In deel 1 van deze serie heb ik gehad over de nieuwe manier van het toepassen van informatiebeheer binnen Office 365. In deel 2 ben ik daarbij ingegaan op het classificeren van Office Groups (en daarmee o.a. SharePoint sites en Teams). In dit deel zal ik verder ingaan op de volgende stap: het daadwerkelijk implementeren van informatiebeleid in Office 365.
Want: met het classificeren van sites en het toepassen van rechten via Site Scripts en Site Designs, gebeurt er nog weinig op het gebied van beleid. Sterker nog, de controle op content is nog niet geregeld want gebruikers kunnen in feite nog alles doen met het document, bijvoorbeeld verwijderen.
Hiervoor moeten nog twee zaken worden ingeregeld, namelijk de informatie beveiliging (zie de volgende post later) én het beleid wat van toepassing op is content.
Het Security en Compliance Center
Binnen Office 365 is voor al deze zaken een belangrijk portaal gemaakt: het security en compliance center. Op deze plek is het mogelijk om uiteenlopende zaken als toegang en beveiliging te controleren, bedreigingen van buitenaf te monitoren, rapportages en compliance rapporten te genereren, audits te doen (bijvoorbeeld in het kader van de AVG), maar ook beleid te specificeren en uit te rollen binnen Office 365. Hoewel de andere onderwerpen reuze interessant zijn en essentieel in het beheer van Office 365, blijven we in deze posting ‘hangen’ op het onderwerp Labels en Beleid.
Wat zijn Labels?
Labels zijn kenmerken (een titel en omschrijving) en bevat het beleid wat van toepassing is als een label wordt gekoppeld aan content. Content kan bijvoorbeeld een document zijn, maar net zo goed een e-mail in Outlook. En het beleid wat gekoppeld is, kan verschillende vormen bevatten. Bijvoorbeeld:
- Een e-mail welke persoonsgegevens bevat, bijvoorbeeld een C.V. als bijlage, moet volgens de wet na een jaar verwijderd worden. We geven deze beleidsregels in dit geval de titel ‘Persoonsgegevens’ mee als label.
- Een document met daarin een jaarverslag mag niet verwijderd worden voor een periode van 7 jaar. Na deze 7 jaar, moet een Record Manager een akkoord geven om het document te verwijderen. In dit geval geven we aan dit beleid de titel ‘Jaarverslag’ mee als label.
Deze twee voorbeelden komen vaak voor binnen organisaties en zijn daarom geschikt om als voorbeeld te dienen in deze post. De indeling van labels kan natuurlijk verschillen per organisatie; sommige organisaties draaien vooral op procesniveau en een beschrijving van het proces is in dat geval logischer. Het is ook mogelijk om een indeling op classificatie te maken.
Let wel: op content is slechts 1 label tegelijkertijd toe te passen. Een combinatie van beleid is daarom niet mogelijk!
Een label aanmaken kan via het Security & Compliance Center, te benaderen via de app in de app launcher van je Office 365 portaal, óf via https://protection.office.com. Ga daarna naar ‘Classificatie’ en labels, waar je een nieuw label kan maken.
Na deze omschrijving, kan aangegeven worden wat er met de content moet gebeuren nadat het geclassificeerd is met dit label. Er zijn hierbij verschillende opties:
- Bewaren van de inhoud, waarbij aangegeven kan worden hoe lang en vanaf welk moment.
- Ook kan worden aangegeven of de content gedurende die tijd beschouwd moet worden als een ‘record’, waardoor het niet verwijderd kan worden.
- En er kan worden ingesteld wat er na deze periode moet gebeuren, bijvoorbeeld vernietiging (al dan niet met goedkeuring), of iets anders.
Na het controleren kan het label vervolgens worden aangemaakt.
Wat is beleid?
Beleid, in de context van Office 365 labels, is een set van labels welke op basis van configuratie wordt uitgerold in de Office 365 omgeving. Door beleid uit te rollen op bijvoorbeeld een site, komen de labels beschikbaar. Label kunnen uitgerold worden op:
- SharePoint sites
- Exchange mailboxen
- OneDrive omgevingen
- Office 365 Groups
In ons geval gaan we een beleid uitrollen met het persoonsgegevens label er in. Na de selectie van de labels, kunnen we de locatie specificeren waarop de labels worden uitgerold.
Ik ga het uitrollen op de demo site die ik in één van de eerdere blog postings heb aangemaakt.
Vervolgens is het mogelijk om het beleid nog een naam en omschrijving te geven, zodat duidelijk wordt om welk beleid het gaat.
Vervolgens kan het beleid gepubliceerd worden. Dit proces kan even duren, de ervaring is dat op een enkele locatie dit binnen een half uurtje geregeld is. Indien het label overal gepubliceerd worden, zou dit wat langer kunnen duren.
Nadat het label beschikbaar is, is het te gebruiken op de locatie waar het gepubliceerd is.
Zoals je kan zien is het label beschikbaar gekomen in de SharePoint site. Hierbij wordt direct een duidelijk beschrijving van het beleid gegeven, zodat gebruikers kunnen zien wat er mee gebeurt zodra een label wordt gekoppeld.
Het mooie binnen Office 365 is nu dat dit beleid ook kan worden uitgerold op bijvoorbeeld de mailboxen, zodat gebruikers ook hier de labels kunnen toepassen. Er wordt op deze manier een uniforme manier geboden die herkenbaar is voor de gebruiker. Het is dus ook een oplossing voor archiveren en vernietigen van e-mails.
Het koppelen van labels aan content in SharePoint kan op verschillende manieren:
- De gebruiker selecteert het label zelf bij de eigenschappen van een document.
- Er wordt een standaard label ingesteld bij de eigenschappen van een documentbibliotheek. Elk item in de bibliotheek krijgt daarmee het label toegekend.
- De content wordt automatisch toegekend op basis van de analyse van het document.
Dit laatste behoeft wat meer uitleg. Binnen Office 365 is een aantal checks beschikbaar waarmee de content automatisch een label krijgt toegekend. Denk hierbij aan een document dat een BSN nummer bevat of een IP-adres. Dit soort checks zijn standaard beschikbaar binnen de E3 licentie van Office 365. Echter, het is ook mogelijk zelf een check toe toevoegen. Dit kan op basis van een patroon, maar ook op bepaalde sleutelwoorden in de content. Dit is natuurlijk enorm krachtig, want gebruikers blijven vaak de zwakke schakel in de keten. Deze functionaliteit is echter onderdeel van de E5 licentie. Je betaalt er dus wel voor.
Tevens is het automatisch classificeren van content ook risicovol: het kan zijn dat content ten onrechte een label toegekend krijgt. Let er daarom op dat bij automatisch labelen je zeker weet dat de classificatie gezet moet worden.
Conclusie
Met de inrichten van labels kan een organisatie compliant worden met het eigen gestelde beleid, maar ook de wetgeving (als bijvoorbeeld AVG). Office 365 biedt een uniforme manier aan om het beleid te laten landen in de verschillende producten als sites, e-mail of groups.
Nu dit goed is ingeregeld is het tijd om na te denken over informatiebeveiliging: hoe zorgen we ervoor dat er geen data lekken ontstaan en dat informatie niet moedwillig verdwijnt? Dat wordt het onderwerp van de volgende post in deze serie!
