Werken in de Cloud is de toekomst. Tenminste, volgens de leveranciers wel. Maar beveiliging is dan wel een essentieel punt. Hoe doe je dat? Laten we leren van de pioniers.

De PWN-case

PWN heeft lef. Dit waterleidingbedrijf met c.a. 600 medewerkers is overgestapt op Office 365 en SharePoint Online en werkt nu met een e-Plaza. DIV speelt hierbij een essentiële rol in de projectaanpak en besluitvorming. Maar vooral bij de Information Security.

Om de veiligheid te garanderen wordt Kennisportal e-Plaza met behulp van de ISO 27002 Praktijkrichtlijn voor Informatiebeveiliging tegen de ISO 27001 aangehouden. Daar speelt DIV-teamleider Hans Stoelman een hoofdrol bij. Hij heeft immers in de Governanceboard Contentbeheer en Informatiebeveiliging in zijn portefeuille.

Zo wordt er onder meer met twee-factor-authenticatie gewerkt. Daarnaast heeft Office 365 zijn eigen beveiliging in de Microsoft Cloud in Dublin en Amsterdam. Eindgebruikers worden getraind in juist gebruik, maar ook wordt voorkomen dat zij met vertrouwelijke informatie bewust of onbewust verkeerde dingen doen door het inrichten van Information Rights Management. Dit alles is niet alleen om de data en de klanten te beschermen, maar uiteraard staan er hoge boetes op privacy-schendingen. 

Beveiliging

Beveiliging van e-Plaza is dus gebaseerd op NEN/ISO 27001 en 27002, waarbij de Normen worden getoetst. O365 en daarbinnen SharePoint Online is gecertificeerd vanuit Microsoft voor de NEN Normering op basis van de gelijksoortige ISO normeringen.

Eén van de beoogde doelen van de e-Plaza is om zoveel mogelijk kennis te delen. Daarom wordt het principe “Open tenzij” gehanteerd. Afscherming van gevoelige gegevens vindt plaats door inrichting van aparte omgevingen met bijbehorende bevoegdheden. Voor externen gaat “Open tenzij” niet altijd op. Toegang voor externen wordt per site collectie ingesteld en kan daarbinnen per site verder worden ingericht. De keuze voor gebruik van Site Collecties per functionaliteit is daarin bepalend.

Office 365 en daarbinnen de SharePoint-omgeving wordt aangeduid als bedrijfskritisch systeem en valt onder het hiervoor van toepassing zijnde beveiligingsbeleid van PWN. Hierbinnen gaat speciale aandacht uit naar backup en recovery en beschikbaarheid van het systeem bij calamiteiten. PWN maakt zelf geen backups van de e-Plaza. Office 365 kent van zichzelf een hoge beschikbaarheid en Office 365 heeft een SLA van 99,9%. In de SLA en Service Description staat het backupbeleid beschreven.

PWN is nu eenmaal wettelijk verplicht om bewerkingsovereenkomsten te sluiten over de omgang met persoonsgegevens. Maar ja, een internationaal concern als Microsoft ziet je aankomen met je beveiligingseisen. Je moet dan echt je best doen, maar toch is er meer mogelijk dan je denkt.

Let wel: Een parallelsessie op 15 september gaat nader in Privacy in de Cloud, evenals op de Risico’s.

Misbruik
De e-Plaza is een omgeving met veel mogelijkheden en vrijheden voor de gebruikers. Hoewel er veel zaken via rechten en afspraken geregeld zijn, blijft ongewenst gebruik mogelijk. Er wordt een appèl gedaan op de verantwoordelijkheid van de eindgebruiker. Dit vraagt om een professionele omgang met de mogelijkheden, wat gedragen en vooral uitgedragen wordt door het management van PWN. In zijn algemeenheid is dit voor PWN-medewerkers geregeld in de Gedragscode ‘Zo werken wij bij PWN’ en de code ‘Werken buiten kantoor’ (inclusief Social Media Code), en voor externen middels een geheimhoudingsverklaring.

Boeiend toch? En dan hebben we het nog niet eens over de beheerstructuur, de centrale rol van DIV hierbij, het documentbeheer, Kennisportal e-Plaza, de Champions van DIV, kortom de ervaringen van deze pioniers... Zie daarvoor de links, het groene kader en vooral ook hieronder:

Meer weten?

15 september 2016 is er een Heterdaadsessie bij Waterleidingbedrijf PWN: Archiveren & Kennisdelen in SharePoint Puur, Geleerde Lessen. Privacy in de Cloud is daar het onderwerp van een parallelsessie.