Onderdeel van FORTEZZA Groep

  070 327 7281  sales@fortezza-groep.nl

Zo werkt u optimaal samen in een

veilige en transparante Teams-omgeving

Steeds meer organisaties zien in dat Microsoft Teams meer is dan een tool voor video-vergaderen. Dankzij de integratie met Microsoft 365 en andere applicaties ontdekt men steeds weer nieuwe mogelijkheden om efficiënt samen te werken in Teams. Dit brengt helaas vaak ook beveiligingsrisico’s met zich mee. In deze blog vertellen Yorick (technisch consultant bij Fortezza IT) en Juliëtte (transformatie consultant bij Fortezza Consulting) hoe u alles uit de mogelijkheden die Teams biedt haalt én hoe u de samenwerkingstool veilig inricht en gebruikt.

Het gebruik van Microsoft Teams is sinds de coronapandemie en het noodgedwongen thuiswerken wereldwijd geëxplodeerd. Nu het nieuwe werken here to stay is, wordt het dringend tijd om goed na te denken over een veilige inrichting én gebruik van Teams. De snelheid waarmee Teams is uitgerold is namelijk vaak ten koste gegaan van de veiligheid. “Wij merken dat organisaties vaak verkeerd omgaan met Teams, omdat ze het niet goed ingericht hebben of omdat de gebruikers het niet goed kennen. Óf ze blokkeren alles, waardoor medewerkers niet kunnen beschikken over handige functionaliteiten, óf ze zetten juist alles – meestal onbewust- volledig open. Dit leidt vaak tot onoverzichtelijkheid en ongecontroleerde chaos, waardoor veiligheidsrisico’s en een wirwar aan teams en kanalen ontstaan. Organisaties realiseren zich niet wat voor gevolgen beide benaderingen kunnen hebben”, vertelt Yorick.

Datalekken en schaduw-IT

Medewerkers kunnen in het laatste geval (het helemaal openzetten van Teams) binnen Teams-sites en -kanalen bijvoorbeeld willekeurig en ongecontroleerd data delen binnen en buiten de organisatie, ook als dat niet de bedoeling is. Zo zouden er datalekken kunnen ontstaan of is er mogelijk sprake van dubbele data, omdat gegevens op meerdere plekken worden opgeslagen. Hier hangt natuurlijk een prijskaartje aan. Daarnaast is er weinig zicht en grip op je data, omdat iedereen in dit geval personen kan toevoegen, wat niet handig is met het oog op de beveiliging.

Aan de andere kant zorgt alles dichtzetten in Teams ervoor dat er schaduw-IT binnen organisaties ontstaat. Yorick: “Omdat Teams niet bruikbaar is ingericht, gaan medewerkers andere producten gebruiken. Ik heb echt de meest belachelijke alternatieven voorbij zien komen. Hierdoor komt je data in systemen en apps te staan die je niet beheert, waardoor je de grip op je data verliest.”

Als Teams goed is ingericht voorkom je dus schaduw-IT en datalekken. Bovendien zorgt veilig en transparant werken in Teams voor eenduidigheid, standaardisatie en structuur. Juliëtte: Op deze manier kan je kaderen hoe je medewerkers kunnen samenwerken en weet iedereen wie er bij welke data mag en waar die data is terug te vinden.”

Bespaar ook op je kosten

Er zit naast de veiligheidskant ook een kostenkant aan een goede inrichting van Teams. “In Microsoft 365 wordt vaak nog niet de volledige functionaliteit benut van applicaties, waardoor er externe tools en systemen worden aangeschaft voor iets dat al kan, zoals het delen van bestanden in de cloud. Vaak zit deze functionaliteit al bij de licentie inbegrepen. Dit kan bijvoorbeeld prima via Teams en SharePoint. Het is zonde van het geld om daar een aparte tool voor aan te schaffen”, vertelt Yorick.

De twee Fortezza-consultants benadrukken dat er evenveel aandacht moet zijn voor de technische als de menselijke insteek bij het veilig inrichten en gebruiken van Teams. Er zijn namelijk allerlei technologische oplossingen om Teams veiliger en transparanter in te richten, maar je zult je gebruikers ook moeten voorlichten en trainen. “We kunnen alles technisch wel dichtzetten, maar daarmee zet je niet de risico’s op nul. Kwaadwillenden zullen altijd naar alternatieven uitwijken en er is altijd wel een loophole te vinden, zodat een hacker toch naar binnen kan komen”, vertelt Juliëtte.

Creëer security awareness

Daarom is awareness creëren op het gebied van security enorm belangrijk. En dat doe je volgens haar niet af met een enkele training of informatiesessie. “Hier moet continu aandacht voor zijn, omdat de ontwikkelingen razendsnel gaan. Maak voor nieuwe medewerkers de training onderdeel van het onboarding-proces en herhaal de training voor iedere medewerker tenminste jaarlijks. Stuur een nieuwsbericht uit bij breaking news, zodat iedereen binnen je organisatie weet wat er speelt en weet wat het moet doen en richt een Learning Management Systeem (LMS) in of een speciaal hoekje op intranet waar iedereen informatie, e-learnings en trainingen kan vinden.” Je kunt ook een toegewijde LMS-knop integreren in de taakbalk van Teams, zodat iedereen makkelijk meer informatie en tips en tricks kan terugvinden met één druk op de knop.

Verder is het ook belangrijk om niet iedereen eigenaarsrechten te geven binnen Teams-sites en -kanalen. Juliëtte: “Beleg dit bij hooguit twee personen per team. Alleen zij mogen personen toevoegen of verwijderen. Zo houd je controle op de toegang. Deze personen zijn ook de enigen die de structuur van het team kunnen wijzigen, zoals kanalen toevoegen/hernoemen/verwijderen en tabbladen aan een kanaal toevoegen. Zo behoed je je organisatie voor onlogische keuzes of spontaan verdwijnende kanalen en/of tabbladen.”

Wat is technisch allemaal mogelijk?

Dan zijn we nu aangekomen bij de techniek. Wat kan je als organisatie doen om de beveiligingsrisico’s bij de inrichting van Teams tot een minimum te beperken? Allereerst zal je moeten bepalen hoe je omgaat met het toelaten van externen en welke rechten je ze geeft. Je kunt dit doen op verschillende niveaus. Dit kan door onderscheid te maken tussen domeinen en per domein beperkingen op te leggen. Daarnaast kan je sensitivity labels gebruiken: je bepaalt dan op teamniveau wat wel en niet mag. Zo zijn er bijvoorbeeld labels als ‘alleen voor intern gebruik’, ‘vertrouwelijk’ ‘ook voor extern gebruik’, et cetera. Die labels geven Teams-sites standaard instellingen of beperkende functionaliteiten mee, zoals: mag je data wel of niet met externen delen, welke kanalen mag je aanmaken? Etc. Zo dwing je als organisatie instellingen af waar je als gebruiker niet omheen kunt.

Een derde mogelijkheid is auditlogging. Met behulp van een audit trail kunnen organisaties of een eventuele toezichthouder data-transacties administratief volgen en controleren. Zo kan je bijvoorbeeld medewerkers of externen die niet meer voor de organisatie werken of van functie veranderd zijn geen toegang meer verstrekken tot een bepaald Teams-kanaal of -site, of je kunt rechten compleet intrekken. Zo bouw je aan de achterkant en soort safety switch in om controle te houden. Tot slot zijn er nog IAM-oplossingen. IAM staat voor Identity en Access Management, waarbij rechtenbeheer automatisch, vaak role based of attribute based, wordt uitgevoerd.

Voordelen zijn evident

De voordelen voor organisaties van een veilige en transparante inrichting van Teams zijn evident. Je verlaagt niet alleen de kans op datalekken, dubbele data en schaduw-IT, je krijgt ook meer grip op je data, verlaagt de kans op fouten en werkt efficiënter samen met minder gedoe voor je gebruikers. Yorick: “Je kunt overigens nog dieper de techniek in gaan, door op bestandsniveau settings af te dwingen voor bepaalde gebruikers. Dan ga je dus eigenlijk meer de SharePoint-kant op. Daarnaast kan je aangeven welke applicaties er wel en niet kunnen worden gebruikt binnen een Teams-site. Zo kan je bijvoorbeeld het versturen van gifjes onmogelijk maken. Ik heb bij een klant meegemaakt dat er een gast binnen kwam op een Teams-site en dat die persoon gif-animaties, emoji’s of stickers stuurde. Zodra je erop klikte werden er bestanden gegijzeld. Zulk soort dingen zijn dus relatief eenvoudig te voorkomen.” Juliëtte vult aan: “Daarnaast zijn de medewerkers geïnformeerd, zodat ze in het vervolg extra alert zijn op bijzondere chatberichten. Bewustzijn creëren is minstens zo belangrijk als de techniek veilig inrichten.”

Wil je weten wat er op dit vlak allemaal nodig is of wil je eens vrijblijvend sparren met een van de consultants van Fortezza over het veiliger inrichten en gebruiken van je Teams-omgeving? Neem contact met ons op

© 2024