Ligt jouw Office 365 informatie ook op straat?

Meestal wordt informatie met goede bedoelingen gedeeld. Dit kan er echter ook toe leiden dat vertrouwelijke en bedrijfskritische informatie in handen komt van onbevoegden. De gevolgen hiervan zijn per organisatie verschillend, maar pakken meestal vervelend uit. Voor organisaties is het dan ook noodzakelijk om maatregelen te nemen om dit te voorkomen. De eerste stap hierbij is het verkrijgen van inzicht.

Houston, do we have a problem?

Inzicht maakt duidelijk of er momenteel informatie op straat ligt, die mogelijk onbedoeld door anderen gelezen wordt. Zo wordt helder of er daadwerkelijk een probleem is en kun je daarnaar handelen. Je kunt op verschillende manieren inzicht krijgen. Iedere manier heeft zijn voor- en nadelen. De belangrijkste manieren zijn:

• evalueren van de bestaande configuratie
• extra tooling gebruiken
• online repositories gebruiken
• Out Of The Box functionaliteit gebruiken

Evalueren van de bestaande configuratie
Ten eerste kun je de bestaande configuratie van SharePoint in Office 365 evalueren. Dit kun je het beste periodiek doen. In “SharePoint Admin Center” is een beheerpagina “Delen” te vinden. Op deze pagina stel je in of intern en extern delen op een Office 365 omgeving is toegestaan, al dan niet met zogenaamde anonieme gastlinken. Met anonieme gastlinken kun je documenten of lijstitems delen, waarbij de ontvanger van de link deze anoniem kan gebruiken. Als veiligheidsmiddel kun je instellen dat deze anonieme gastlinken na verloop van tijd verlopen. Afhankelijk van de instelling die je op een Office 365 omgeving kiest, is per site collectie hiervan af te wijken. Dit kan handig zijn als je specifieke sites niet alleen voor internen, maar ook voor externen toegankelijk wilt te maken.

Extra tooling
Daarnaast kun je gebruik maken van extra tooling, die tegen betaling af te nemen zijn. Hierbij zijn er verschillende mogelijkheden. Welke tooling het meest geschikt is, zal per organisatie verschillen. Dit hangt namelijk af van de business requirements. Meestal zijn deze vastgelegd in een Governance Plan. Hoe deze tot stand komt is in het volgende hoofdstuk te vinden.

Online repositories
Je kunt ook gebruik maken van online repositories, waar developers en techneuten de code van projecten op onderhouden. Zo zijn er bijvoorbeeld Powershell Scripts te vinden die rapporteren welke documenten er vanuit SharePoint gedeeld zijn, de naam van de persoon die deze gedeeld heeft en door welke externe deze bewerkt of gelezen mag worden. Helaas schieten deze scripts vaak tekort en geven niet alle informatie waarover je wilt beschikken. Dit komt omdat de rechtenstructuur van SharePoint soms lastig in elkaar steekt, vooral als documenten vanuit SharePoint worden gedeeld. Zo krijgt elk gedeeld document in SharePoint unieke machtigingen, waarmee de bovenliggende rechten vanuit een Document Library overschreven worden. Je kunt je voorstellen dat er relatief veel intelligentie in het script aanwezig moet zijn om deze documenten op te sporen. Gebruik deze online scripts dan ook als basis en pas deze naar wens aan. Het is dan wel een vereiste dat je kennis hebt van scripting.

Out Of The Box functionaliteiten
Ten slotte zijn er Out Of The Box (OOTB) functionaliteiten in Office 365 die je kunt gebruiken. Een voorbeeld van een OOTB functionaliteit is de “eDiscovery omgeving” in Office 365. Hiermee kun je op basis van een zoekopdracht naar specifieke content zoeken. Op deze manier kun je dus ook de documenten vinden die gedeeld zijn met anderen. Hieronder zie je een voorbeeld van hoe dit eruit ziet.

Zoekresultaten op basis van de property “ViewableByExternalUsers”.

De eDiscovery omgeving geeft een overzicht van alle gevonden documenten binnen de SharePoint sites. Helaas ontbreekt in dit overzicht met wie deze documenten gedeeld zijn.

Alle mogelijkheden die ik tot nu genoemd heb, hebben nadelen. Zo moet je er bijvoorbeeld voor betalen of geven ze onvoldoende inzicht in met wie documenten gedeeld worden.

Is er dan geen enkel alternatief?  Natuurlijk is deze er! Via het onderdeel “Security & Compliance” van Office 365 is de optie “Audit Log search ” te vinden. Hiermee kun je geautomatiseerde rapporten maken, die de gedragingen van gebruikers en beheerders vastleggen.  In het volgende scherm is te zien door wie en met wie deze documenten zijn gedeeld.

Zoekresultaten op basis van de property “Shared file, folder or site”.

Nu inzichtelijk is of er informatielekken zijn en wat de omvang hiervan is, kunnen eventueel maatregelen worden genomen. Het bepalen en vastleggen hiervan gebeurt meestal in een Governance Plan.

Beter voorkomen dan genezen

Ik vind het opstellen van een SharePoint Governance Plan van essentieel belang. Dat geldt niet alleen voor grote, maar ook voor de kleinere organisaties. Het is een startpunt voor de inrichting, het beheer en het gebruik van SharePoint. Een SharePoint Governance Plan helpt onder andere om het beheer te vereenvoudigen, verhoogt de kans op acceptatie van het systeem bij de gebruikers en geeft duidelijkheid over het delen van documenten met SharePoint en OneDrive for Business. Een Governance Plan beschrijft onder andere:

1.  het standpunt dat de organisatie inneemt met het gebruik van het systeem
2. SMART geformuleerde doelstellingen om dit te bereiken
3. de bedrijfsprocessen die het systeem ondersteunt
4. welke informatie waar te vinden is
5. en de rollen en taken van personen die de omgeving beheren en gebruiken

Op basis van dit plan is het onderdeel “Data Loss Prevention” in Office 365 goed in te regelen.

Data Loss Prevention (DLP) in Office 365 beschermt vertrouwelijke en bedrijfskritische informatie tegen het opzettelijk en onopzettelijk lekken hiervan. Deze Office 365 functionaliteit biedt vanaf het tweede kwartaal van 2015 ook ondersteuning voor SharePoint en OneDrive for Business. DLP signaleert en handelt, zodra informatie vertrouwelijk is en gedeeld wordt met bijvoorbeeld externen. Als DLP een inbreuk signaleert op basis van beleidsregels, dan kan deze een blokkade opleggen op het bijbehorende document, waardoor de gebruiker deze niet meer met anderen kan delen. DLP maakt in SharePoint een blokkade herkenbaar met zogenaamde ‘Policy tips’. Ook is er ondersteuning vanuit DLP voor de Office-applicaties. Opent de gebruiker het bijbehorende document in Office dan zijn deze ‘Policy tips’ ook zichtbaar. De gebruiker kan deze blokkade opheffen, door te voldoen aan de beleidsregels van de organisatie. Hieronder enkele voorbeelden van hoe de “Policy tips” eruit zien.

Het document is niet openbaar toegankelijk, zolang de beleidsregel is geschonden.

Het venster geeft de geschonden beleidsregels weer

Conclusie

Het is goed om eerst inzicht te krijgen in de gedeelde informatie vanuit je Office 365 omgeving. Dit maakt zichtbaar of er informatielekken zijn, die bewust of onbewust zijn gecreëerd door de gebruikers van het systeem, en wat de omvang hiervan is. De functionaliteit “Audit Log Search” in Office 365 is de beste optie om dit inzicht te krijgen. Stel daarna een SharePoint Governance Plan op wanneer je dit niet hebt en gebruik dit om de DLP-functionaliteit in Office 365 goed in te regelen. Zo is je organisatie beschermd tegen informatielekken en ligt er geen informatie meer onbedoeld op straat.