Hopp til hovedinnhold

Databeskyttelse og samsvar i Microsoft 365 Business Premium

Logo letter
Evelon AS
Jon-Alfred Smith
Beskyttelse av data

Microsoft 365 Business Premiumleverer grunnleggende mekanismer for samsvar og databeskyttelse. Det omfatter informasjonsbeskyttelse, hindring av datatap og Office 365-meldingskryptering. Viktige komponenter er følsomhets- og oppbevaringsetiketter, policyer for dataoppbevaring og -sletting, samt eDiscovery og rettslig sperre. Samsvarsbehandling bidrar til å redusere risikoer knyttet til regulatoriske standarder og sikring av data.

Microsoft Purview Informasjonsbeskyttelse

Microsoft Purview

Microsoft Purview er en familie av funksjoner og produkter for databeskyttelse, personvern, håndtering av innsiderisiko og regeloverholdelse. Purview kan oversettes med myndighets- eller ansvarsområde. Med informasjonsbeskyttelsen kan du manuelt klassifisere og merke dokumenter og e-post. Du benytter følsomhetsetiketter for å legge til topp- og bunntekster eller vannmerker. For sensitiv informasjon vil du ofte kryptere innholdet og angi detaljerte rettigheter. Da fungerer merkelappene som en overbygning for Azure Rights Management (Azure RMS).

Angi tillatelser

Azure RMS er en teknologi for å beskytte og styre rettigheter til følsomme data. Den har flere fellestrekk med digital rettighetsadministrasjon (DRA), som har som mål å begrense bruksmulighetene til opphavsrettsbeskyttet informasjon. Når du leier en film på nettet, får du lesetilgang i en begrenset tidsperiode. Azure RMS opererer på samme vis. Du kan på en finmasket måte bestemme hva andre kan gjøre med et dokument eller en e-post.

Du angir hvem som skal ha tilgang, og hva slags: lese, endre eller full kontroll. Du kan la tilgangen til dokumenter utløpe på en bestemt dato. Du kan tillate eller nekte at personer kan skrive ut eller kopiere innhold. Du kan kreve at bruker er tilkoblet når dokumentet åpnes, og du kan tilbakekalle rettighetene. Du kan bruke følsomhetsetikette på data som er opprettet i Word, Excel, PowerPoint og Outlook på alle plattformer. Outlook støtter ikke vannmerker.

Autorisering

Azure RMS fungerer sånn: Her deles et ubeskyttet dokument som inneholder den hemmelige oppskriften til cola. En policy definerer den godkjente bruken av det. Dokumentet er beskyttet av en symmetrisk innholdsnøkkel (grønn nøkkel i figuren) som er unik for hver fil, og som krypteres ved hjelp av rotnøkkelen for organisasjonen din (rød nøkkel). Når et beskyttet dokument åpnes av en legitim bruker eller behandles av en autorisert tjeneste, dekrypteres dataene. Så håndheves rettighetene som er definert i retningslinjene. Ingen andre kan få tilgang til innholdet i dokumentet. Sentralt er at begge parter autentiseres og autoriseres av Azure RMS. Dette fungerer også på tvers av Microsoft 365-organisasjoner og blant annet med Google- og Yahoo-kontoer, om du oppretter føderasjoner med deres identitetstjenester.

Microsofts anbefalte etiketter

Infromasjonsbeskyttelse

Et interessant moment er at merkelappene ikke er særlig forskjellig fra de opprinnelige som ble lansert i 2016. Microsoft gjorde i sin tid stort vesen av å vise hvor godt de hadde gjennomtenkt dem. De går igjen i selskapets dokumentasjon og presentasjoner. Før vi går i gang med våre egne etiketter, er det en god idé å forstå hvordan Microsoft har tenkt. Siden merkingen bare er manuell, må vi overlate det til sluttbrukere å foreta vurderingene. Etikettene må være intuitive; navnet på hver merkelapp bør være kort og konsist.

Privat er for ikke-bedriftsdata, bare til personlig bruk. Offentlig er for organisasjonsdata som er spesielt klargjort og godkjent for offentlig bruk. Generelt skal benyttes på forretningsdata som ikke er ment for allmenheten, men som deles med eksterne partnere etter behov. Nytt her er to underetiketter: Alle (ubegrenset) gjelder for partnere; Alle ansatte (ubegrenset) er bare for medlemmer av virksomheten – trenger du å dele dette innholdet med partnere, må du bekrefte det med andre dataeiere og så endre etiketten til Alle (ubegrenset).

Hemmelig skal brukes på sensitive forretningsdata som kan forårsake skade på virksomheten hvis de deles med uautoriserte personer. Det er tre undergrupper: Alle (ubegrenset) benyttes på konfidensielle data som ikke må krypteres. Alle ansatte er for konfidensielle data som krever beskyttelse, og som gir alle ansatte fullstendige tillatelser; dataeiere kan spore og tilbakekalle innhold. Klarerte personer skal anvendes på konfidensielle data som kan deles med klarerte personer i og utenfor organisasjonen; disse personene kan også dele dataene på nytt etter behov. Brukere kan tilordne tillatelser.

Svært hemmelig angår forretningsdata som ville forårsake skade på virksomheten hvis de ble delt med uautoriserte personer. Her er det to underkategorier: Alle ansatte gjør det mulig for alle ansatte å vise og redigere innholdet; dataeiere kan spore og tilbakekalle innhold. Bestemte personer er for svært konfidensielle data som krever beskyttelse, og som bare kan vises av personer du angir, og med tilgangsnivået du velger.

Kommentar til etikettene

Ofte rygger IT-administratorer unna når data skal krypteres. Her er det vanligvis involvert sertifikater som må vedlikeholdes. Kodede dokumenter og e-post kan bli utilgjengelige når ansatte slutter. Ikke noe av dette er en utfordring med Azure RMS. Nøklene håndteres av Microsoft. Superbrukere for Azure RMS får tilgang til alle data. En annen innvending er at det går tregere å åpne og lagre krypterte filer. Om de er små, er det knapt merkbart; for større dokumenter stemmer det.

Privat, Offentlig og Generelt burde være grei skuring. Å inndele Generelt i to grupper gir mening, sammen med anbefalingen om å endre merkelappen hvis dataene deles med partnere. I gruppene Hemmelig og Svært hemmelig er det bare én etikett som ikke krypterer: Alle (ubegrenset). Disse dataene bør til gjengjeld sikres med et regelsett for hindring av datatap.

Så er neste spørsmål: Hvem har tilgang til krypterte data? For Alle ansatte er det medlemskap i en e-postaktivert sikkerhetsgruppe, en statisk distribusjonsgruppe eller en Microsoft 365-gruppe som omfatter alle som jobber i virksomheten (brukere og grupper trenger to attributter i Azure AD for å autoriseres: proxyAddresses og userPrincipalName). Klarerte personer og Bestemte personer er fleksibelt. Brukere angir selv hvem som skal ha tilgang, og hva slags de skal ha. Disse kan befinne seg utenfor virksomheten.

Du behøver ikke slavisk å følge forslagene, men de danner et godt utgangspunkt. Smertegrensen for hva du kan utsette brukere for, ligger på tolv forskjellige etiketter. Bruksområdene bør dokumenteres på et kommunikasjonsområde i SharePoint. En vanlig fremgangsmåte er å publisere de første fire bolkene til alle og tilpasse den femte til forskjellige grupper.

Kryptere eller ikke kryptere

Foregår ikke alt mye tregere? Med små filer vil du knapt legge merke til det; med store dokumenter er det noe langsommere å åpne og lagre dem. Hva med samtidig redigering i sanntid? Det problemet er løst på samtlige støttede plattformer Men det viktigste med kryptering er sikkerheten. Dagens menneskedrevne løsepengevare- og utpressingsangrep er forbudet med trusler om å offentliggjøre følsom informasjon. Om den er kryptert med en nøkkel angriperne ikke har tilgang til, er mye vunnet som ledd i din forebyggende cybersikkerhet. Ikke glem at du også bør tenke på innsidetrusler, og at enhver virksomhet har opplysninger som ikke bør deles med alle.

Dataklassifisering

Dataklassifisering

Overvåking og synlighet er alfa og omega i dag. Under Dataklassifisering ser du hvilke etiketter som benyttes. Det kan gi deg en pekepinn om hvilke etiketter som har noe for seg i virksomheten din.

Office 365-meldingskryptering

E-post mellom Microsoft 365-organisasjoner overføres alltid over krypterte linjer. EOP forsøker å sette opp en sikker forbindelse til e-postsystemer utenfor Microsoft-skyen. Overfor partnere kan den tvinges frem med tvungen TLS. En annen mulighet er å benytte Office 365-meldingskryptering, som sørger for trygg ende-til-ende-kommunikasjon.

Meldingskryptering

Outlook og Exchange samarbeider med Azure RMS og bruker to RMS-maler for å kryptere meldinger. Under fanen Alternativer kan du klikke på Tillatelse og velge opsjonen Bare krypter, som innebærer: Krypter melding og vedlegg. Gi mottaker retten til å dekryptere e-posten og gjøre med den hva hun vil. Her kunne vi også ha valgt Ikke videresend, noe som også hadde kodet e-postmeldingen, men samtidig pålagt mottaker restriksjoner.

Outlook

E-posten mottas. Outlook er en «opplyst» klient. Det betyr at applikasjonen inneholder programkode som automatisk dekrypterer meldingen. All videre kommunikasjon i en påbegynt kodet meldingstråd foregår kryptert. Andre opplyste klienter er skrivebordsversjonene av Word, Excel og PowerPoint, foruten Outlook på nett (OWA) og Outlook for iOS og Android. Dette fungerer sømløst innenfor og på tvers av Microsoft 365-organisasjoner, samt fødererte e-postsystemer som Google og Outlook.com. Du får en lettvint og elegant løsning, uten distribusjon og vedlikehold av sertifikater og nøkler.

På mottakssiden er det støtte for samtlige e-postsystemer og klienter. Her får mottaker en melding om at det er sendt en kryptert melding og en kobling til en nettside. Bruker kan logge seg på med en engangskode. Du kan kombinere meldingskryptering med en transportregel som for eksempel sender alle e-post kryptert til et domene eller til en bruker.

Samsvarsbehandling

Samsvarbehandling

Samsvarsbehandling bidrar til å forenkle samsvar og redusere risiko ved å tilby forhåndsbygde vurderinger for vanlige standarder og forskrifter, arbeidsflytfunksjoner, detaljert trinnvis veiledning om foreslåtte forbedringstiltak og en risikobasert samsvarspoengsum for å hjelpe deg med å forstå samsvarsstillingen din. Samsvar er et delt ansvar mellom deg og Microsoft. Her vises en bedømmelse basert på Microsofts grunnlinje for databeskyttelse, som stort sett er alt folk trenger. Den henter først og fremst elementer fra NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) og ISO (Den internasjonale standardiserings­organisasjon), samt fra FedRAMP (Federal Risk and Authorization Management Program) og EUs personvernforordning (GDPR). Settet med kontroller inkluderer Microsofts Zero Trust-sikkerhetskrav.

Du følger rett og slett anvisningene i malen og iverksetter forbedringene, uten at du behøver å fordype deg i tungvint teknisk dokumentasjon. Samsvarspoengsummen måler fremdriften med tanke på å fullføre anbefalte handlinger som bidrar til å redusere risikoer rundt databeskyttelse og foreskrevne standarder.

Ved å abonnere på Premium-maler kan du plusse på med blant annet maler for CIS 3, NIST 800-53 rev. 5 og ISO 27001:2013. Center for Information Security (CIS) er kjent for sine CIS Controls V8, som er en prioritert liste over beste praksiser for å hjelpe organisasjoner med å forbedre cyberforsvaret. National Institute of Standards and Technology (NIST) spesialpublikasjon 800-53 tilbyr en omfattende katalog over sikkerhets- og personvernkontroller for amerikanske føderale informasjonssystemer og organisasjoner. ISO/IEC 27001 er en internasjonal standard for å administrere sikkerhet innen IT. Den beskriver krav for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS).

Avsluttende ord

De andre komponentene for samsvar og databeskyttelse som følger med Business Premium, fortjener en egen blogg. Det gjelder hindring av datatap, som oppdager sensitivt innhold når det brukes og deles i eller utenfor organisasjonen. Her kan klassifiseringen med følsomhetsetiketter være ett av kriteriene. Policyer for dataoppbevaring og -sletting og oppbevaringsetiketter er et omfattende kapittel som kan være noe forvirrende. eDiscovery benyttes for å bevare, samle inn, se gjennom, analysere og eksportere innhold som svarer til virksomhetens interne og eksterne undersøkelser. Rettslig sperre er ment for å hindre at viktige data blir borte under en rettstvist, men kan også benyttes som en fattigmanns backupløsning (ikke anbefalt) eller til å konfigurere inaktive postbokser.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!