Sharepoint voor informatieprofessionals: hoe veilig zijn documenten in de cloud?

SharePoint Online is in de cloud beschikbaar als onderdeel van Office 365. Dat omvat onder andere de bekende Office-programma’s, maar dus óók SharePoint. Stel dat een organisatie Microsoft SharePoint heeft omarmd en nu ook ‘cloud-ready’ wil zijn en wil overstappen of uitbreiden naar SharePoint Online in Office 365: hoe is dan de beveiliging van de documenten gewaarborgd?

Door: Eric Burger

Onlangs pochte Microsoft dat het in de voorafgaande twaalf maanden 450 updates had toegevoegd aan Office 365. Vanuit de cloud worden niet alleen de bekende Office-applicaties Word, Excel, Powerpoint en Outlook aangeboden, maar een voortdurend groeiende hoeveelheid nieuwe applicaties. Zo is er nu ook een videoportaal, een applicatie voor storytelling (Sway), een soort automatische contentcurator (Delve) en documentopslag met OneDrive for Business (de bedrijfsversie van OneDrive, vergelijkbaar met Dropbox, Box en Google Drive).

Ook is er een online versie van SharePoint beschikbaar: SharePoint Online, in Office 365 kortweg aangeduid als ‘Sites’. Functionaliteiten worden aan SharePoint Online en de rest van Office 365 voortdurend toegevoegd en niet langer in meerjaarlijkse cycli (2007, 2010, 2013, et cetera), zoals bij de server-gebaseerde versie van SharePoint (‘SharePoint on premise’). Maar hoe heeft Microsoft de beveiliging geregeld?

Veiligheid

Microsoft kent de zorgen van veel organisaties over de veiligheid van informatie in de cloud. Zij werkt in Office 365 daarom aan zogenaamde ‘unified policies and pervasive controls’ op het gebied van wet- en regelgeving, oftewel compliance. ‘Unified’ in de zin dat maatregelen voor alle toepassingen tegelijk kunnen gelden, bijvoorbeeld én voor documenten in SharePoint én voor e-mail. En ‘pervasive’, omdat toe te passen maatregelen geldig moeten blijven, in het systeem, maar ook na verplaatsing of verzending.

Een voorbeeld: documenten die per e-mail verstuurd worden zijn alleen toegankelijk voor de officiële ontvanger. Het document is niet als bijlage toegevoegd, maar als link die de ontvanger naar de opgeslagen locatie op Office 365 verwijst. Het eigenlijke bestand staat dus nog steeds in de (beveiligde) Office-omgeving en de link is alleen te gebruiken voor de officiële ontvanger van de mail.

Microsoft maakt een onderscheid tussen enerzijds de ingebouwde veiligheid van Office 365, dus de fysieke beveiliging van datacenters (voor Europese klanten in Dublin en Amsterdam), de versleuteling van gegevens, de beperkte toegang van administrators en anderzijds de ‘customer controls’. Het laatste wil zeggen dat de organisatie functionaliteiten krijgt aangeboden om de beveiliging, het behoud of juist verwijdering van informatie nog verder te verbeteren. Bijvoorbeeld door te belemmeren om vertrouwelijke gegevens en documenten te versturen. Of door tablets, notebooks en mobieltjes te beveiligen.

Onveiligheid

Steeds meer organisaties gaan op dit moment over op Office 365 en laten zo hun bezwaren tegen de vermeende en reële onveiligheid van dit product steeds gemakkelijker varen. Wat voor bezwaren zijn dat, tegen die vermeende onveiligheid?

Er is een groot verschil tussen de gebruikersvoorwaarden, beveiliging en functionaliteiten van opslag in de doorgaans gratis consumenten cloudoplossingen (als Google Drive, Dropbox, Box en OneDrive) ten opzichte van een zakelijke en betaalde oplossing als Office 365. Bij die gratis diensten heb je als consument weinig rechten en kan het zelfs zijn dat informatie uit de inhoud wordt gebruikt om advertenties aan te bieden. Ook bij het staken van de dienst zijn er weinig rechten voor de consument.

Desalniettemin maken management en medewerkers in organisaties volop gebruik van deze gratis cloud-oplossingen. De manager downloadt alle notulen van directievergaderingen naar zijn cloudmail of cloud-opslag (dat werkt fijner op zijn iPad) en de medewerker voert hele projecten uit met collega’s en externen via Dropbox. Om nog maar te zwijgen van de bedrijfspresentaties die achteloos in Prezi worden gemaakt (en niet in een betaald bedrijfsaccount) en vervolgens met cijfers en al online worden gezet.

Deze onveiligheid geldt dus niet voor Office 365. Het is een geheel ander platform, dat aan zware Amerikaanse en internationale normen voldoet voor informatiebeveiliging.

Amerikaanse rechtszaak

Wel ligt er nog een reële onveiligheid op de loer: die van de Amerikaanse claim op toegang. Hoewel de belangrijkste afluisterbepalingen met het beëindigen van de USA PATRIOT Act zijn komen te vervallen, wil de Amerikaanse justitie via een rechtszaak toegang tot informatie in de Microsoft-datacenters buiten de Amerikaanse landsgrenzen. Op dit moment speelt daartoe een beslissende rechtszaak: de Amerikaanse justitie eist toegang tot gegevens uit het Microsoft-datacenter in Dublin.

Microsoft verzet zich tegen die claim en het conflict zal naar verwachting pas over een paar jaar in het hoogste gerechtshof worden beslist. Valt de uitspraak negatief uit voor Microsoft, dan heeft dit waarschijnlijk gevolgen voor alle datacenters buiten Amerika. En niet alleen voor die van Microsoft maar ook voor andere bedrijven met cloud-diensten, zoals Google, Apple en Amazon.

Nog niet af

Wie goed kijkt naar de nieuwe compliance maatregelen in Office 365, ziet dat ze bepaald nog niet ‘af’ zijn. Ze zijn nog niet allemaal zo ‘unified’: soms exclusief gericht op de zakelijke e-mail (Exchange), soms exclusief op SharePoint. De maatregelen bedienen nog beperkte scenario’s en voldoen ook niet aan een complexe realiteit. Dat is te zien aan de voorbeelden in verschillende demo’s van Microsoft. Die zijn vooralsnog wat primitief (alsof organisaties alleen geïnteresseerd zouden zijn in bescherming van creditcardgegevens bijvoorbeeld).

Tot slot is er nog de frictie tussen nieuwe functionaliteiten voor samenwerking in Office 365 en compliance, zoals bij de functionaliteit ‘Groups’. Groups moet ervoor zorgen dat het makkelijker wordt om documenten met elkaar te delen: je maakt geen site meer aan, maar werkt in een soort ‘groepen’. Office 365 laat niet meer zien waar de documenten zijn opgeslagen. Volgens Microsoft is de opslaglocatie niet langer van belang aangezien de gebruiker een document via de zoekfunctie zo gemakkelijk terug kan vinden. Die onzichtbaarheid van de opslaglocatie is wel iets om rekening mee te houden bij maatregelen voor beveiliging, bewaren en vernietigen.

Kortom: het is aantrekkelijk dat in Office 365 maatregelen voor de veiligheid van documenten en berichten samenhangen én zich uitstrekken buiten SharePoint alleen. Maar hoewel veel functionaliteiten voor beveiliging al worden aangeboden in Office 365 en SharePoint Online, wordt nog voortdurend aan verbetering gewerkt en is de visie nog niet geheel gerealiseerd.

Eric Burger is compliance- en informatie-governance specialist.

Deze bijdrage komt uit IP nr. 7 / 2015. Het gehele nummer kun je hier lezen.