Als organisatie moet en wil je goed omgaan met informatie. Vaak zijn daar nog heel wat stappen in te maken en is het goed dat ook echt stap-voor-stap te doen.

Kruipen

Lopen

Rennen
Veel organisaties zetten hoog in. Ze willen alle bestanden markeren als geheim, vertrouwelijk, intern of openbaar. Afhankelijk van die markering mogen bestanden dan wel of niet gedeeld worden.
Keer op keer blijkt dat nog een stap te ver. Medewerkers ervaren het bijvoorbeeld als te complex en als ‘gedoe’. Vaak zijn er te veel opslaglocaties in gebruik om deze stap efficiënt te kunnen maken.
Doe het daarom stap-voor-stap. Evalueer na iedere stap of het al goed genoeg is, en of de organisatie al wel toe is aan de volgende stap.
Aan welke stappen kun je denken?
1. Bewustwording.
Als medewerkers zich niet bewust zijn van het belang van informatiebeveiliging, blijven ze (om)wegen zoeken om informatie makkelijk in plaats van veilig te delen.
Uiteraard is stoppen na stap 1 niet logisch. Ook medewerkers die het belang van informatiebeveiliging kennen, kunnen bewust of onbewust verkeerd omgaan met (mogelijk zeer vertrouwelijke) informatie.
2. Duidelijkheid over waar informatie opgeslagen moet worden.
Allerlei verschillende opslaglocaties maken het lastig en kostbaar om technische oplossingen te implementeren en naleving te monitoren.
De overstap naar Microsoft 365, of ingebruikname van Microsoft Teams, biedt hiervoor een mooie kans. Bij migraties bespreek je waar de data nu staat en op welke plek alles binnen Microsoft 365 of Teams komt te staan. Vervolgens maak je duidelijk dat alleen de nieuwe opslaglocatie nog gebruikt wordt. Je helpt gebruikers bij de problemen die ze daarmee ervaren.
3. Ondersteuning bij basisbeveiliging van informatie.
Leer gebruikers hoe ze kunnen zien wie toegang heeft tot informatie en hoe ze dat aan kunnen passen. Herinner ze aan hun verantwoordelijkheid om de beveiliging op de nieuwe plek zelf te beheren en blijf continu ondersteuning aanbieden.
JSR geeft eigenaren van een Team in Microsoft Teams bijvoorbeeld een speciale training waarin dit aan de orde komt. Nadruk ligt daar onder meer op de verschuiving van toegangsbeheer door IT naar toegangsbeheer door (bepaalde) gebruikers zelf.
4. Monitoren van informatiebeveiliging.
Na voorgaande stappen is dat eenvoudiger geworden. Ook is duidelijker waar bevindingen belegd moeten worden. Er zijn standaardoplossingen van Microsoft, maar ook oplossingen van derde partijen die hierbij helpen.
5. Een besluit over wat extra beveiligd moet worden.
Alles of alleen informatie van afdelingen zoals HR en Financiën? Alle HR-bestanden of alleen de personeelsdossiers?
Bij opslaglocaties in Microsoft 365 kun je aangeven of informatie (extern) gedeeld mag worden. Dat is weliswaar niet op bestandsniveau, maar soms al een hele verbetering.
6. Implementatie van de extra beveiliging.
Moeten gebruikers aangeven wat vertrouwelijk is, geven sjablonen een voorzet of laat je het automatisch bepalen? Mogen gebruikers afwijken? Op basis van de antwoorden op die vragen bepaal en implementeer je de beste oplossing.
De opname van webinar Ook thuiswerken doe je in (huis)stijl geeft meer beeld bij de mogelijkheden van sjablonen.
7. Naleving controleren en oplossingen bijstellen.
Na al deze stappen is het zonde als er alsnog om geïmplementeerde oplossingen heen gewerkt wordt. Blijkt afwijken in de praktijk toch echt nodig? Dan moeten oplossingen hieraan worden aangepast. Zo is en blijft afwijken van geïmplementeerde oplossingen de uitzondering en onder controle.
Hoever ga je?
Dat hangt niet alleen af van wat de organisatie wil, maar ook van wat de organisatie aankan. Het in gang zetten van deze stappen is gelukkig sowieso een goed idee.
Want haal je stap 7? Dan is dat heel mooi. Maar stopt het toch bij stap 3? Dan heb je waarschijnlijk toch al een flinke verbetering bereikt.
Trek het breder
Het liefst pakken wij dit op binnen een traject om slimmer te gaan werken met Microsoft 365. Van informatiebeveiliging alleen worden weinig medewerkers enthousiast. Maar introduceer je bijvoorbeeld Microsoft Teams én een stap in informatiebeveiliging tegelijk? Dan ga je niet alleen veiliger, maar ook slimmer en leuker werken. En dat spreekt (wel) aan!