Skip to main content

Tips voor het beveiligen van Office 365


Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Office 365

Alvorens het technisch wordt is het goed om scherp te hebben wat er dan precies valt onder Office 365. Microsoft komt regelmatig met nieuwe producten en productnamen en dat allemaal doorgronden vraagt een heuse expert tegenwoordig. Onder Office 365 vallen de volgende ‘workloads’, zoals dat dan heet: Teams, SharePoint Online, OneDrive for Business en Exchange Online. Zoals de naam al doet vermoeden, kan je SharePoint en Exchange ook on-premise draaien. Deze blog veronderstelt een volledige cloud variant.

Naast Office 365 bestaat er ook Microsoft 365, de opvolger van Office 365. Voor menig gemeenten zal het gaan om een zogenaamde Microsoft 365 E3 of E5 licentie. Voor de E3 variant kunnen alle Nederlandse gemeenten sinds 1 februari 2019 gebruikmaken van de gemeentelijke voorwaarden van Microsoft. Check voor meer informatie de GT-Microsoftpagina van VNG Realisatie.

En dan nu de beveiligingsmaatregelen, maar niet voordat ik je adviseer vooral veel aan bewustwording te doen. Alleen technische beveiligingsmaatregelen nemen is nooit genoeg. Uiteindelijke draait het om het gedrag van mensen. Het lukt alleen als medewerkers zich bewust zijn van hun rol bij het veilig houden van gevoelige informatie. We schreven er een boek over.

Multi-factor authenticatie

Dit mag toch geen verrassing heten, lijkt me. Door de toegang te beveiligen met een extra factor bovenop het wachtwoord, wordt het risico op oneigenlijke toegang enorm verkleind. Zeker, de gebruiker zal er niet altijd blij mee zijn, maar daarom implementeer je het doorgaans alleen op de onvertrouwde omgeving. Ofwel: wanneer je fysiek op locatie werkt of vanuit de VDI-omgeving is MFA doorgaans niet nodig. Sowieso bevat de VDI doorgaans al VDI. Maar goed, Office 365 is natuurlijk een cloudplatform dat veelvuldig buiten de VDI om benaderd zal worden. Plaats- en tijdsonafhankelijk werken. Tot slot is er een duidelijke link met conditional access.

Verder lezen

Beheerdersrechten via RBAC

Beheerders, maar goed dat we ze hebben. Beheerders hebben vanzelfsprekend meer rechten dan de ‘gebruikelijke gebruiker’ om hun werkzaamheden te kunnen verrichten. Maar ook daar wil je het ‘least privilege’ principe zo ver mogelijk doorvoeren. Vaak kunnen beheerrechten ook tijdelijk zijn, bijvoorbeeld gekoppeld aan een change. Let wel: iedere (interne) beheerder is natuurlijk ook medewerker en deze accounts dien je strikt te scheiden. Maar limiteer ook op het beheerdersaccount de rechten middels (tijdelijke) rollen.

Verder lezen

Unified Audit Log (UAL)

Er speelt zich van alles af binnen je Office 365 omgeving (‘tenant’). Daarbij is het noodzakelijk dat je in voorkomende gevallen ‘terug de tijd in kunt’ en met logging kan dat. UAL logt Exchange Online, SharePoint Online, OneDrive for Business, Azure AD, Teams en meer. Met deze informatie kan je 1) verdachte activiteiten handelingen onderzoeken, en 2) controleren of het informatiebeveiligingsbeleid juist wordt nageleefd.

Verder lezen

Hardening authenticatie

Voor Exchange geldt dat er veel protocollen zijn voor authenticatie, zoals POP3, SMTP en IMAP. Deze protocollen ondersteunen de moderne manier van authentiseren via Azure Active Directory niet waardoor zoiets als MFA is veel gevallen lastig is. Uiteraard zijn er situaties waarbij je wel móet terugvallen op deze verouderde protocollen en dan is helemaal uitschakelen geen optie. Maar limiteer het gebruik ervan dan met conditional access.

Verder lezen

Monitoring, alerts & SIEM

Loggen doe je niet alleen om later terug in de tijd te kunnen. Logs verschaffen een schat aan informatie over wat er allemaal op dít moment gebeurt binnen Office 365. Het monitoren van de logs en vervolgens het sturen van alerts maakt dat je snel kan handelen waar nodig. Maar logs zijn vaak zo ontzettend omvangrijk dat je ervan ontmoedigd raak. Met een SIEM-oplossing wordt het hanteerbaar én kan je de Office 365 logs integreren en correleren met andere logs. Zo detecteer je anomaliteiten snel.

Verder lezen

Advanced Threat Protection

Microsoft biedt verschillende producten onder deze ‘ATP’ benaming. Zo heb (had?) je ATP voor Exchange Online, Defender en Azure. Daarnaast bestaat er ook Microsoft Office 365 ATP in twee variaties. Een E5 licentie bevat de uitgebreide variant. De laatstgenoemde versie van ATP bevat extra beveiligingsopties voor het versturen van e-mailbijlagen, het openen van links en phishing mails. ATP is ook te activeren op SharePoint Online, OneDrive for Business en Teams. ATP vergrendelt dan bijvoorbeeld kwaadaardige bestanden.

Verder lezen

Microsoft Secure Score

Met de talloze beveiligingsinstellingen van Microsoft is het lastig overzicht houden. Daar helpt de Secure Score bij. Deze score geeft al welke verbeteringsacties je zou kunnen ondernemen om je organisatie beter te beschermen tegen dreigingen. Op het moment van schrijven bevindt de Compliance Score zich in de preview. Deze score is aanvullend op de Secure Score en geeft een gedetailleerd inzicht in je mate van naleving van wet- en regelgeving, bijvoorbeeld op het gebied van gegevensbescherming.

Verder lezen

E-mail standaarden

Het Forum Standaardisatie voer ieder halfjaar een meting uit naar de implementatie van diverse standaarden, waaronder standaarden tegen e-mailvervalsing. Uit de meting van maart dit jaar blijkt dat de gemiddelde adoptie van mailstandaarden op 81% ligt. Het gaat dan om de standaarden SPF, DMARC, STARTTLS, DANE, en DNSSEC (op de mailserver). De combinatie met Office 365 is problematisch onderkent ook het Forum omdat Microsoft vooralsnog geen DNSSEC en DANE biedt, maar vorige maand kwam er perspectief.

Verder lezen

Conditional Access

Middels conditional access kan je, jawel, aanvullende condities stellen aan het al dan niet verschaffen van toegang tot Office 365, of delen daarvan. Het volstaat dan dus niet meer een juiste inlognaam en wachtwoord in te voeren (plus MFA-code natuurlijk), maar er wordt aanvullend gekeken naar zaken als locatie, het apparaat en de applicatie. Op basis van deze informatie wordt ofwel toegang geblokkeerd ofwel verleend, maar dan veelal met de eis naar aanvullende informatie/zekerheden.

Verder lezen

Vertrouwelijkheidslabels

Hier gaat het om dataclassificatie. Met vertrouwelijkheidslabels is op documentniveau (of Team-niveau) aan te geven welke beveiligingsmaatregelen wel en niet van toepassing zijn. Met Microsoft Information Protection zelfs rechtstreeks vanuit de Office apps. Het gaat bijvoorbeeld om de labels: 1) openbaar, 2) intern, 3) bedrijfsvertrouwelijk en 4) geheim. Aan ieder label zijn beveiligingseisen verbonden die bepaalde handelingen wel of niet toestaan. Op deze manier geef je concreet invulling aan ‘passende technische en organisatorische maatregelen’.

Verder lezen

Data Loss Prevention

Met behulp van DLP houd je grip op informatie op locaties als Exchange Online, SharePoint Online, OneDrive for Business en Teams. Maar ook binnen Word, Excel en PowerPoint werkt DLP. Je voorkomt het per abuis of intentioneel delen van gevoelige informatie met DLP-beleidsregels. Daarin kan je bijvoorbeeld definiëren dat BSN’s nooit per mail verstuurd mogen worden. Of dat bepaalde bestandsextensies niet in OneDrive opgeslagen mogen worden. Alle ‘overeenkomsten’ met een DLP worden overzichtelijk aan je gepresenteerd.

Verder lezen

Hopelijk ben ik erin geslaagd om je op hoofdlijn mee te nemen in de mogelijkheden Office 365 te beveiligen. Over alle onderwerpen valt nog meer te zeggen, maar dat laat ik graag aan de IT-specialisten over.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…