaan met gevoelige informatie. De sensitivity labels, die je voor elke Office-app, Teams- en SharePoint-site kunt instellen, helpen je medewerkers hierbij.

Retentielabels en Data Loss Protection

Andere maatregelen om de informatie binnen je Microsoft-omgeving te beschermen, zijn retentielabels en beleid voor Data Loss Prevention (DLP). Op sommige data zit een wettelijke bewaarverplichting. Maar het is natuurlijk ook niet nodig om gevoelige informatie voor altijd te bewaren.

Retentielabels

Met een retentielabel kun je een bewaartermijn afdwingen. Als je zo’n label aan een bestand hangt, zoals een getekende offerte, dan kun je de offerte binnen die termijn niet wijzigen of verwijderen. Het bestand is als het ware ‘bevroren’. Zodra de bewaartermijn afloopt, krijg je een melding en kun je beoordelen of de informatie nog langer moet worden bewaard of kan worden verwijderd.

4 File plan sensitivity labels

Hiervoor maak je een handig ‘file plan’ aan, waarin al deze bestanden overzichtelijk worden weergegeven:

Data Loss Protection

Wanneer DLP actief is binnen je Microsoft-omgeving, dan wordt automatisch gedetecteerd wanneer een medewerker documenten met bijvoorbeeld bsn-nummers of financiële data met een externe wil delen. De medewerker krijgt een waarschuwing dat hij op het punt staat om gevoelige gegevens buiten de organisatie te delen:

5 Data loss prevention pop up

Verder wordt de beheerder op de hoogte gebracht van een potentieel datalek:

6 Data loss prevention dashboard

Stel hiervoor zelf een beleid in of kies voor een standaardtemplate die Microsoft heeft klaargezet. In deze templates voor DLP heeft Microsoft rekening gehouden met specifieke regelgeving per regio. Zo hanteert Europa met de GDPR-wetgeving andere regels rondom het verwerken van persoonsgegevens dan Amerika. Zo kun je relatief eenvoudig gebruikmaken van de policy's.

7 Sensitivity templates

De retentielabels en DLP, in aanvulling op de sensitivity labels, zorgen voor nóg meer grip op je data.

Microsofts labels: praktijkvoorbeelden

Verschillende klanten van Hands on ICT zijn al aan de slag gegaan met het toepassen van de sensitivity labels. Zo hebben we een riskmanager veel tijd kunnen besparen. Hij wilde alle data in de organisatie onderzoeken op gevoelige informatie door verschillende zoektermen in te voeren binnen Teams en SharePoint. Microsoft heeft deze exercitie gemakkelijk gemaakt. Microsoft Purview biedt namelijk een dashboard waarop exact te zien is hoeveel bestanden met gevoelige informatie in omloop zijn en waar die zich bevinden in de Microsoft-omgeving:

8 Classificatie dashboard (Microsoft Purview)

Een andere klant van ons, een organisatie die voor de overheid werkt, heeft een wettelijke bewaartermijn voor specifieke informatie. Die mappen hebben allemaal een retentielabel met bewaartermijn. Na afloop kan de beheerder van die map aangeven wat er met de informatie moet gebeuren. Het is bijvoorbeeld mogelijk om na het verlopen van de bewaartermijn de informatie te verplaatsen naar een e-depot. Hiervoor is het bedrijf bezig met een compleet beleid, inclusief labels en richtlijnen.

Verkeerd labelen voorkomen

Met alleen het opstellen van een beleid en de implementatie van de sensitivity labels ben je er nog niet. Het risico is namelijk dat medewerkers niet goed kunnen beoordelen hoe gevoelig informatie is en dat er een te lage of te hoge classificatie wordt gegeven. Vergeet dus niet om medewerkers mee te nemen in het proces:

  • Maak ze bewust van het belang van de labels en geef aan dat iedereen verantwoordelijk is om op de juiste manier om te gaan met gevoelige informatie.
  • Geef aan welke type informatie er allemaal binnen de organisatie in omloop is en maak onderscheid tussen persoonlijke, openbare en (zeer) vertrouwelijke gegevens.
  • Laat zien hoe ze labels toepassen op onder andere e-mails, documenten en afbeeldingen.

Evalueer vervolgens regelmatig of medewerkers de labels op de juiste manier gebruiken. Zo werkt iedereen gezamenlijk toe naar een veilige manier van het verwerken en delen van informatie.

Bescherm ook gevoelige informatie in je Microsoft-omgeving

Wil jij graag sensitivity labels, retentielabels en Data Loss Prevention toepassen binnen je organisatie? Neem hiervoor contact met ons op via T.+31(0)88 - 181 1300 of email ons op info@handsonict.nl. Onze IT-consultants helpen je graag bij het opzetten van het beleid en het inrichten van Microsoft.

Ben jij verder helemaal op de hoogte van de kwetsbaarheden binnen jouw organisatie? Onze Cybersecurity Assessment Tool (CSAT) laat je zien waar de digitale beveiliging moet worden aangescherpt. Het is een uitgebreide nulmeting om cybersecurity naar een hoger niveau te tillen. Heb je interesse in deze nulmeting, zodat je je IT Security Roadmap kunt gaan opzetten? Vraag deze dan nu aan.

CSAT Cybersecurity assessment Tool