Data eksploderer. Dokumenter og filer opprettes, lagres og deles overalt. Det meste av dataene er mørke, verken klassifisert, beskyttet eller styrt. Samtidig vokser antallet forskrifter og forordninger virksomheter må forholde seg til. Databeskyttelse er blitt mer utfordrende med ansatte som jobber på nye måter, på tvers av organisasjoner og regionale grenser. Følsomme opplysninger må beskyttes på enheter, i applikasjoner og skytjenester, i tillegg til lokal infrastruktur. Risikoprofilen din vil høyst sannsynlig øke uten en metode for å sikre og styre informasjon.
Du trenger kort sagt en strategi for å oppdage, administrere og beskytte sensitiv informasjon på tvers av ditt digitale miljø. Det kan være et stort prosjekt i seg selv å prøve å forstå hvor bedriftskritiske og sensitive data befinner seg, og hva som gjøres med dem. Data beveger seg, både innenfor og utenfor organisasjonen din. Microsoft tilbyr integrerte løsninger for informasjonsbeskyttelse og styresett, så du får hjelp med å sikre og forvalte dataene dine gjennom hele livssyklusen – uansett hvor de bor, eller hvor de reiser. Beskyttelsen forblir knyttet til dataene under hele deres levetid.
Beskytt og administrer data hvor som helst
Microsoft har en enhetlig tilnærming til å oppdage og klassifisere data. Den omfatter Microsoft 365-tjenester, selskapets produktivitetsapper, Power Platform, tredjeparts skytjenester og -applikasjoner, samt lokale data. Verktøyene er tett integrert i enheter, apper og tjenester, noe som bidrar til å forenkle prosedyrene. Sikkerhet og produktivitet er balansert. Du kan beskytte adgangen til data med betinget tilgang, blokkere lekkasje og overdeling med retningslinjer for hindring av datatap (DLP), holde forretningsdata atskilt fra personlige data på mobilenheter og kreve at dokumenter og e-post krypteres basert på følsomhetsetiketter.
Håndteringen av kryptert materiale kunne tidligere være tregt og tungvint. Dette er kraftig forbedret ved at du nå kan samarbeide om rettighetsstyrte dokumenter og redigere dem sammen med andre i sanntid. Brukere kan åpne og dele krypterte PDF-filer i Edge, i tillegg til Adobe Acrobat Reader. Søk på krypterte filer fungerer i SharePoint. Følsomhetsetiketter er integrert i Office-appene Word, Excel, PowerPoint og Outlook på alle plattformer. Det gjør det lett å merke følsomme data med visuelle markeringer som vannmerke og låseikoner. Det er støtte for automatisk klassifisering. Du får råd og verktøytips for foreslåtte følsomhetsetiketter og DLP
Dataklassifisering
Du trenger innholdskategorier for å identifisere data og automatisere oppdagelse, klassifisering og merking av dokumenter og e-post. Så kan du foreta en dyp innholdsskanning med et utvalg av flere hundre innebygde typer sensitiv informasjon. To av dem er tilpasset hjemlige forhold: norske personnumre og fysiske adresser. Skannen kan utvides med egendefinerte informasjonstyper og trenbare klassifiserere. Det finnes EDM-klassifiserere (Exact Data Match) som bruker nøyaktige verdier fra organisasjonens data til å gjenkjenne treff i stedet for generiske mønstre. Du kan plusse på med ordbøker som inneholder nøkkelord. I Exchange er det støtte for å opprette fingeravtrykk av interne skjemaer, så du hindrer at de sendes ut av organisasjonen
Informasjons- og styringsløsning
Å sette opp en informasjons- og styringsløsning i virksomheten er en reise, en kontinuerlig aktivitet hvor du starter med det grunnleggende og skrittvis forfiner tilnærmingen over tid. Det involverer mennesker, prosesser og teknologier. Implementeringen er et par hakk mer byråkratisk enn du antakelig er vant til. Microsoft anbefaler at seks roller er med (i mindre forhold har enkelte flere hatter).
Mennesker
IT-sikkerhetssjefen leder typisk styringskomiteen og bestemmer retningslinjer og prosedyrer. Samsvarsoffiseren forstår og tolker regelverk, hvilke som gjelder for organisasjonen, og hva slags kontroller som trengs. Data-administratoren forfatter retningslinjer for klassifisering av sensitiv informasjon basert på veiledning gitt av styringskomiteen.
Dataeieren eier innholdet eller prosessen. Helpdesk er opplært i hvordan de kan hjelpe ansatte ved problemer, som når tilgang til et dokument går tapt. Informasjonsarbeidere oppretter dokumenter, e-poster eller annet innhold som kan bli påvirket av retningslinjer og prosedyrer. De må ha kunnskap om klassifisering, når den skal brukes, hva som skjer hvis den anvendes automatisk osv.
Prosesser
Definer taksonomien for dataklassifiseringen, som danner forutsetningen for følsomhets- og oppbevaringsetiketter. De vil bli brukt på innholdet ditt og kan dukke opp i Microsoft 365 Apps, SharePoint-nettsteder, Teams-arbeidsområder og Exchange-e-poster. De kan benyttes manuelt av brukere eller automatisk av Microsoft 365.
Definer betingelser for klassifiseringspolicyer. Når du har bygget taksonomien din, må du bestemme hvordan du skal finne og klassifisere dataene i miljøet ditt og mappe dem til taksonomien.
Opprett, test og distribuer etikettene og policyinnstillingene. Når du har bestemt deg for metodene du vil bruke for å beskytte og styre dataene dine, er det viktig å teste alt grundig før du distribuerer konfigurasjonen på tvers av organisasjonen.
Løpende bruk, overvåking og utbedring. Det er viktig å forstå hvordan dataklassifisering brukes og å sikre at retningslinjene dine er nøyaktige og oppnår de ønskede resultatene.
Teknologier
Til slutt må disse prosessene omsettes i teknologier. Dem finner du i funksjonene Microsoft leverer for å innfri krav til dataklassifisering, informasjonsbeskyttelse og administrasjon av datalivssyklus. Microsofts tilnærming til informasjonsbeskyttelse og styring er sentrert rundt fire prinsipper. Som bildet nedenfor illustrerer, er det ikke noe du gjør én gang for alle, og så er du ferdig. Det er en pågående prosess.
- Kjenn dataene dine. Forstå datalandskapet ditt og identifiser viktige data på tvers av hybridmiljøet ditt.
- Beskytt dataene dine. Bruk fleksible beskyttelseshandlinger, inkludert kryptering, tilgangsbegrensninger og visuelle markeringer.
- Forhindre tap av data. Oppdag risikoatferd og forhindre utilsiktet overdeling av sensitiv informasjon.
- Styr dataene dine. Oppbevar, slett og lagre data og poster automatisk i henhold til regler om samsvar.
Kjenn dataene dine
Du trenger en dyp forståelse av hvor mye sensitive data som finnes, og hvor de er lagret før de kan beskyttes og styres. Start reisen din ved å oppdage og klassifisere viktige data på tvers av miljøet ditt. Her benytter du sensitive informasjonstyper, opplærbare klassifiserere, etiketter og retningslinjer.
Informasjonstyper og klassifiserere
En sensitiv informasjonstype er definert av et mønster som kan identifiseres av et regulært uttrykk (RegEx) eller en funksjon, som for eksempel kredittkort og passnumre. Det er flere hundre ferdige informasjonstyper, og du kan lage dine egne. Opplærbare klassifiserere bruker kunstig intelligens med maskinlæring for å klassifisere informasjon. De er nyttig for data som er unike for organisasjonen, som spesifikke typer kontrakter og fakturaer. Klassifiseringsmetoden handler om å trene en klassifiserer til å identifisere data basert på hva den er, ikke etter elementer dataene inneholder (mønstermatching).
Følsomhets- og oppbevaringsetiketter
En etikett fungerer som et stempel på et dokument. Her er det en følsomhetsetikett som kalles Hemmelig med en undergruppe: Alle (ubegrenset) setter inn bunnteksten ´Klassifisert som hemmelig´. Alle ansatte krypterer dokumentet og gir samtlige medarbeidere redigeringsrettigheter, mens innholdet er utilgjengelig for utenforstående. Klarerte personer er også rettighetsstyrt, men her kan du velge hvem som skal ha tilgang og hva slags.
Etiketter kan, men trenger ikke, bruke sensitive informasjonstyper. Det finnes to former for etiketter. Med følsomhetsetiketter kan du klassifisere og bidra til å beskytte sensitivt innhold. Alternativene for beskyttelse inkluderer topp- og bunntekster, vannmerker og rettighetsstyring (kryptering). Etikettene forblir knyttet til dataene uansett hvor de lagres eller sendes. Oppbevaringsetiketter hjelper deg med å beholde eller slette innhold basert på retningslinjer du definerer. Sånn kan du overholde bransjeforskrifter og interne policyer. Etikettene eksisterer bare innenfor Microsoft 365.
Følsomhetsetiketter publiseres til brukere eller grupper og vises deretter i deres Office-apper. Oppbevaringsetiketter publiseres til steder, som alle Exchange-postbokser. Innhold kan ha begge typer knyttet til seg, men ikke mer enn én av hver. Et eksempel kan det være en Excel-fil med en følsomhetsetikett ´Kun til intern bruk´ og en oppbevaringsetikett kalt ´GDPR´.
Retningslinjer
Sensitive informasjonstyper, opplærbare klassifiserere, samt følsomhets- og oppbevaringsetiketter fungerer som input til retningslinjer. De definerer atferd – om merking er obligatorisk, hvilke steder etiketten skal brukes på, og under hvilke forhold. Retningslinjer for forebygging av datatap bidrar til å identifisere og beskytte sensitiv informasjon i virksomheten. Du kan eksempelvis sette opp en policy for å sikre at informasjon i e-post og dokumenter ikke deles med feil personer. DLP-policyer kan bruke sensitive informasjonstyper og oppbevaringsetiketter for å identifisere innhold som må beskyttes. Retningslinjer for oppbevaring og for oppbevaringsetiketter hjelper deg å beholde det du vil ha, og bli kvitt det du ikke trenger. De spiller også en betydelig rolle i arkivbehandlingen.
Klassifiser data direkte i Office-apper
Microsoft gjør det lett å klassifisere, merke og beskytte innhold på en konsistent og enkel måte. Du benytter og oppdaterer etiketter mens du arbeider i Word, PowerPoint, Excel og Outlook. Innebygd manuell merking er tilgjengelig på alle Office-plattformer, så sant du kjører nyere versjoner. På Windows og macOS er det nødvendig med Microsoft 365 Apps for Enterprise. Manuell merking er et skritt i riktig retning, men man kan ikke alltid stole på brukere. Automatisert merking er tilgjengelig i Office på nettet og Office på Windows. Brukere kan overstyre de automatisk brukte etikettene forutsatt at administrator har konfigurert systemet til å tillate det.
Automatisert merking på innhold som er lagret i OneDrive, SharePoint og Exchange
Du kan opprette retningslinjer for automatisert merking for automatisk å bruke følsomhetsetiketter på e-postmeldinger eller dokumenter som er lagret i Microsoft 365-tjenester som OneDrive, SharePoint og Exchange. Fordi denne merkingen brukes av tjenester i stedet for av applikasjoner, trenger du ikke bekymre deg for hvilke apper brukere har, og hvilken versjon de bruker.
Oppdag og klassifiser filer lokalt
Azure Information Protection-skanner hjelper deg med å oppdage, klassifisere, merke og beskytte sensitiv informasjon på lokale filservere og SharePoint 2016/2013. Du kan kjøre skanneren og få umiddelbar innsikt i risikoer i forbindelse med lokale data. Du vil typisk først foreta skanningen i oppdagelsesmodus, før du håndhever innstillingene. Tidligere måtte du sette opp skanneren lokalt, men snart kan du kjøre den fra Microsoft Purview-portalen (demonstrert på Ignite 2022).
Oppdag og klassifiser i skytjenester og SaaS-apper
De fleste organisasjoner lagrer noen av sine sensitive data utenfor Microsofts økosystem. Defender for Cloud Apps utvider beskyttelsen til tredjepartsskyer og SaaS-applikasjoner. Denne løsningen inkluderer følgende funksjoner: Inspiser filer for sensitiv informasjon; bruk automatisk etiketter på sensitive filer identifisert i skyapper; bruk følsomhetsetiketter for å ta hensyn til dine retningslinjer, som å begrense tilgangen til sensitiv informasjon, blokkere opplastinger og blokkere nedlastinger
Beskytt dataene dine
Microsoft møter dette kravet med informasjonsbeskyttelse, som åpner for fleksible muligheter, fra å bruke visuelle markeringer til å legge til kryptering og tilgangsbegrensninger til innhold. Beskyttelsen er integrert i Microsoft 365-apper, Power BI og tjenester som SharePoint og Teams. Innhold kan også beskyttes på enheter, lokale fillager og tredjeparts skytjenester. Du kan velge mellom automatisk merking, manuell brukerdrevet merking eller anbefalt merking. Med disse alternativene kan du oppfylle sikkerhetskravene dine uten å påvirke produktiviteten for sluttbrukere.
Det kan ofte holde å gjøre folk oppmerksom på tiltenkt bruk av data, uten at de gjøres uleselige for uvedkommende. Rettighetsstyring innebærer alltid at dokumenter og e-post krypteres. Så kan man på en finmasket måte angi hva slags tilgang andre skal ha, som lese, endre eller full kontroll. Det er også mulig å sette en utløpsdato, for e-post hindre at meldingen videresendes.
Forhindre tap av data
Organisasjoner må beskytte sensitiv informasjon og hindre utilsiktet offentliggjøring for å overholde forretningskrav og bransjeforskrifter. Sluttbrukere vet ikke alltid hvilken informasjon de har lov til å dele med andre i og utenfor organisasjonen. Det kan også skje ved et uhell. Hindring av datatap (Data Loss Prevention – DLP) oppdager sensitivt innhold og bidrar til å forhindre overdeling i og utenfor organisasjonen. Håndteringen av oppdagede sensitive data kan påvirkes av forskjellige faktorer, som datakilde og -destinasjon eller antall.
Enkelte medlemmer av finansavdelingen kan ha et forretningsbehov for å dele personnummer, mens ansatte i markedsavdelingen ikke har det. Så er spørsmålet om informasjonen deles med personer i organisasjonen din, utenfor organisasjonen eller begge steder. Å dele et enkelt kredittkortnummer ikke er like alvorlig som en bruker som deler 1000 kredittkortnumre.
DLP lar deg reagere ulikt på forskjellig antall. Du kan gjøre brukere oppmerksom på forhold med verktøytips. Deling av mer sensitiv informasjon kan føre til at en hendelsesrapport sendes til administratorer. Deling av de mest sensitive dataene kan føre til blokkering av innholdsdeling og at innholdet blir kryptert.
Styr dataene dine
Å styre data dreier seg om å bevare det du trenger, og slette det tu ikke trenger. Hensikten er å oppfylle krav til samsvar og redusere det totale risikobildet. Microsofts løsninger for å styre dataene dine er Administrasjon av datalivssyklus, som importerer, lagrer og klassifiserer forretningskritiske data sånn at du kan beholde det du trenger, og slette det du ikke trenger. Mens Arkivbehandling anvender intelligent klassifisering for å automatisere og forenkle oppbevaringsplanen for regulatoriske, juridiske og forretningskritiske oppføringer i organisasjonen din som må være uforanderlig (kan ikke endres).
Styringspolicyer kan konfigureres til å fungere automatisk og brukes i hele organisasjonen. Policyer for oppbevaring er fleksible, inkludert muligheten til å lage tilpassede hendelser, som når en ansatt slutter for å utløse oppbevaringsprosessen.
Avsluttende ord
Microsofts intelligente plattform leverer en felles tilnærming til klassifisering, uansett hvor data befinner seg, sammen med en enhetlig konfigurasjon av policyer og administrasjonsopplevelse for IT-folk. Det finnes et dashbord for å overvåke og utbedre problemer. Et programmeringsgrensesnitt (API) gjør det mulig for partnere å utvide informasjonsbeskyttelse og styringsfunksjoner til sine egne apper og tjenester.
