Aan de slag met de Compliance Score: Een goed begin is het halve werk!

Richard Fransen
24-sep-2020 10:08:56

In mijn vorige blog gaf ik u inzicht in de voor Nederlandse organisaties meest relevante informatiebeveiligingsnormen die door de Microsoft 365 Compliance Score worden ondersteunt. Op basis van uw doelen voor informatiebeveiliging heb ik vervolgens een 'formele' en een ínformele' weg beschreven.

Maar met welke norm(en) u ook begint, u krijgt te maken met honderden mogelijke verbeteracties.

Zo biedt de Compliance Center u 255 mogelijke verbeteracties om invulling te geven aan vereisten van de ISO-27001 norm. En als u kiest voor de Data Protection Baseline worden u zelfs 280 verbeteracties voorgeschoteld. Dus waar gaat u beginnen?

In dit blog geef ik vijf tips die u helpen om snel relevante voortgang te boeken met de Compliance Score. Hierbij neem ik de ISO-27001 norm als voorbeeld, maar de tips zijn evenzeer toe te passen op de Data Protection Baseline en de andere normen.

Begin bij het begin

De verbeteracties in de ISO-27001 zijn toe te wijzen aan verschillende thema's. En hoewel al die thema's belangrijk zijn, is er op hoofdlijnen wel een prioritering toe te kennen aan de thema's.

compliance score overzicht

Zo ligt het voor de hand te beginnen met beveiligen van de toegang tot uwMicrosoft 365 omgeving, en het beheren van de apparaten die gebruikt kunnen worden om informatie te verwerken op en te communiceren met uw Microsoft 365 omgeving.

Die noodzaak is - door de toename van werken-op-afstand - het afgelopen half jaar alleen maar relevanter en urgenter geworden. Door met die twee thema's te beginnen brengt u het aantal verbeteracties terug naar 63.

Het betekent echter niet dat u geen aandacht hoeft te besteden aan verbeter acties in de overige thema's. Als u bijvoorbeeld OneDrive voor Bedrijven gaat implementeren pakt u meteen de actie 'Store User Documents in OneDrive for Business' in het thema 'Protect Information' mee. En als u heeft gekozen voor een 'formele' route dan geeft u vast een hogere prioriteit aan het onderdeel 'Manage Compliance'.


Voorkomen is beter dan genezen

Per voltooide actie geeft de Compliance Score een aantal punten. Vanuit de gedachte 'voorkomen is beter dan genezen' krijgt u voor een 'preventieve' actie meer punten dan voor een 'correctieve' actie. Ook krijgt u extra punten als een gebruiker niet om een preventieve actie heen kan. Zo levert 'het invoeren van Multi-Factor Authenticatie voor Beheerders 27 punten op, terwijl het periodiek reviewen van de gebruikersaccounts maar 1 punt oplevert. Het ligt dus voor de hand om te starten met de 'verplichte en preventieve' acties.

Tezamen kennen 'Control Access' en 'Manage Devices' 44 acties waarvoor u per actie na voltooiing 27 punten krijgt.


Houd rekening met scope van uw Microsoft 365 implementatie

De verbeteracties omvatten de volledige implementatie van Microsoft 365. Waarschijnlijk heeft uw organisatie nog niet alle mogelijkheden in gebruik, en is uw organisatie dat ook niet van plan. Zo zijn bijvoorbeeld 6 verbeteracties binnen 'Manage Devices' gericht op Android apparaten. Maakt uw organisatie (nog) geen gebruik van Android apparaten, zet de status van de verbeteracties dan op 'Niet binnen het bereik' of 'Gepland' te zetten.


Informeel of formeel

Als u een de 'formele' weg neemt, is de kans groot dat u ook een onafhankelijke audit wil laten uitvoeren. In dat geval zult u meer prioriteit willen geven aan het thema 'Manage Compliance'. Neemt u daarentegen de ínformele' weg, dan zal hecht u waarschijnlijk meer belang aan de 'technische' en 'operationele' acties, dan aan de 'documentatie' acties.

Zo zijn 40 van de 121 acties binnen het thema 'Manage Compliance' gericht op 'Documentatie'. Maar 'Control Access' kent bijvoorbeeld geen 'Documentatie' acties. En 'Manage Devices' kent alleen maar 'Technische' acties.


Start met acties met een 'lage impact'

Iedere actie heeft impact! ICT-medewerkers en andere stakeholders zullen acties voorbereiden, uitvoeren, monitoren en ondersteuning  verlenen. En de werkwijze van eindgebruikers (maar ook ICT) zal vaak veranderen.

De ene verbeteractie kan soms erg veel voorbereiding vergen en ongemerkt door de gebruikers worden geactiveerd. Een andere actie is juist weer met twee 'klikken' te realiseren maar vergt wel een forse gedragsverandering van de gebruikers. Heeft u alle benodigde kennis en capaciteit in huis?

De invoering van Multi Factor Authenticatie verloopt heel anders dan de invoering van het classificeren van / toekennen van bewaartermijnen aan documenten. Maak vooraf voor elke verbeteractie een inschatting van de impact op de implementatie en beheer op het gebruik.

prioritering acties

Dat hoeft niet complex te zijn (zie onderstaande figuur voor het thema 'Control Access'). Begin waar mogelijk met de acties met een geringe impact voor zowel ICT als de gebruikers. Bepaal welke resultaten u: in één dag / week / maand kunt realiseren.

Tot slot

'Rome is niet in één dag gebouwd'. En zo is het ook met conformeren aan een norm voor informatiebeveiliging. Onderschat hierbij niet de communicatie die nodig is voor een blijvend succesvolle verandering! Sta van te voren stil hoeveel verandering uw organisatie kan realiseren én kan absorberen. En stel een team (met uw toeleveranciers) op dat alle aspecten van een fase kan afhandelen. In een volgend blog ga ik nader in op dat 'team'. Een sneak-preview over dat blog: er wordt aandacht besteed aan de rol van Microsoft Teams.

Nog geen reacties

Voel je vrij om te reageren...