Mensen delen weleens iets dat niet naar buiten mag, vaak zonder kwade bedoeling. Data Loss Prevention, kortweg DLP, vangt dat geautomatiseerd op. Het scant de inhoud van Drive-bestanden en grijpt in volgens regels die jij opstelt: een waarschuwing, een blokkade op extern delen, of het loggen van het incident. DLP is een gevorderde functie die past in een breder beveiligingsbeleid, en je zet hem zorgvuldig en getest in.
Hoe DLP werkt
Een DLP-regel bestaat uit drie delen. De toepassing en trigger bepalen waar en wanneer de regel kijkt, bijvoorbeeld bij het delen van een Drive-bestand. Een conditie beschrijft waarnaar gezocht wordt via detectoren, zoals een patroon dat lijkt op een creditcardnummer of een BSN. En een actie bepaalt wat er gebeurt als de conditie waar is.
De drie onderdelen van een regel
Toepassing en trigger: waar en wanneer de regel evalueert, zoals delen of uploaden in Drive. Conditie: wat er gedetecteerd moet worden, via vooraf gedefinieerde of eigen detectoren. Actie: wat er gebeurt, van loggen en waarschuwen tot blokkeren van extern delen.
Een regel opstellen
Je bouwt DLP-regels centraal in de Admin Console. Begin met een duidelijk doel: welk type gegevens wil je beschermen, en wat moet er gebeuren als het gedetecteerd wordt. Houd er rekening mee dat je hiervoor de rechten View DLP rule en Manage DLP rule nodig hebt.
Een DLP-regel voor Drive maken
- Ga naar admin.google.com en open Beveiliging, Toegangs- en gegevensbeheer, Data protection.
- Klik op Beheer regels en daarna op Regel toevoegen, Nieuwe regel.
- Geef de regel een naam en bepaal het bereik: de hele organisatie of specifieke organisatie-eenheden en groepen.
- Kies bij Apps voor Google Drive en Drive-bestanden, en stel de trigger in, bijvoorbeeld wanneer een bestand extern wordt gedeeld.
- Voeg een conditie toe met een detector, zoals
creditcardnummer,BSNof een eigen patroon. - Kies de actie: alleen loggen, waarschuwen of Extern delen blokkeren.
- Zet de actie eerst op Alleen controleren (audit), kies eventueel een alertniveau, en bewaar de regel.
Test altijd eerst in de auditmodus
Dit is de belangrijkste stap en wordt het vaakst overgeslagen. Een te ruime regel die meteen blokkeert kan legitiem werk stilleggen. Door de actie eerst op Alleen controleren te zetten zie je in de logboeken wat de regel zou doen, zonder dat hij echt ingrijpt. Google raadt zelf een gefaseerde uitrol aan: eerst stil testen, dan pas afdwingen.
Nooit meteen blokkeren
Zet een nieuwe DLP-regel nooit direct op blokkeren. Een te brede detector geeft veel valse positieven en kan medewerkers blokkeren bij normaal werk. Draai minstens enkele dagen in de auditmodus en bekijk de treffers in het logboek voordat je afdwingt.
Detectoren afstemmen
De kwaliteit van DLP staat of valt met goede detectoren. Google biedt kant-en-klare detectoren voor veelvoorkomende gegevenstypen, maar je kunt ook eigen detectoren maken via Beheer detectoren, met reguliere expressies of woordenlijsten. Stel ook de gevoeligheidsdrempel in: hoeveel treffers in één document zijn nodig voordat de regel afgaat. Eén enkel nummer dat toevallig op een creditcard lijkt mag geen blokkade veroorzaken; tien ervan in een spreadsheet wel.
Combineer DLP met Drive-labels
Laat een regel bestanden met het label Vertrouwelijk strenger behandelen. Zo vang je zowel automatisch gedetecteerde gegevens als handmatig geclassificeerde documenten in één beleid.
Onderhoud en evaluatie
DLP is geen eenmalige instelling. Bekijk regelmatig de logboeken en het onderzoekscentrum om te zien welke regels afgaan en of er valse positieven zijn. Stem detectoren en drempels bij op basis van wat je ziet. Een DLP-beleid dat je instelt en vergeet, raakt na verloop van tijd uit de pas met hoe de organisatie werkt.
Wat detecteert DLP precies?
Vooraf gedefinieerde gegevenstypen zoals creditcardnummers en BSN, plus eigen detectoren die je definieert met reguliere expressies of woordenlijsten.
Kan DLP extern delen automatisch blokkeren?
Ja. Een actie kan zijn om extern delen te blokkeren zodra de conditie wordt geraakt, bijvoorbeeld bij een gedetecteerd creditcardnummer.
Waarom eerst de auditmodus?
Om valse positieven te ontdekken zonder werk te blokkeren. Met de actie Alleen controleren zie je in het logboek wat de regel zou doen voordat hij echt ingrijpt.
Kan ik DLP combineren met labels?
Ja. Je kunt regels laten reageren op Drive-labels, zodat handmatig als vertrouwelijk gemarkeerde bestanden strenger worden behandeld.
Welke rechten heb ik nodig om DLP-regels te beheren?
Je hebt de beheerdersrechten View DLP rule en Manage DLP rule nodig om regels te bekijken en aan te maken.
Geldt een DLP-regel meteen voor iedereen?
Niet per se. Bij het opstellen kies je het bereik: de hele organisatie of specifieke organisatie-eenheden en groepen, zodat je gericht kunt testen voordat je breder uitrolt.