Classificatie – Bitspraak

Informatiebeheer in Office 365: Labels & Beleid (deel 3)

Geplaatst op 20 juni 2018 door Bitspraak

In deel 1 van deze serie heb ik gehad over de nieuwe manier van het toepassen van informatiebeheer binnen Office 365. In deel 2 ben ik daarbij ingegaan op het classificeren van Office Groups (en daarmee o.a. SharePoint sites en Teams). In dit deel zal ik verder ingaan op de volgende stap: het daadwerkelijk implementeren van informatiebeleid in Office 365.

Want: met het classificeren van sites en het toepassen van rechten via Site Scripts en Site Designs, gebeurt er nog weinig op het gebied van beleid. Sterker nog, de controle op content is nog niet geregeld want gebruikers kunnen in feite nog alles doen met het document, bijvoorbeeld verwijderen.

Hiervoor moeten nog twee zaken worden ingeregeld, namelijk de informatie beveiliging (zie de volgende post later) én het beleid wat van toepassing op is content.

Het Security en Compliance Center

Binnen Office 365 is voor al deze zaken een belangrijk portaal gemaakt: het security en compliance center. Op deze plek is het mogelijk om uiteenlopende zaken als toegang en beveiliging te controleren, bedreigingen van buitenaf te monitoren, rapportages en compliance rapporten te genereren, audits te doen (bijvoorbeeld in het kader van de AVG), maar ook beleid te specificeren en uit te rollen binnen Office 365. Hoewel de andere onderwerpen reuze interessant zijn en essentieel in het beheer van Office 365, blijven we in deze posting ‘hangen’ op het onderwerp Labels en Beleid.

Wat zijn Labels?

Labels zijn kenmerken (een titel en omschrijving) en bevat het beleid wat van toepassing is als een label wordt gekoppeld aan content. Content kan bijvoorbeeld een document zijn, maar net zo goed een e-mail in Outlook. En het beleid wat gekoppeld is, kan verschillende vormen bevatten. Bijvoorbeeld:

Een e-mail welke persoonsgegevens bevat, bijvoorbeeld een C.V. als bijlage, moet volgens de wet na een jaar verwijderd worden. We geven deze beleidsregels in dit geval de titel ‘Persoonsgegevens’ mee als label.
Een document met daarin een jaarverslag mag niet verwijderd worden voor een periode van 7 jaar. Na deze 7 jaar, moet een Record Manager een akkoord geven om het document te verwijderen. In dit geval geven we aan dit beleid de titel ‘Jaarverslag’ mee als label.

Deze twee voorbeelden komen vaak voor binnen organisaties en zijn daarom geschikt om als voorbeeld te dienen in deze post. De indeling van labels kan natuurlijk verschillen per organisatie; sommige organisaties draaien vooral op procesniveau en een beschrijving van het proces is in dat geval logischer. Het is ook mogelijk om een indeling op classificatie te maken.

Let wel: op content is slechts 1 label tegelijkertijd toe te passen. Een combinatie van beleid is daarom niet mogelijk!

Een label aanmaken kan via het Security & Compliance Center, te benaderen via de app in de app launcher van je Office 365 portaal, óf via https://protection.office.com. Ga daarna naar ‘Classificatie’ en labels, waar je een nieuw label kan maken.

Na deze omschrijving, kan aangegeven worden wat er met de content moet gebeuren nadat het geclassificeerd is met dit label. Er zijn hierbij verschillende opties:

Bewaren van de inhoud, waarbij aangegeven kan worden hoe lang en vanaf welk moment.
Ook kan worden aangegeven of de content gedurende die tijd beschouwd moet worden als een ‘record’, waardoor het niet verwijderd kan worden.
En er kan worden ingesteld wat er na deze periode moet gebeuren, bijvoorbeeld vernietiging (al dan niet met goedkeuring), of iets anders.

Na het controleren kan het label vervolgens worden aangemaakt.

Wat is beleid?

Beleid, in de context van Office 365 labels, is een set van labels welke op basis van configuratie wordt uitgerold in de Office 365 omgeving. Door beleid uit te rollen op bijvoorbeeld een site, komen de labels beschikbaar. Label kunnen uitgerold worden op:

SharePoint sites
Exchange mailboxen
OneDrive omgevingen
Office 365 Groups

In ons geval gaan we een beleid uitrollen met het persoonsgegevens label er in. Na de selectie van de labels, kunnen we de locatie specificeren waarop de labels worden uitgerold.

Ik ga het uitrollen op de demo site die ik in één van de eerdere blog postings heb aangemaakt.

Vervolgens is het mogelijk om het beleid nog een naam en omschrijving te geven, zodat duidelijk wordt om welk beleid het gaat.

Vervolgens kan het beleid gepubliceerd worden. Dit proces kan even duren, de ervaring is dat op een enkele locatie dit binnen een half uurtje geregeld is. Indien het label overal gepubliceerd worden, zou dit wat langer kunnen duren.

Nadat het label beschikbaar is, is het te gebruiken op de locatie waar het gepubliceerd is.

Zoals je kan zien is het label beschikbaar gekomen in de SharePoint site. Hierbij wordt direct een duidelijk beschrijving van het beleid gegeven, zodat gebruikers kunnen zien wat er mee gebeurt zodra een label wordt gekoppeld.

Het mooie binnen Office 365 is nu dat dit beleid ook kan worden uitgerold op bijvoorbeeld de mailboxen, zodat gebruikers ook hier de labels kunnen toepassen. Er wordt op deze manier een uniforme manier geboden die herkenbaar is voor de gebruiker. Het is dus ook een oplossing voor archiveren en vernietigen van e-mails.

Het koppelen van labels aan content in SharePoint kan op verschillende manieren:

De gebruiker selecteert het label zelf bij de eigenschappen van een document.
Er wordt een standaard label ingesteld bij de eigenschappen van een documentbibliotheek. Elk item in de bibliotheek krijgt daarmee het label toegekend.
De content wordt automatisch toegekend op basis van de analyse van het document.

Dit laatste behoeft wat meer uitleg. Binnen Office 365 is een aantal checks beschikbaar waarmee de content automatisch een label krijgt toegekend. Denk hierbij aan een document dat een BSN nummer bevat of een IP-adres. Dit soort checks zijn standaard beschikbaar binnen de E3 licentie van Office 365. Echter, het is ook mogelijk zelf een check toe toevoegen. Dit kan op basis van een patroon, maar ook op bepaalde sleutelwoorden in de content. Dit is natuurlijk enorm krachtig, want gebruikers blijven vaak de zwakke schakel in de keten. Deze functionaliteit is echter onderdeel van de E5 licentie. Je betaalt er dus wel voor.

Tevens is het automatisch classificeren van content ook risicovol: het kan zijn dat content ten onrechte een label toegekend krijgt. Let er daarom op dat bij automatisch labelen je zeker weet dat de classificatie gezet moet worden.

Conclusie

Met de inrichten van labels kan een organisatie compliant worden met het eigen gestelde beleid, maar ook de wetgeving (als bijvoorbeeld AVG). Office 365 biedt een uniforme manier aan om het beleid te laten landen in de verschillende producten als sites, e-mail of groups.

Nu dit goed is ingeregeld is het tijd om na te denken over informatiebeveiliging: hoe zorgen we ervoor dat er geen data lekken ontstaan en dat informatie niet moedwillig verdwijnt? Dat wordt het onderwerp van de volgende post in deze serie!

Informatiebeheer in Office 365: Site classificatie (deel 2)

Geplaatst op 12 juni 201820 juni 2018 door Bitspraak

In deel 1 van deze serie blog postings, heb ik aangegeven dat veel inrichtingen die in SharePoint gedaan zijn, gebaseerd zijn op metadata modellen. Bij Microsoft zijn ze er inmiddels achter dat dit voor veel gebruikers als lastig wordt ervaren en in vele inrichtingen gaat dit het doel dan ook voorbij. Er is daarom besloten een aantal zaken anders aan te pakken, waardoor het voor de gebruiker een stuk eenvoudiger wordt. Dit is best een verandering; een aantal principiële uitgangspunten wordt namelijk in twijfel getrokken:

Metadata is niet heilig, gebruik het ter ondersteuning (bijvoorbeeld weergaven of workflow), maar niet voor het beveiligen of classificeren van documenten.
Folders zijn handig. In het verleden werd vaak geteld dat je metadata moet gebruiken in plaats van een folderstructuur. Heel zuiver gezien is dit zo, maar in de praktijk willen gebruikers vaak toch een vorm van (fysieke) structuur toepassen. Hoewel SharePoint beschikt over ‘Documentsets’, lijkt dit mechanisme inmiddels bestempeld te zijn als legacy.
Gebruik geen sub sites meer. Sub sites bevatten vaak een structuur, soms met aangepaste rechten. Met de verschuiving naar Office Groups, wordt deze structuur niet goed ondersteund. In plaats daarvan is het gebruik van verschillende site collecties óf het Hub Site mechanisme veel flexibeler en transparanter. Zeker op het gebied van rechten.
Beperk de inrichting op basis van SharePoint groepen met specifieke permissies. Probeer de leunen op het model van Eigenaren, Leden en Bezoekers, zoals deze ook terug komen in Office Groups.

Het grote uitgangspunt binnen Office 365 is dat het niet meer uit maakt wat voor content op welke plek staat, zolang je de content maar classificeert. Dit classificeren kan op verschillende manieren. Een van deze manieren het is het classificeren van de Office Group (met daarbij de SharePoint site). Het is standaard mogelijk om een Group een ‘classificatie label’ mee te geven, waardoor Office 365 bewust wordt van het feit dat de content in deze Group van een bepaalde gevoeligheid is.

Met de gevoeligheid van content wordt bedoeld dat duidelijk is wat het effect is van bijvoorbeeld een datalek van de content. Wat is de ‘schade’ (in kosten, in reputatie, in wetgeving) als de content gelekt wordt naar personen die het niet zouden mogen zien. Denk bijvoorbeeld aan het lekken van persoonsgegevens, e-mail uitwisseling over bedrijfsovernames of beursgang van een organisatie. De effecten daarvan kunnen enorm zijn!

Veel (grotere) organisaties hebben daarom een classificering van gegevens opgesteld. Bijvoorbeeld: openbaar, intern, vertrouwelijk en geheim. Hierbij worden regels ofwel beleid opgesteld over wat er met deze content wel en niet mag. Zo mag vertrouwelijke content bijvoorbeeld niet gedeeld worden met externen of moet geheime informatie versleuteld zijn.

Dit beleid kan worden vertaald naar een inrichting in Office 365, maar daarvoor moeten we wel eerst goed weten hoe dat beleid er uit ziet. Zo kan het bijvoorbeeld zijn dat er nog verschillende gradaties zijn in vertrouwelijke informatie. Bijvoorbeeld ‘persoonsgegevens’ mogen niet gedeeld worden met externen, maar moeten ook vernietigd worden binnen 1 jaar. Of: ‘jaarverslagen’ mogen alleen door het management ingezien worden, maar mogen 7 jaar niet verwijderd worden.

Het is daarom van belang dat deze differentiaties in kaart gebracht worden. Als voorbeeld de volgende indeling:

Openbaar
Intern (geen gevoelige informatie)
Vertrouwelijk
- Persoonsgegevens
- Financiele gegevens
Geheim
- Persoonsgegevens
- Stategisch

Let wel: dit is een voorbeeld en (waarschijnlijk) geen complete lijst. Dit is uiteraard organisatieafhankelijk, maar in ons geval voldoet het als voorbeeld.

Het is nu mogelijk om op basis van deze classificatie indeling, Office Groups te gaan classificeren. Om dit te doen kan er met behulp van een Powershell commando worden aangegeven welke classificaties er beschikbaar zijn, wat de omschrijvingen zijn van de classificaties en welke classificatie als standaard kan worden ingesteld.

 $setting= Get-AzureADDirectorySetting | ? {$_.DisplayName -eq "Group.Unified"}
 $AzureADDirectorySettingId= Get-AzureADDirectorySetting | where {$_.DisplayName -like "Group.Unified"} | Select-Object Id
 # zet classificatie opties
 $setting["ClassificationList"] = "Openbaar,Intern (geen gevoelige informatie),Vertrouwelijk (Persoonsgegevens),Vertrouwelijk (Financiële gegevens),Geheim (Persoonsgegevens),Geheim (Strategisch)"
 # Sla classificaties op
 Set-AzureADDirectorySetting -Id $AzureADDirectorySettingId.id -DirectorySetting $setting
 # bepaald de standaard waarde
 $setting["DefaultClassification"] = "Intern (geen gevoelige informatie)"
 # bepaal de omschrijvingen
 $setting["ClassificationDescriptions"] = "Openbaar: mag gedeeld worden met iedereen en bevat geen gevoelige informatie,Intern (geen gevoelige informatie): mag alleen binnen de organisatie gedeeld worden,Vertrouwelijk (Persoonsgegevens): bevat vertrouwelijke persoonsgegevens,Vertrouwelijk (Financiële gegevens): bevat financiële gegevens als jaarverslagen of contracten,Geheim (Persoonsgegevens): bevat geheime medische gegevens als bijvoorbeeld medische gegevens,Geheim (Strategisch): bevat strategische inforamtie als bijvoorbeeld overnames"
 # Sla instellingen iop
 Set-AzureADDirectorySetting -Id $AzureADDirectorySettingId.id -DirectorySetting $setting
 # Toon ingestelde waarden
 (Get-AzureADDirectorySetting -Id (Get-AzureADDirectorySetting | where -Property DisplayName -Value "Group.Unified" -EQ).id).Values

Na het uitvoeren van deze actie, wordt in het standaard scherm voor aanmaken van een nieuwe SharePoint site, de mogelijkheid geboden de classificatie van de site (of eigenlijk de Office Group) te kiezen. Dit is standaard functionaliteit.

Het prettige is dat de site die vervolgens wordt aangemaakt ook zodanig gekenmerkt is in de header van de site. Het is dus voor gebruikers direct duidelijk welk type informatie er op de site staat.

Bij het aanmaken van de site zijn ook ‘privacy instellingen’ te specificeren. Dit onderdeel behoeft wel wat uitleg, want de keuze is hierbij ‘Openbaar (public)’ of ‘Privé (private)’. In het geval van ‘Privé’ is de site alleen te benaderen door eigenaren en leden die specifiek zijn toegevoegd. In het geval van ‘Openbaar’ kan iedereen op de site komen (logisch), maar heeft iedereen ook bewerk rechten (minder logisch). Het idee hier achter is dat iedereen in het laatste geval deelneemt aan het team en daarmee bewerk rechten krijgt. Echter, deze bewerkrechten houden ook in dat er bibliotheken kunnen worden aangemaakt of verwijderd en dat pagina’s in de site kunnen worden bewerkt. Kortom, dit is vaak niet het doel van een openbare site waarbij de verwachting is dat iedereen standaard alleen leesrechten heeft.

Mocht dit laatste daarom gewenst zijn, dan is wellicht een communicatiesite een logische optie, waarbij dit wel het geval is.

Met het instellen van de classificatie is verder niets gezegd over het beveiligingsniveau van de site of het beleid dat geldt op de site. Hiervoor moet de volgende stap worden uitgevoerd: het toevoegen van site designs en site scripts.

Site Designs en Site Scripts (templates)

De specifieke inrichting van de site, samen met de classificatie en privacy instellingen, kan ervoor zorgen dat de gewenste instellingen (grotendeels) automatisch bepaald worden. Voor elke type template kan in Office 365 een zogenaamd ‘Site Design’ worden geregistreerd. Een Site Design bevat één of meerdere Site Scripts, waarin de inrichting van een site mee wordt bepaald. Zo kunnen bijvoorbeeld branding, rechten, inhoudstypen of lijsten worden bepaald in een Site Script, welke na het aanmaken van een site worden uitgevoerd.

In dit mechanisme is het ook mogelijk om Flow triggers te definiëren, zodat ook complexere inrichting kan worden gedaan, of bijvoorbeeld het initiëren van een provisioning tool (of Powershell) actie. Site Designs komen beschikbaar bij het aanmaken van een nieuwe site. Na het aanmaken van de site, zullen de acties automatisch worden uitgevoerd en uitgerold op de SharePoint site. Een van de zaken die je hierbij niet wilt missen, is het uitrollen van labels en beleid op de site. Hierover zal de volgende blog post gaan.

Site designs komen ook weer als standaard functionaliteit terug bij het aanmaken van een nieuwe site.

Tip: Laura Kokkarinen heeft een helder en compleet overzicht uitgewerkt over Site Designs en Site Scripts. Het is het lezen waard als je hiermee aan de slag wilt gaan.

SharePoint vs. Office 365

Het valt je misschien op dat het bovenstaande vooral gaat over SharePoint sites. Dit is deels waar: bij het aanmaken van een site wordt je geconfronteerd met deze classificatie. Het mooie echter is dat de classificatie ook terug komt als je een Planner omgeving aanmaakt, een Power BI workspace of een Microsoft Teams omgeving. Hierbij wordt onder water ook een Office Group aangemaakt, waardoor de classificatie ook daar doorwerkt:

In deze gevallen geldt ook dat hieraan het juiste beleid gekoppeld kan gaat worden, wat van toepassing is op de achterliggende SharePoint site, de chat conversaties en planner taken. Kortom, binnen alle Office Group gebaseerde content kan gebruik gemaakt worden van de classificatie!

In de volgende post zal ik het samenstellen van beleid voor content verder bespreken.

Informatiebeheer in Office 365: Inleiding (deel 1)

Geplaatst op 11 juni 201820 juni 2018 door Bitspraak

Al 15 jaar lang wordt SharePoint gezien als een platform waarop het mogelijk is documenten en informatie op te slaan op een ‘gestructureerde manier’. Tussen aanhalingstekens, want gestructureerd betekent in SharePoint termen: voorzien van metadata. Door kenmerken aan een document toe te voegen, zo is het idee, wordt deze informatie makkelijk vindbaar en kunnen gebruikers makkelijk bij hetgeen komen wat ze zoeken.

Tot zover de theorie. Ik wil niet beweren dat we het 15 jaar verkeerd hebben aangepakt, maar in de praktijk blijkt een aantal aannames niet van toepassing te zijn:

Gebruikers zijn ‘lui’. Nee niet echt lui, maar wel als het gaat om invullen van kenmerken bij een document. En dit is terecht: de essentie staat in het document zelf, alles wat achteraf extra moet worden ingevuld (metadata), wordt over het algemeen al ballast gezien. Het effect:
Documenten worden onvolledig of onjuist voorzien van metadata. Hierbij is het onjuist invullen nog erger dan helemaal niet invullen.
We zoeken 1 document en vinden er 200. Zoeken is jaren lang gezien al hét middel om documenten te vinden. De zoekmachine van SharePoint is natuurlijk enorm krachtig, maar in praktijk is het vinden van het juiste document niet zo eenvoudig gebleken.
Metadata zegt wat over het document, maar doet er niets mee. Het is mogelijk documenten te voorzien van een label ‘vertrouwelijk’, of een keuzeveld ‘jaarverslag’. Het feit dat het een kenmerk bevat, betekent niet dat een document versleuteld is, of alleen beschikbaar is voor het management. Kortom, dit zal op een andere manier geregeld moeten worden. Sterker nog: de gebruiker denkt dat het goed geregeld is, zonder dat dit daadwerkelijk het geval hoeft te zijn…

Er zal daarom iets anders moeten gebeuren om de informatie huishouding in SharePoint op orde te krijgen. Niet onbelangrijk is daarbij dat in Office 365 we niet alleen te maken hebben met SharePoint, maar ook met e-mail, enquêtes, video’s, chatconversaties en nog vele andere typen media. Hoe zit het daar dan mee?

Ook Microsoft heeft dit door en is daarom sinds kort een andere koers gaan varen. Het sleutelwoord hierin is classificatie, oftewel: beschrijven hoe gevoelig de informatie is waarmee je werkt. Dit is nogal een andere invalshoek wat ook qua inrichting flink afwijkt van de traditionele SharePoint inrichtingen.

Deze serie blog postings zal daarom een overzicht geven van deze nieuwe manier. De komende weken zal ik inzoomen op de volgende onderwerpen:

Deel 2: Site classificaties, privacy instellingen en site ontwerpen
Deel 3: Labels en beleid: lifecycle management in Office 365
Informatiebeveiliging, verschijnt binnenkort
Grip op informatie (beveiliging en compliance), verschijnt binnenkort

Op elk van deze onderwerpen zal ik niet alleen op de techniek ingaan, maar ook op de organisatorische inrichting en wetgeving.