Door: André Biesheuvel
Aanleiding
Veel bedrijven beheren in een MS 365 tenant hun persoons- en bedrijfsgegevens, waaronder hun bedrijfsgeheimen. De “customer stories” op de website van Microsoft geven inzicht in de toegevoegde waarde van een MS 365 tenant en een indruk van de achterliggende businesscases. Randvoorwaarde voor het benutten van de toegevoegde waarde is dat een MS 365 tenant passend bij het bedrijf is ingericht en aantoonbaar effectief wordt beheerd.[1]
Met aantoonbaar effectief beheren van de MS 365 tenant bedoelen wij dat de bedrijfsleiding en de medewerkers van een bedrijf er op kunnen vertrouwen dat de getroffen beheersmaatregelen afdoende en effectief zijn met als resultaat betrouwbare, vertrouwelijke en beschikbare persoons- en bedrijfsgegevens. Zo wordt het vertrouwen versterkt bij medewerkers, klanten, leveranciers en toezichthouders. De bedrijfsleiding verantwoordt zich over de effectiviteit van de getroffen maatregelen.
Het is niet alleen een bedrijfsmatig belang de persoons- en bedrijfsgegevens te beschermen. Ook de Europese en nationale wetgevers vragen steeds vaker aan de bedrijfsleiding zich te verantwoorden over de kwaliteit van deze gegevens. De wettelijke grondslag voor het overleggen van betrouwbare gegevens is soms impliciet (bijvoorbeeld fiscale wetgeving) en soms expliciet opgenomen in wet- en regelgeving (bijvoorbeeld artikel 5.2 Europese Algemene verordening gegevensbescherming (AVG)).
Bij het implementeren en beheren van de MS 365 en Azure tenants besteedt het bedrijf expliciet aandacht aan het treffen van effectieve beheersmaatregelen en het vervullen van de verantwoordingsplicht voor het organiseren van compliance met wettelijke en contractuele verplichtingen.
MS 365 en Azure bieden bedrijven een scala aan samenhangende beheersmaatregelen. Als gevolg van nieuwe inzichten veranderen beheersmaatregelen of komen nieuwe maatregelen beschikbaar. Microsoft partners staan klaar om bedrijven te ondersteunen bij het toepassen van de beheersmaatregelen of zelfs de toegepaste beheersmaatregelen te beheren. Hierdoor wordt verantwoording door de partner – voor de organisatie van de compliance met wettelijke en contractuele verplichtingen – een onderdeel van de verantwoording door de bedrijfsleiding.
Microsoft heeft er veel belang bij dat de beheersmaatregelen adequaat door bedrijven, indien van toepassing in samenwerking met hun partners, worden toegepast omdat het falen van maatregelen doorklinkt in de reputatie van MS 365 en Azure tenants.
In deze blog bespreken wij de beheersmaatregel “Role Based Access Control, RBAC”, als onderdeel van de Azure Active Directory (AAD).
Wat is RBAC?
Microsoft legt RBAC in haar documentatie uit aan de hand van voorbeelden. Het Amerikaanse NIST beheert een standaard voor RBAC. De meeste producten die op de markt verschijnen zijn in staat om deze standaard RBAC te volgen, zo ook Microsoft. Wij schetsen het basismodel.
Een korte toelichting op het model geeft aan wat de bedoeling is.
- User/ gebruiker – een geïdentificeerd persoon die toegang heeft tot een systeem;
- Role/ rol – een omschreven taak (geeft het niveau van de bevoegdheid weer);
- Permission/ bevoegdheid – kunnen wij ook omschrijven als toegangsrechten;
- Session/ sessie – een relatie tussen een persoon en een verzameling rechten voor een bepaalde tijd;
- Object – een systeemfunctie die openstaat voor bepaalde bevoegdheden; en
- Operation/ actie – een actie in een beveiligd netwerk.
De randvoorwaarde voor het effectief functioneren van een RBAC zijn het kennen van een persoon (een geauthentiseerde identiteit) en een effectief beveiligd netwerk met objecten. MS 365 en Azure tenants hanteren deze randvoorwaarden.
Bij het (her-)implementeren van MS 365 en Azure tenants biedt Microsoft een verzameling voorgedefinieerde rollen. Een bedrijf kan besluiten deze verzameling rollen uit te breiden. Voor het implementeren van MS 365 tenant tellen wij 81 voorgedefinieerde rollen. In onze situatie zijn er slechts drie medewerkers die betrokken zijn bij het organiseren van het effectief verwerken van persoons- en bedrijfsgegevens. De vraag rijst al snel: hoe gaan wij al deze rollen organiseren in een team van beperkte omvang.
Voor een bedrijfsbeleid dat uitgaat van RBAC standaard (NIST) biedt Microsoft de mogelijkheid dat het implementeren en beheren van RBAC in MS 365 en Azure tenants de aansturing van de RBACs van bedrijfsapplicaties verzorgt. Hiermee versterkt het bedrijf de effectiviteit van de beheersmaatregelen.
Organisatiemodel
Wij moeten eerst een organisatiemodel met taken, bevoegdheden en verantwoordelijkheden uitwerken alvorens wij de RBAC kunnen invullen op MS 365 en Azure tenants. De taken vloeien voort uit de bedrijfsactiviteiten die wij met bedrijfsprocessen organiseren en ondersteunen met IT, en worden aangestuurd door medewerkers. MS 365 is vooral gericht op het beheren en beveiligen van ongestructureerde persoons- en bedrijfsgegevens. Een Azure tenant is vooral gericht op gestructureerde gegevens. Per bedrijfsactiviteit beschouwen wij het verwerken van gegevens en stellen wij eisen aan de gegevensverwerkingen. Op hoofdlijnen kunnen de eisen betrekking hebben op:
- De toegankelijkheid voor toepassingen en gegevens (objecten en acties);
- Het gebruikersgemak voor interne en externe medewerkers;
- De classificatie van gegevenstypen, inzicht hebben waar de gegevens zijn en het borgen van de kwaliteit van de gegevensverwerking en -opslag;
- Het monitoren van de effectiviteit van de getroffen beheersmaatregelen en alert reageren op incidenten en datalekken; en
- Het vervullen van de verantwoordingsplicht voor het organiseren van compliance met wettelijke en contractuele verplichtingen aan toezichthouders en periodiek verantwoorden aan de bedrijfsleiding.
Toepassingen neemt het bedrijf af in de vorm van een SaaS (denk aan een boekhoudsysteem) of organiseert het bedrijf op een Azure tenant (denk aan virtuele machines waarop IT-programma’s draaien [IaaS] of functionele blokken zoals een Key Vault [PaaS]). Naarmate het bedrijf kiest voor IT leveranciers die de RBAC standaard voor hun software toepassen ontstaat een effectief toegangsmanagement waarmee de taken, bevoegdheden en verantwoordelijkheden van medewerkers effectief georganiseerd kunnen worden. Wij beperken ons in deze blog tot de scope van MS 365 tenant.
Het organisatiemodel begint met een bedrijfsbeleid waarin de bedrijfsleiding zich uitspreekt over het organiseren van ongestructureerde persoons- en bedrijfsgegevens, waaronder bedrijfsgeheimen. In het bedrijfsbeleid maakt de bedrijfsleiding onderscheid in drie vertrouwensclassificaties van gegevens (hoog, middel en laag). De leiding wenst te voldoen aan de NIST Security Controle Baseline en de TTP-policy waarin is opgenomen de TTP Gedragscode AVG.[2]
De medewerkers die betrokken zijn bij het beheer van de MS 365 en Azure tenants hebben MS trainingen en trainingsprogramma’s van Duthler Academy gevolgd. Het kennis- en verandermanagement is adequaat georganiseerd en de verandercapaciteit van de medewerkers is groot.
De basisimplementatie van de MS 365 tenant heeft plaatsgevonden (organisatie, licenties en tenants aangebracht, netwerk beoordeeld en ingericht, licenties afgenomen, medewerkers opgevoerd, computers en mobiele telefoons vastgelegd, Azure Defender ingericht en toepassingen geregistreerd) en wij staan nu voor de taak drie medewerkers te koppelen aan 81 rollen. Wij werken het organisatiemodel verder uit.
Organisatie van ongestructureerd gegevensbeheer
Een lid van de bedrijfsleiding is verantwoordelijk voor de effectieve werking van het gegevensbeheer. De bedrijfsleiding delegeert taken aan Operationeel beheer, het beheer van het organiseren van het beveiligen van gegevens, en de organisatie van compliance met wettelijke en contractuele verplichtingen, waaronder het adequaat beschermen van persoonsgegevens.
Om de verantwoordelijkheid te kunnen dragen, stelt het lid van de bedrijfsleiding periodiek vast dat niemand in de MS 365 tenant (het verantwoordingsgebied) de bevoegdheid van het delegeren van taken aan personen zonder zijn of haar medeweten kan uitvoeren. Wij kunnen ons voorstellen dat het lid gebruik maakt van een separate identiteit die gekoppeld is aan de globale beheerrol van de MS 365 tenant en het authentiseren van de identiteit met alle mogelijke preventieve en regressieve beveiligingsmaatregelen is omkleed.[3] Onder deze beheerrol delegeert het lid taken aan medewerkers en externe professionals.
In onze situatie heeft het lid van de bedrijfsleiding in diens rol van globale beheerder rollen/taken gedelegeerd aan Operationeel beheer (belast met de instandhouding van de MS 365 tenant), treffen van beveiligingsmaatregelen en organiseren van compliance. Naarmate de organisatie groter wordt zullen de rollen/taken van het Operationeel beheer aan andere medewerkers gedelegeerd worden. Veelal loopt het delegeren van rollen/taken langs de formele lijnen van de organisatie. Wij kunnen denken aan een HR-medewerker die verantwoordelijk is voor gebruikersbeheer of het beheren van gasten door een medewerker van de afdeling verkopen.
Bij het ontwerpen (en uitbouwen) van het organisatiemodel creëert de bedrijfsleiding interne controlepunten. Wij houden het uitvoeren van beveiligingsmaatregelen (organiseren van de beveiliging) en nagaan of de maatregelen effectief werken (organiseren van de compliance-functie) separaat.
Rollen toewijzen
Nr | Medewerker | Rol | Toelichting |
1. | Bedrijfsleiding | Globale beheerder | MS 365 tenant weet zeker dat de identiteit van de bedrijfsleiding goed is. |
2. | Operations | Operationele beheertaken | Voor medewerkers en partners de gegevensverwerking operationeel en beschikbaar maken en houden. |
3. | Beveiliging | Beveiligings-beheerder | Zorg voor “security en data protection by design”. Ontwikkelt beleid, stelt maatregelen voor en wikkelt incidenten en datalekken af. |
4. | Compliance en privacy (wellicht de FG) | Compliance-beheerder (waaronder privacy) | Organiseert “compliance by default”, geeft inzicht in compliance met beleid, wet- en regelgeving en baselines en rapporteert over bevindingen aan de bedrijfsleiding. |
Er kunnen meerdere rollen aan medewerkers worden toegewezen (zie manage admin roles). Aan het operationeel beheer worden veel rollen toegekend. Wij kunnen dat terugdringen door gebruik te maken van sub-identiteiten of persona’s.
De betrokken medewerkers moeten begrijpen wat van hen wordt verwacht. Met het doorlopen van het trainingen, expliciet maken van taken, bevoegdheden en verantwoordelijkheden en het periodiek evalueren van managementrapporten geeft de leiding een goede indruk van de volwassenheid van de MS 365 tenant.
Externe inzet kan effectief zijn
In een organisatie kunnen medewerkers die de beveiligings-, compliance- en/ of privacybeschermingsrollen moeten vervullen niet voorhanden zijn. In dergelijke situaties is het te overwegen externe professionals in te zetten die beschikken over voldoende vakinhoudelijke kennis en kunnen omgaan met MS 365 en Az tenants. Voor een bedrijf kan het vervullen van dergelijke rollen door externe professionals substantiële toegevoegde waarde opleveren. Wij zetten een aantal argumenten op een rij:
- De rollen beschermen van persoons- en bedrijfsgegevens, waaronder bedrijfsgeheimen en organiseren van compliance kan de globale beheerder delegeren aan externe professionals;
- Veelal is in de organisatie vakinhoudelijke kennis op het vlak van het organiseren van veilig verwerken van gegevens en compliance niet aanwezig;
- Bedrijfsmatig en ook wettelijk is het beveiligen van gegevensverwerking en compliant zijn met wettelijke en contractuele verplichtingen noodzakelijk voor de continuïteit van de bedrijfsvoering;
- Door gebruik te maken van professionele kennis en deze te laten ondersteunen door de beheersmaatregelen van MS 365 tenant ontstaat een weerbare bescherming van persoons- en bedrijfsgegevens, waaronder de bedrijfsgeheimen;
- Er wordt maximaal bedrijfsmatig gebruik gemaakt van de functionaliteiten van MS 365 tenant. De bedrijfsleiding is geïnformeerd over relevante actuele cyberdreigingen en passende antwoorden die in MS 365 tenant worden geboden; en
- Eventuele certificeringstrajecten worden in het werk voorbereid en het uitvoeren van audits wordt beperkt tot doorlopen van het bewijs van effectieve werking van de beheersmaatregelen.
De bedrijfsleiding maakt niet alleen de organisatie van de bedrijfsactiviteiten effectiever, maar ook de organisatie van het beveiligen van gegevensverwerking en de compliance met wettelijke en contractuele verplichtingen.
Met een beperkte wekelijkse, of voor organisaties met een beperkte bedrijfsomvang, maandelijkse inzet van de professional bereikt het bedrijf een hoger volwassenheidsniveau voor beveiliging van gegevens, in het bijzonder bedrijfsgeheimen, organiseren van compliance met wettelijke en contractuele verplichtingen en/ of beschermen van persoonsgegevens.
Zie de blog ‘toepassen van IT-clouddiensten is een organisatievraagstuk’.
Laat rollen niet slingeren of onbenut
Wij komen veelvuldig situaties tegen van interne en externe personen die betrokken zijn bij het beheren van functies van MS 365 en/ of Az tenants en beschikken over alle beheerdersrechten. Dit is onwenselijk en ronduit gevaarlijk voor het adequaat beheren van tenants. Het gradueel inregelen van de rechten geeft de bedrijfsleiding meer zekerheid dat beveiligingsmaatregelen effectief zijn. Compliance stelt dat vast.
Andersom geldt ook. Een persoon koppelen aan een rol laat veel rollen en daarmee functionaliteiten onbenut. Aan de vooringestelde rollen op MS 365 tenant kunnen wij in een oogopslag afleiden welke functionaliteiten toegevoegde waarde voor een bedrijf kunnen leveren.
Tenslotte
Het hanteren van een praktisch organisatiemodel gericht op het verwerken van ongestructureerde persoons- en bedrijfsgegevens, waaronder bedrijfsgeheimen, biedt de medewerkers houvast bij het inregelen van de bedrijfsprocessen/ toepassingen en de ondersteunende IT van MS 365 tenant. Het brengt de MS 365 tenant tot leven.
MS 365 biedt een scala aan beheersmaatregelen die met name organisaties met een bescheiden bedrijfsomvang in staat stellen de bedrijfsactiviteiten effectief te organiseren. Kennis- en verandermanagement zijn randvoorwaardelijk en kunnen voor beveiligings- en compliancerollen door externe professionals ondersteund worden.
Meer weten?
Wilt u meer weten naar aanleiding van de bovenstaande blog? Neem dan gerust contact met ons op.
[1] Wij hebben voor deze blog AZ 900, AZ 500, MS 900, MS 100 en Microsoft publicaties gebruikt. Wij hebben de blog ingekleurd met onze ervaringen en het organiseren van MS 365 en Azure tenants voor bedrijfsonderdelen van Duthler Associates.
[2] De TTP Gedragscode AVG vormt een onderdeel van de MYOBI TTP-policy. Duthler Associates heeft deze gedragscode opgenomen in haar MS 365 en Azure tenants.
[3] Op deze wijze is enige functiescheiding in de organisatie met beperkte omvang mogelijk. Het is overigens ongewenst dat het lid van de bedrijfsleiding met zijn “dagelijks” profiel de beheerrechten op de tenant toegekend krijgt. De kans dat het “dagelijks” profiel gecompromitteerd wordt is groter dan een separaat beheerdersprofiel.