Informatiebeveiliging
in de Cloud...
Informatiebeveiliging bij SharePoint Online en Office 365 (PWN)
Werken in de Cloud is de toekomst. Tenminste, volgens de leveranciers wel. Maar beveiliging is dan wel een essentieel punt. Hoe doe je dat? Laten we leren van de pioniers.
De PWN-case
PWN heeft lef. Dit waterleidingbedrijf met c.a. 600 medewerkers is overgestapt op Office 365 en SharePoint Online en werkt nu met een e-Plaza. DIV speelt hierbij een essentiële rol in de projectaanpak en besluitvorming. Maar vooral bij de Information Security.
Om de veiligheid te garanderen wordt Kennisportal e-Plaza met behulp van de ISO 27002 Praktijkrichtlijn voor Informatiebeveiliging tegen de ISO 27001 aangehouden. Daar speelt DIV-teamleider Hans Stoelman een hoofdrol bij. Hij heeft immers in de Governanceboard Contentbeheer en Informatiebeveiliging in zijn portefeuille.
Zo wordt er onder meer met twee-factor-authenticatie gewerkt. Daarnaast heeft Office 365 zijn eigen beveiliging in de Microsoft Cloud in Dublin en Amsterdam. Eindgebruikers worden getraind in juist gebruik, maar ook wordt voorkomen dat zij met vertrouwelijke informatie bewust of onbewust verkeerde dingen doen door het inrichten van Information Rights Management. Dit alles is niet alleen om de data en de klanten te beschermen, maar uiteraard staan er hoge boetes op privacy-schendingen.
Beveiliging
Beveiliging van e-Plaza is dus gebaseerd op NEN/ISO 27001 en 27002, waarbij de Normen worden getoetst. O365 en daarbinnen SharePoint Online is gecertificeerd vanuit Microsoft voor de NEN Normering op basis van de gelijksoortige ISO normeringen.
Eén van de beoogde doelen van de e-Plaza is om zoveel mogelijk kennis te delen. Daarom wordt het principe “Open tenzij” gehanteerd. Afscherming van gevoelige gegevens vindt plaats door inrichting van aparte omgevingen met bijbehorende bevoegdheden. Voor externen gaat “Open tenzij” niet altijd op. Toegang voor externen wordt per site collectie ingesteld en kan daarbinnen per site verder worden ingericht. De keuze voor gebruik van Site Collecties per functionaliteit is daarin bepalend.
Office 365 en daarbinnen de SharePoint-omgeving wordt aangeduid als bedrijfskritisch systeem en valt onder het hiervoor van toepassing zijnde beveiligingsbeleid van PWN. Hierbinnen gaat speciale aandacht uit naar backup en recovery en beschikbaarheid van het systeem bij calamiteiten. PWN maakt zelf geen backups van de e-Plaza. Office 365 kent van zichzelf een hoge beschikbaarheid en Office 365 heeft een SLA van 99,9%. In de SLA en Service Description staat het backupbeleid beschreven.
PWN is nu eenmaal wettelijk verplicht om bewerkingsovereenkomsten te sluiten over de omgang met persoonsgegevens. Maar ja, een internationaal concern als Microsoft ziet je aankomen met je beveiligingseisen. Je moet dan echt je best doen, maar toch is er meer mogelijk dan je denkt.
Let wel: Een parallelsessie op 15 september gaat nader in Privacy in de Cloud, evenals op de Risico’s.
Misbruik
De e-Plaza is een omgeving met veel mogelijkheden en vrijheden voor de gebruikers. Hoewel er veel zaken via rechten en afspraken geregeld zijn, blijft ongewenst gebruik mogelijk. Er wordt een appèl gedaan op de verantwoordelijkheid van de eindgebruiker. Dit vraagt om een professionele omgang met de mogelijkheden, wat gedragen en vooral uitgedragen wordt door het management van PWN. In zijn algemeenheid is dit voor PWN-medewerkers geregeld in de Gedragscode ‘Zo werken wij bij PWN’ en de code ‘Werken buiten kantoor’ (inclusief Social Media Code), en voor externen middels een geheimhoudingsverklaring.
Boeiend toch? En dan hebben we het nog niet eens over de beheerstructuur, de centrale rol van DIV hierbij, het documentbeheer, Kennisportal e-Plaza, de Champions van DIV, kortom de ervaringen van deze pioniers... Zie daarvoor de links, het groene kader en vooral ook hieronder:
Meer weten?
15 september 2016 is er een Heterdaadsessie bij Waterleidingbedrijf PWN: Archiveren & Kennisdelen in SharePoint Puur, Geleerde Lessen. Privacy in de Cloud is daar het onderwerp van een parallelsessie.
donderdag 15 september 2016
Nieuws, Activiteiten en Tips van het Papieren Tijger Netwerk.
Papieren Tijger Netwerk
Een Papieren Tijger is een klantgerichte professional rond document/informatie/content/kennis: iemand met oog voor visie en beleid, die zijn oor te luisteren legt bij anderen en zijn tanden zet in nieuwe dienstverlening!
Het Papieren Tijger Netwerk telt ruim 700 eigenzinnige Document-, Kennis- en Contentprofessionals met als missie: elkaar scherp houden met een knipoog; stimuleren van een persoonlijke visie en rol in het SharePoint-, Cloud- en Content Management-tijdperk.
Het Netwerk bevordert kennisdeling door bijeenkomsten (o.a. Heterdaadsessies), cursussen, het Kenniscentrum en andere vormen van netwerken. En natuurlijk deze Nieuwsbrief...
Join de Group ‘Papieren Tijger Netwerk’ op LinkedIn!
Reactie? Commentaar? Wat vind je van dit artikel? Klik hier.
Of reageer op de LinkedIn groep van het Netwerk.
Wie heeft de sleutel van mijn info-kluis?
De Heterdaadsessie bij PWN staat in het teken van Archiveren en Kennisdelen met SharePoint Puur, Geleerde Lessen...
Aan bod komen bijv. Lessen van de Pioniers, Kennisportal e-Plaza, Profilering DIV, Privacy in de Cloud...
Hieronder alvast wat achtergrond-informatie over het item Informatie-beveiliging in de Cloud.
index Kenniscentrum
• Aanpak: succes (DOK)
• Aanpak: verleiden (DNB)
• Actualiteitsmonitoring (Den Haag)
• Afdelingsnaam (CBS)
• Archiveren anno 2011 (TUD)
• Attendering (ING)
• Auteursrechten vs. Open Access (TUD)
• Bibliotheekrobot Randtriever (Erasmus)
• Challenging Minds (ING)
• Champions (PWN)
• Channelmanagement (UWV)
• CoachingOurselves (ING)
• Competenties (DNB)
• Contentintegratie en databases (RWS)
• Contentintegratie (Praktizijnsbibliotheek)
• Contentmanagement (CBS)
• Corporate DMS/eDocs (Den Haag)
•Data Archivering (TUD)
•Delve (PWN)
• Dienstverleningsovereenkomst (KIT)
• Digibib en Social Media (RWS)
• Digital Natives (CBS)
• Digitale Innovatie (KIT)
• Digitaliseren op verzoek (Den Haag)
• Digitalisering tabellen (CBS)
• DIV (KdK)
• DIV Beleid: Strategisch Kader (Ymere)
• DIV-Beleid: Wet en Techniek (Ymere)
• DIV in de Cloud (PWN)
• DMS: SharePoint (AFM)
• Documentbeheer in de Cloud (PWN)
• Dossiers (CBS)
• Elektronisch Archief/Dossier (UWV)
• Erfgoed uitdragen (KIT)
• FlexDIV
• Games (DOK)
• Het Nieuwe Werken (Ymere)
• Het Nieuwe Werken Case TU (TUD)
• Het Nieuwe Werken Context (Ymere)
• HNW volgens Yahoo! (RWS)
• Impact Monitoring (Erasmus)
•Informatiedienstverlening (DNB)
• Informatieplattegrond (AFM)
• Innovatieve Kennisontwikkeling (RWS)
• Inputmanagement (UWV)
• Interne Marketing (TUD)
• iPhone (UMCG)
• Kennis Café (ING, TUD, Deltares)
• Kenniscockpit (UMCG)
• Kennisportal e-Plaza (PWN)
• Kwaliteits Award (AFM)
• LinkedIn (UMCG)
• Van LiveLink naar SharePoint (AFM)
• Metadatering modellen (RWS)
• Mobiel DMS (Den Haag)
• Multitouch (DOK)
• Netvibes (DOK, UMCG)
• Nieuwe media (ING)
• Newsdesk (Buitenlandse Zaken)
• Open source kennisbronnen (ING)
• Open Acces/Repositories (Erasmus)
• Outputmanagement (UWV)
• Overleven in zwaar weer (KIT)
• Portal/zoekmachine (CBS)
• Portals: gapende lacunes (Praktizijn)
• Post na evacuatie (RWS)
• Projectarchivering (RWS)
•Records Continuüm (Den Haag)
•Red je iNek (PWN)
• Repositories/Open Acces (Erasmus)
• Research Data Management (Erasmus)
• RMA: SharePoint (AFM)
• Schakelfunctie (Praktizijnsbibliotheek)
• Second Life (UMCG)
• SharePoint 2010 (Ymere)
•SharePoint & Archivering (TUD)
•SharePoint: de Experts (Deltares/TUD)
•Social Media (AFM)
•So You Think You Can Google (DNB)
•Stukkenstroom (KdK)
•Substitutie (RWS)
• Taxonomie (CBS)
• Tegendraadsessie (Praktizijnsbibliotheek)
• Tools (UMCG)
• Transformatie (CBS)
• User Experience (DOK)
• Verandermanagement (AFM)
• Visie & Beleid (UWV)
• Vraag en Aanbod (Deltares)
• Web 2.0 (TUD)
• Werkvormen (Deltares)
Program Sessie PWN: Archiveren & Kennisdelen met SharePoint Puur
Plenair
๏Live demo
• Ontvangst met broodjes
• Rondleiding Kantoor
• Netwerkborrel
Parallelsessies (2 uit 4)
๏Schonen van Fileshares/netwerkschijven
Zie ook
๏Mens achter de Tijger Hans Stoelman
๏Mens achter de Tijger Margreet Zwenne
๏Mini-site over de sessie