Secure Score. Is mijn Office 365 omgeving wel veilig?

Eén van de onderwerpen die tijdens mijn trainingen vaak aan bod komt is de veiligheid van Office 365. Veiligheid wordt natuurlijk primair gecreëerd door maatregelen die Microsoft zelf neemt. Maar daarnaast is er de vraag wat je zelf  kunt bijdragen om je omgeving zo veilig als nodig in te stellen. Om alle mogelijkheden die Office 365 biedt te illustreren laat ik wel eens het volgende plaatje zien om te tonen hoeveel opties er zijn om de beveiliging van Office 365 in te stellen:

Zoals  je ziet zijn dat er heel veel. En eigenlijk is dit plaatje niet eens compleet. Het aantal opties dat Office 365 biedt om gegevens te beveiligen, authenticatie in te richten, auditing te implementeren, compliant aan de wetgeving te blijven lijken wel eindeloos. En terecht, als je je gegevens in de handen van Microsoft legt, moet je wel zeker zijn dat ze daar veilig zijn en wil je daar zelf controle op uit kunnen oefenen.

Toch zal het menigeen duizelen bij alle opties die Microsoft biedt. Welke opties zijn nu echt belangrijk en welke zijn minder belangrijk voor onze school of organisatie? Keuzestress! En keuzestress kan leiden tot verkeerde keuzes of geen keuzes…

Om die reden heeft Microsoft een nieuwe tool gelanceerd: de Secure Score. Deze geeft je hele Office 365 omgeving een cijfer om aan te geven hoe het met de veiligheid van je omgeving gesteld is. Een cijfer tussen de 1 en de 430 (op dit moment). Dat cijfer wordt bepaald door alle instellingen die je zelf hebt gedaan.  Op de manier krijg je een top-down indicatie die je een gevoel geeft hoe “je het doet” ten opzichte van je doelstelling, maar ook ten opzichte van de andere Office 365 klanten. Een (eenvoudige) benchmark dus.

De Secure Score kan er bijvoorbeeld als volgt uitzien:

In dit voorbeeld scoren we dus 58 punten van de doelstelling van 257 punten. En deze doelstelling is iets wat je zelf kunt bepalen. Wil je dan niet het maximale doen aan veiligheid? Omdat veiligheid ook ten koste kan gaan van gebruikersgemak, denk ik dat je hier wilt kiezen voor een balans tussen veiligheid en gebruikersgemak. Je wilt voorkomen dat je docenten ’s ochtends bij het starten van de les hun laptop openklappen en vervolgens door 2 lagen beveiliging heen moeten, waarbij ze ook nog hun mobiele telefoon nodig hebben om de authenticatie te voltooien. Deze docent kan zijn kostbare tijd wel beter gebruiken!

Deze balans tussen veiligheid en gebruikersgemak is dus iets wat je zelf kunt instellen door een doelstelling, of een targetscore op te geven. Deze ligt vanzelfsprekend in tussen de huidige score en de maximale score (van 430). De target score stel je met een schuifbalk in waarbij de tool zelf direct indicaties geeft hoeveel acties je nog moet instellen om deze doelstelling te behalen. In het voorbeeld hieronder dus nog 16 acties.

Het handige is dat je na het instellen van je targetscore direct een lijst te zien krijgt met daarin de details van de benodigde acties. Je krijgt een toelichting te zien waarom deze instelling belangrijk is én je krijgt een link naar de plek waar de configuratie uit te voeren is! Een hele handige top-down benadering dus.

Hierboven kun je zien dat we voor 4 van de 5 admin accounts als Multi Factor Authentication hebben ingesteld. En Microsoft adviseert ons dus om dit ook voor het 5e account in te stellen. We verdienen daarmee maar liefst 13 punten!

Door de acties 1 voor 1 af te lopen zie je dus wat je zelf nog kunt instellen. Natuurlijk ben je helemaal vrij om hierin zelf keuzes te maken maar je krijgt wel een idee wat Microsoft belangrijk vindt en welke opties er allemaal zijn.

Twee opties die recent zijn toegevoegd zijn “Ignore” en “Third Party’.

Met Ignore geef je aan dat je deze aanbeveling niet wilt implementeren. Je krijgt dan vanzelfsprekend ook niet de bijbehorende score.

Met Third Party kun je aangeven dat je deze actie buiten de Office 365 omgeving hebt geïmplementeerd met een externe tool of door een externe partij. In tegenstelling tot de vorige optie krijg je met deze optie dan wel de volledige score voor deze actie.

Om te kijken hoe je het doet ten opzichte van de rest van de Office 365 omgevingen toont de tool ook een vergelijking:

Doen wij het nu zo goed of laten anderen behoorlijk wat steken vallen?? Met deze gemiddelde score snap ik dat Microsoft er alles aan doet om iedereen kritisch naar zijn eigen beveiligingsniveau te laten kijken 😉

Naast de actuele instellingen kun je in deze tool ook nog een historisch overzicht krijgen van de ontwikkeling van je Secure Score.

Conclusie

Microsoft doet er alles aan om aan hun kant de zaken goed op orde te brengen en alles te doen aan beveiliging wat mogelijk is. Maar als wij onze omgeving niet goed beveiligen, zwakke wachtwoorden hebben, niet goed nadenken over compliancy etc, dan zijn wij de zwakke schakel. Om in het oerwoud aan beveiligingsinstellingen toch de meest essentiële instellingen te kunnen terugvinden en uitvoeren, biedt de Secure Score uitkomst. Al met al een hele nuttige tool voor beheerders en eindverantwoordelijken binnen bedrijven en scholen om een gevoel van veiligheid te krijgen en te vergroten.

Vind je deze tool nuttig? Ben je tevreden over de beveiligingsmogelijkheden die Microsoft biedt? Ik hoor het graag in een reactie hieronder!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *