Een veilige werkplek voor de overheid!

Met inzet van Microsoft clouddiensten werken ook overheidsmedewerkers steeds meer op afstand.

Nooit eerder hebben organisaties in Nederland een versnelde en geforceerde adoptie uitgevoerd op clouddiensten van Microsoft. Op het moment dat heel Nederland verplicht vanuit huis moest gaan werken is werkend Nederland in staat om nieuwe technologie tot zich te nemen en daadwerkelijk een bestaande werkwijze te veranderen. De verandering, die medewerkers moeten ondergaan, wordt ondersteund met instructies vanuit technische specialisten, adoptie consultants en collega’s die tech-savvy zijn. Adoptie volgens het boekje, welke onder druk met de juiste prioriteit is uitgevoerd en eindelijk een hoog slagingspercentage heeft opgeleverd. Microsoft Teams is live en de remote vrijmibo en remote kerstborrels zijn een feit.

Organisaties halen voordelen uit de inzet van Microsoft Teams, medewerkers zijn effectief, hebben meer mogelijkheden op afstand en creativiteit neemt toe onder collega’s om toch een teamgevoel te creëren. In 2020 hebben organisaties laten zien dat zij wendbaar zijn om een noodzakelijke verandering als deze te realiseren en medewerkers op afstand te laten werken met nieuwe technologie. In het laatste kwartaal van 2020 en in 2021 komen steeds meer vragen rondom security & compliance naar voren. Aangezien het gebruik van clouddiensten gaat toenemen ontstaat significante datagroei binnen de cloud. Organisaties moeten beveiligingsmaatregelen gaan nemen om data nog beter te beschermen en data binnen de eigen clouddiensten te houden.

Security & Compliance binnen Microsoft 365 E5

Voor overheidsorganisaties geldt dat zij, in overeenstemming met de Baseline Informatiebeveiliging Overheid (BIO), clouddiensten zoals Microsoft Teams veilig moeten activeren zodat data van de organisatie binnen de eigen infrastructuur blijft. Het gebruik van Microsoft Teams draagt bij aan verdere flexibiliteit rondom het samenwerken met collega’s en externen maar genereert tegelijkertijd uitdagingen m.b.t. security & compliance.

Met de VNG-Microsoft Overheidswerkplek heeft de lokale overheid alle mogelijkheden in huis om de vereiste beveiligingsmaatregelen te nemen met de security & compliance producten in de cloud. Met de security & compliance producten binnen Microsoft 365 E5 zijn overheidsorganisaties in staat om op verschillende lagen beveiligingsmaatregelen te nemen. Over de as van Identiteit, Endpoints, Applicaties en Data zijn o.a. onderstaande maatregelen nodig.

1. Identiteit | Meervoudige verificatie (MFA) is verplicht voor iedereen en alleen vanaf vertrouwde locaties zijn uitzonderingen mogelijk;
2. Endpoints | Het apparaat van de medewerker voldoet aan de compliance eisen van de organisatie;
3. Apps | Toegang tot applicaties is gereguleerd (Access Control) waarmee bedrijfsapplicaties alleen toegankelijk zijn voor geautoriseerde gebruikers onder de juiste condities (device, locatie, MFA);
4. Data | Er is een classificatiebeleid actief en vertrouwelijke data is versleuteld waardoor data alleen toegankelijk is voor geautoriseerde gebruikers, ongeacht waar de data zich bevindt of verplaatst.

Door integratie tussen de Microsoft security producten en de implementatie van beveiligingsmaatregelen op de vier pijlers Identiteit, Endpoints, Apps & Data zijn security officers daadwerkelijk in control. Waar puntoplossingen voorheen werden ingezet om specifieke use cases in te vullen, levert de Microsoft suite een best of breed benadering waardoor de implementatie van beveiligingsmaatregelen effectiever wordt. Integratie en “secure by design” toepassingen binnen de Microsoft diensten dragen bij aan een versnelde uitrol van het security beleid. Door de InSpark security baseline te implementeren worden Microsoft diensten veilig vrijgegeven richting gebruikers en wordt tevens voldaan aan de norm vanuit de Baseline Informatiebeveiliging Overheid (BIO). Hieronder in figuur 1 een schematisch overzicht van de vereiste security producten om een veilige werkplek in de cloud te realiseren.

Steeds meer overheidsorganisaties bewegen gecontroleerd naar de cloud en laten zien dat met de juiste beveiligingsmaatregelen heel veel mogelijk is. InSpark hanteert het NIST Cybersecurity Framework (figuur 2) om deze beveiligingsmaatregelen, in overeenstemming met de vereiste standaarden, te adresseren.

Protect

De security & compliance producten uit de Microsoft 365 E3 suite dragen bij aan het inrichten van een security baseline (Protect). Deze InSpark security baseline voorziet in:

• meervoudige verificatie (MFA) voor iedereen;
• endpoints en mobiele apparaten worden beheerd en voldoen aan compliance eisen;
• gereguleerde toegang tot applicaties met behulp van conditional access;
• databeveiliging d.m.v. handmatig classificeren.

Detect & Respond

Vanuit de Microsoft 365 E5 suite worden producten geleverd welke voor inzicht in de cloudomgeving zorgen (Detect) en automatisch acties ondernemen (Respond) wanneer specifieke gebeurtenissen plaatsvinden. Dit draagt bij aan een verhoogde security baseline welke is voorzien van auto respons acties. Hanteer daarbij de autoclassificatie mogelijkheden om gevoelige data en vertrouwelijke data automatisch te versleutelen. De oplossingen worden gebruikt om o.a. onderstaande use cases te adresseren.

• Alle binnenkomende data wordt automatisch gescand waarmee kwaadaardige bestanden en/of phishing aanvallen worden gedetecteerd en geïsoleerd;
• inzicht verkrijgen in gebruik van cloudapplicaties en clouddiensten (Shadow IT) en gebruik deze informatie om je adoptieproces te optimaliseren;
• bescherm endpoints tegen Zero Day aanvallen (Microsoft Threat Intelligence) en isoleer onveilige apparaten waardoor deze geen toegang meer hebben tot bedrijfsapplicaties en data van de organisatie;
• traceer specifieke data binnen cloudapplicaties van de organisatie;
• voorkom dataverlies en behoud data in de eigen cloudomgeving (Endpoint DLP);
• autoclassificatie mogelijkheden op data om menselijk falen te voorkomen.

Hieronder volgen twee voorbeelden waarbij Microsoft 365 E5 producten zijn ingezet.

Voorbeeld 1 | Isoleer een onveilig apparaat

Malafide software wordt direct geïsoleerd, zodra deze wordt getraceerd op een werkplek. Op afstand start een automatisch antivirus scan wanneer een apparaat een risico vormt. Aanvullend hierop is een compliance beleidsregel actief die ervoor zorgt dat een onveilige werkplek geen toegang meer heeft tot de clouddiensten van de organisatie (figuur 3). De Threat & Vulnerability Management module binnen Microsoft Defender for Endpoint voorziet ook in vulnerability management op applicatieniveau. Microsoft Defender for Endpoint inventariseert de applicaties die op endpoint niveau zijn geïnstalleerd en rapporteert hierover de kwetsbaarheden die bij Microsoft bekend zijn. Hiermee is continue Vulnerability Management geborgd i.p.v. het op traditionele wijze inrichten van periodieke vulnerability scans.

Voorbeeld 2 | Toegang tot data reguleren m.b.v. fijnmazige beveiligingsmaatregelen

Microsoft Cloud App Security (MCAS) is een Cloud Access Security Broker (CASB) oplossing die bijdraagt aan het doorvoeren van governance op het gebruik van cloud apps door medewerkers van de organisatie. Vanaf beheerde apparaten ervaren gebruikers meer mogelijkheden t.o.v. toegang vanaf onbeheerde apparaten. Sessies vanaf onbeheerde apparaten worden gereguleerd door Conditional Access en Microsoft Cloud App Security (MCAS) door de inzet van Conditional Access App Control waarmee restricties worden gelegd op het consumeren van data.

Krijg inzicht en controle met aanvullende detect & response maatregelen

Verhoog flexibiliteit en gemak voor medewerkers en faciliteer een veilige werkplek en cloud omgeving zodat data binnen de grenzen van de organisatie blijft en gecontroleerd wordt gedeeld met externen. Gebruik de Microsoft 365 E5 suite om de security baseline (Protec) van de werkplek naar een hoger niveau te brengen en invulling te geven aan Detect & Respond. Hiermee zijn security officers in control en hebben zij meer aandacht voor innovatie en het life cycle management proces.