Te kort geschoten? Gegevensbescherming en Microsoft Teams

Toen de COVID-19-pandemie werd afgekondigd, stapten miljoenen werknemers over de hele wereld bijna van de ene dag op de andere over van een zakelijk kantoor naar een kantoor aan huis. In het proces werden samenwerkingstools zoals Microsoft Teams essentieel voor het bedrijfsleven.

Nu onderzoekt een nieuwe whitepaper van Osterman Research de gevolgen van de grootschalige invoering van Teams. De whitepaper, getiteld Archiving and Data Protection with Microsoft Teams en gesponsord door Mimecast, is gebaseerd op een onderzoek onder 142 IT-besluitvormers van middelgrote en grote bedrijven. De belangrijkste vraag die in het onderzoek aan bod komt, is of de native functies voor gegevensbeheer van het samenwerkingsplatform volstaan om te voldoen aan de regelgevings-, juridische en bedrijfscontinuïteitsrisico's waarmee een hedendaags bedrijf wordt geconfronteerd.

In 2020 is het aantal Teams-gebruikers met 625% gestegen, van 20 miljoen in november 2019 tot 145 miljoen vanaf april 2021, volgens cijfers van Microsoft. Maar in de dolle haast om samen te werken, werden compliance officers, information governance professionals en andere besluitvormers op het gebied van risicomanagement zelden geraadpleegd. Dat, zo merkt het Osterman-rapport op, creëerde een aanzienlijke mismatch tussen de regelgevende en juridische risico's van veel bedrijven en hun vermogen om de ontluikende hoeveelheden gegevens die door Teams worden gegenereerd te archiveren, te doorzoeken en de integriteit ervan te beschermen.

Gegevensbewaringsfuncties voldoen niet altijd aan de bedrijfsbehoeften

Bijna de helft van de ondervraagden van Osterman-onderzoekers zegt dat de mogelijkheden voor archivering en dataretentie van Microsoft 365 voor Teams niet voldoen aan de eisen van hun bedrijf (respectievelijk 46% en 44%). Enkele van de belangrijkste beperkingen zijn:

• Het archiveren van een Teams-werkruimte vergrendelt deze voor verdere activiteit, maar dit is alleen nuttig wanneer een project of initiatief ten einde is. Gegevens van langdurige, lopende projecten kunnen niet worden gearchiveerd.
• Aan de andere kant, zelfs nadat een Teams-werkruimte is vergrendeld, kan de eigenaar van de werkruimte of een MS 365-beheerder nog steeds alle inhoud permanent verwijderen. Vanuit het oogpunt van compliance en wettelijke discovery vormt dit een aanzienlijk risico.
• Het dataretentiebeleid van Microsoft kan worden geconfigureerd om het bovenstaande te beperken door het verwijderen, wijzigen en onbevoegde toegang tot bepaalde Teams-inhoud te voorkomen. Maar deze beveiligingen gelden slechts voor een deel van de gegevens die door het platform worden gegenereerd; sommige Teams-gegevens kunnen niet worden beschermd.
• Ook de zoekmogelijkheden van MS 365 werken alleen voor bepaalde Teams-inhoud; andere inhoudstypen, waaronder bronbestanden en documenten, worden uitgesloten van de zoekresultaten. Voor juridische teams kan dit een ernstige belemmering vormen voor hun e-discovery inspanningen.

Onder druk van een verscheidenheid aan wettelijke en reglementaire vereisten

Achter deze bezorgdheid gaat een scala van wettelijke en regelgevende pressie schuil om de door teams verzamelde gegevens te bewaren en snel te kunnen raadplegen. De belangrijkste hiervan zijn de noodzaak om:

• Voldoen aan Europa's General Data Protection Regulation (GDPR) en de California Consumer Privacy Act (CCPA).
• Voldoen aan een breed scala van industriespecifieke voorschriften.
• Bewaar de inhoud voor juridische doeleinden.
• Voer e-discovery zoekopdrachten uit.
• Proactieve interne gegevensbewaking.

In de afgelopen 12 maanden gaven drie van de vier respondenten van de Osterman-enquête aan dat ze ten minste één incident meemaakten waarbij ze de inhoud in Teams moesten doorzoeken en openen; bijna de helft moest dat twee of meer keer doen.

De kloof dichten met oplossingen van derden

Om het niveau van gegevensbescherming en doorzoekbaarheid te bereiken dat deze kwesties rechtvaardigen, beveelt het Osterman-rapport het gebruik van een archiveringsoplossing van een derde partij aan. Dit is vooral het geval wanneer de organisatie in kwestie bepaalde eisen stelt waaraan alleen kan worden voldaan door de krachtigere functies die deze oplossingen bieden. De belangrijkste hiervan zijn:

• De mogelijkheid om in meerdere samenwerkingsplatforms en contentopslagplaatsen te zoeken zonder de gegevens naar een centrale opslagplaats te hoeven migreren.
• De mogelijkheid om alle soorten gegevens die in MS Teams worden gebruikt, vast te leggen.
• Het gemak en de efficiëntie van één oplossing voor archivering, e-discovery en compliance die zowel op Microsoft- als niet-Microsoft-gegevensbronnen werkt.
• Een kleiner risico dat wijzigingen door gebruikers of beheerders de compliancevereisten ondermijnen.
• De mogelijkheid om minder en consequenter beleid inzake gegevensbewaring te voeren.

Om het rapport te citeren: "Archiveringsoplossingen van derden bieden eerder een uniforme aanpak voor beleidsdefinitie en -handhaving die werkt over meerdere datatypen van verschillende producten, diensten en oplossingen. Met een dergelijke aanpak kunnen minder beleidsregels worden opgesteld en beheerd die een breder scala aan datatypen bestrijken, waardoor de kans afneemt dat belangrijke datatypen onbedoeld worden gemist doordat ze tussen een bedoelde ruimte in meerdere verschillende beleidsregels vallen."

De kern van de zaak

Hoewel de Osterman-studie vaststelt dat de eigen MS 365-archiveringsmogelijkheden voor Teams toereikend kunnen zijn voor sommige bedrijven met beperkte eisen op het gebied van regelgeving en e-discovery, wordt geconcludeerd dat de meeste organisaties behoefte hebben aan een robuustere set van datamanagementfuncties. Oplossingen van derden kunnen deze functies bieden, zodat de compliance-medewerkers en juridische medewerkers van bedrijven voorbereid zijn om te voldoen aan de wettelijke en juridische eisen die aan hun bedrijven worden gesteld.

Mimecast Archive for Microsoft Teams is nu algemeen beschikbaar. Het combineert best-of-breed governance en archivering om organisaties te helpen risico's te verminderen voor de manier waarop mensen vandaag werken. Download de volledige Resource Kit voor meer informatie.