Hoe OneDrive uw gegevens beveiligt
Microsoft-engineers beheren OneDrive met behulp van een Windows PowerShell-console waarvoor authenticatie met twee factoren is vereist. We voeren dagelijkse taken uit door workflows uit te voeren, zodat we snel kunnen reageren op nieuwe situaties. Geen enkele technicus heeft permanente toegang tot de service. Als technici toegang nodig hebben, moeten ze die aanvragen. De toegang wordt gecontroleerd en als de technicus toegang krijgt, is dat slechts voor een beperkte tijd.
Daarnaast investeren OneDrive en Office 365 sterk in systemen, processen en personeel om de kans op een inbreuk op persoonsgegevens te verkleinen en om de gevolgen van een inbreuk snel op te sporen en te beperken als die zich toch voordoet. Enkele van onze investeringen op dit gebied zijn:
Toegangscontrolesystemen: OneDrive en Office 365 hanteren een “zero-standing access”-beleid, wat betekent dat technici geen toegang hebben tot de service, tenzij deze expliciet wordt verleend in reactie op een specifiek incident dat een verhoogde toegang vereist. Wanneer toegang wordt verleend, gebeurt dit volgens het principe van de minste privileges: toestemming die voor een specifiek verzoek wordt verleend, staat alleen een minimale reeks acties toe die nodig zijn om aan dat verzoek te voldoen. Om dit te bereiken, hanteren OneDrive en Office 365 een strikte scheiding tussen “verheffingsrollen”, waarbij elke rol slechts bepaalde vooraf gedefinieerde acties toestaat. De rol ‘Toegang tot klantgegevens’ onderscheidt zich van andere rollen die vaker worden gebruikt voor het beheer van de service en wordt het strengst gecontroleerd voordat goedkeuring wordt verleend. Samen verkleinen deze investeringen in toegangscontrole de kans dat een technicus in OneDrive of Office 365 op ongepaste wijze toegang krijgt tot klantgegevens aanzienlijk.
Systemen voor beveiligingscontrole en automatisering: OneDrive en Office 365 onderhouden robuuste, real-time beveiligingsmonitoringsystemen. Deze systemen waarschuwen onder andere voor pogingen om op illegale wijze toegang te krijgen tot klantgegevens, of voor pogingen om op illegale wijze gegevens over te brengen uit onze service. In verband met de hierboven genoemde punten over toegangscontrole houden onze beveiligingscontrolesystemen gedetailleerde registers bij van verzoeken om verhoging die worden gedaan en de acties die voor een bepaald verzoek om verhoging worden ondernomen. OneDrive en Office 365 hebben ook investeringen in automatische oplossingen die automatisch optreden om bedreigingen te beperken als reactie op problemen die we detecteren, en speciale teams voor het reageren op waarschuwingen die niet automatisch kunnen worden opgelost. Om onze beveiligingscontrolesystemen te valideren, houden OneDrive en Office 365 regelmatig red-teamoefeningen waarbij een intern penetratietestteam het gedrag van aanvallers simuleert tegen de live-omgeving. Deze oefeningen leiden tot regelmatige verbeteringen van onze beveiligingsmonitoring- en responsmogelijkheden.
Personeel en processen: Naast de hierboven beschreven automatisering onderhouden OneDrive en Office 365 processen en teams die verantwoordelijk zijn voor zowel het voorlichten van de bredere organisatie over privacy- en incidentbeheerprocessen, als voor het uitvoeren van die processen tijdens een inbreuk. Er wordt bijvoorbeeld een gedetailleerde Standard Operating Procedure (SOP) voor inbreuken op de privacy bijgehouden en gedeeld met teams in de hele organisatie. Deze SOP beschrijft in detail de rollen en verantwoordelijkheden van zowel individuele teams binnen OneDrive en Office 365 als gecentraliseerde Security Incident Response-teams. Het gaat hierbij zowel om wat teams moeten doen om hun eigen beveiliging te verbeteren (beveiligingsbeoordelingen uitvoeren, integreren met centrale beveiligingsmonitoringsystemen en andere best practices), als om wat teams moeten doen in het geval van een daadwerkelijke inbreuk (snelle escalatie naar incident response, specifieke gegevensbronnen onderhouden en verstrekken die zullen worden gebruikt om het reactieproces te versnellen). Teams worden ook regelmatig getraind in gegevensclassificatie en correcte verwerkings- en opslagprocedures voor persoonsgegevens.
De belangrijkste conclusie is dat OneDrive en Office 365, voor zowel consumenten- als bedrijfsplannen, sterk investeren in het verminderen van de kans op en de gevolgen van een inbreuk op persoonsgegevens voor onze klanten. Als een inbreuk op persoonsgegevens zich toch voordoet, zijn we vastbesloten om onze klanten snel te informeren zodra die inbreuk is bevestigd.