Samsvarsbehandling hjelper deg med å styrke informasjonssikkerheten i Microsoft 365 og sørge for at den er i overensstemmelse med anerkjente regler og standarder. Du får forhåndsbygde eller tilpassede vurderinger med detaljerte trinn-for-trinn-veiledninger om foreslåtte forbedringstiltak. En risikobasert poengsum viser hvor du står i din samsvarsreise. I utgangspunktet brukes Microsofts grunnlinje for databeskyttelse som vurderingsmal, et sett med kontroller som inkluderer vanlige industriforskrifter og anbefalinger om beste praksis.
Den henter elementer fra NISTs rammeverk for cybersikkerhet og EUs personvernforordning, samt Den internasjonale standardiseringsorganisasjon (ISO) og FedRAMP (Federal Risk and Authorization Management Program). Et viktig moment er sikkerhetskravene i Microsofts omfattende Zero Trust-arkitektur. Grunnlinjen for databeskyttelse burde dekke de fleste behov for små og mellomstore bedrifter. Men du kan også legge til andre maler for å bedømme samsvarsstillingen i virksomheten din, så som ISO/IEC 27001:2013 og EU GDPR for Microsoft 365.
Oversikt over Samsvarsbehandling
Samsvar er et delt ansvar mellom deg Microsoft. De har allerede sørget for å drive opp poengene. Nå må du plusse på. Poengsummen måler fremdriften med tanke på å fullføre anbefalte handlinger som bidrar til å redusere risikoer knyttet til databeskyttelse og foreskrevne standarder. I midtbolken ser du løsninger som påvirker poengsummen, og en del av aktivitetene som krever oppmerksomhet. Sammendrag av prøveperioden angår Premium-maler som kan legges til.
Blar vi oss ned i skjermbildet, får vi en nærmere oversikt over viktige forbedringshandlinger som gjenstår, er fullført eller befinner seg utenfor området. Sistnevnte kan være antivirus på Linux-maskiner eller sikkerhetskontroller for hybrid infrastruktur om vi opererer i et rent skymiljø.
Nederst på landingssiden vises fordelingen av samsvarspoengene, organisert etter kategorier:
- Beskytt informasjon: Aktiver og konfigurer kryptering, kontroller tilgang til informasjon og forhindre datalekkasje og eksfiltrering.
- Forvalt personvern: Identifiser og utbedre personvernrisikoer og svar på forespørsler om subjekt-rettigheter (blant dem retten til å bli glemt i GDPR).
- Styr informasjon: Beskytt sensitiv informasjon og forhindre utilsiktet avsløring.
- Kontroller tilgang: Konfigurer autentisering og passordinnstillinger, samt policyer for bruker- og påloggingsrisikoer, og gå gjennom tilgangsrapporter.
- Administrer enheter: Bruk konfigurasjonsprofiler for enheter, sett opp beskyttelse mot skadevare og søppelpost, sikre mobilenheter og blokker uønskede applikasjoner.
- Beskytt mot trusler: Forhindre, oppdag, undersøk og reager på avanserte trusler. Beskytt ressurser mot uautoriserte brukere og applikasjoner på enheter.
- Oppdag og responder: Konfigurer revisjons- og varslingspolicyer, avdekk applikasjoner som ikke er i samsvar, gjennomgå og korreler revisjonsposter og gjennomgå rapporter for varsler, aktiviteter, tilgang og oppdagelse.
- Administrer interne risikoer: Identifiser og utbedre kritiske innsiderisikoer.
- Administrer overensstemmelse: Definer samsvarsomfanget ditt, test effektiviteten av kontrollene og styr risiko- og samsvarsvurderingen.
Styringssystem for informasjonssikkerhet
Samsvarsbehandling gir oss et imponerende styringssystem for sikkerhet og samsvar som fungerer på en enkel og praktisk måte. Den holder deg i hånden og guider deg på hele reisen, fra å gi en oversikt over risikoer knyttet til databeskyttelse, til å administrere komplekse krav, som å sette opp kontroller, holde deg oppdatert med forskrifter og sertifiseringer og rapportere til revisorer.
Eksempel på en forbedringshandling
Her er et forslag om å forbedre påloggingssikkerheten. Det gis en beskrivelse: Microsoft anbefaler din organisasjon om å aktivere passordløs tilgang til skyportalen. Når en bruker svarer på en MFA-push-varsling i Authenticator-appen, vil de bli presentert med et tall de må taste inn i appen for å fullføre godkjenningen. Det bidrar til å styrke påloggingssikkerheten.
Hvordan bruker man så Microsoft-løsninger til å iverksette dette? Organisasjonen din kan benytte Azure AD for å aktivere «tall-treff» som et ekstra sikkerhetstiltak for autentisering. Velg Launch now (nederst på siden, ikke vist her) og gå til Azure AD, Security, Authentication methods, velg Microsoft Authenticator, forsikre deg om at MFA er aktivert. Velg målbrukerne, klikk på de tre punktene til høyre og klikk på Configure. For flere instruksjoner velg Learn More.
Knappen Tilordne handling åpner for arbeidsflyter. Du velger Rediger implementeringsdetaljer:
Her setter du Implementeringsstatus til Implementert og angir dato. Kommentarfeltet lar deg legge til dokumentasjon. Så klikker du på Lagre nederst i ruten (ikke vist her). Andre opsjoner er Ikke implementert, Alternativ implementering, Planlagt og Utenfor området.
I vinduet vises nå en melding med en grønn sjekkboks om at implementeringsdetaljene er lagret med status Implementert. Så må du teste løsningen. Angi status, dato, samt eventuelle test- og tilleggs-anmerkninger. Så legges dine oppnådde poeng inn. Her får du 27, for andre alternativer er 9, 3 og 1. Du kan eksportere testloggen.
Automatisk testing av forbedringshandlinger
Klikk på Innstillinger for Samsvarsbehandling. Du kan velge å automatisk teste alle eller noen av forbedringshandlingene. Når du automatiserer prosessen, kan du ikke endre implementerings- og teststatus, men du kan redigere notater, legge til dokumentasjon og tilordne disse handlingene til brukere. Samsvarsbehandling oppdager signaler fra andre Purview-løsninger du kan abonnere på, inkludert administrasjon av datalivssyklus, informasjonsbeskyttelse, kommunikasjonssamsvar, hindring av datatap, og insider-risikostyring. Samsvarsbehandling oppdager også signaler fra utfyllende forbedringshandlinger som overvåkes av Microsoft Secure Score (Sikkerhetsvurdering). Automatisk testing er aktivert som standard for organisasjoner som er nye i Samsvarsbehandling.
Konseptuell og handlingsorientert informasjon
En konseptuell forståelse gir det store bildet plassert i et mer helhetlig perspektiv. Det er nødvendig når virksomhetens sikkerhets- og samsvarskrav skal kartelegges. Når det er gjort, er vi mest av alt ute etter gjennomførbar, anvendelig informasjon som umiddelbart kan settes ut i livet. Det er nettopp sånn portalene for sikkerhets- og samsvarsbehandling opererer.
Premium vurderingsmaler
Vurderingsmaler i Samsvarsbehandling bidrar til å spore samsvar med flere hundre bransje- og offentlige forskrifter over hele verden. Her har vi startet en gratis prøveversjon av Premium-vurderinger for 90 dager, som blant annet inneholder anbefalinger fra National Institute of Standards and Technology (NIST) og kravene fra Payment Card Industry Data Security Standard (PCI DSS).
Vi har lagt til tre Premium-maler for ytterligere å sette opp kontroller for databeskyttelse i henhold til standarder, regler og lover for samsvar, sikkerhet og personvern:
ISO/IEC 27001:2013 for Microsoft 365 er en tilpasset implementering av de facto-standardene for sikkerhet innen IT og personvern for store deler av verdenssamfunnet. Den stiller krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et styringssystem for informasjonssikkerhet. Den består av 14 hovedpunkter med en rekke sikkerhetskontroller under hver av dem. Til vanlig benyttes ISO 27002 for å implementere dem.
EU GDPR for Microsoft 365 står for General Data Protection Regulation og er en EU-forordning som gir mandat til hvordan en organisasjon skal håndtere personopplysninger. GDPR gjelder hvis organisasjonen din selger til, leverer tjenester til eller ansetter borgere i EU/EØS-området. Brudd på personvernforordningen kan komme en virksomhet dyrt å stå. For å komme opp i poeng kreves Microsoft Priva, en ny tjeneste i Purview for å administrere personopplysninger og forespørsler fra personer, med arbeidsflyter og automatisering.
CIS Implementation Group 3 for Microsoft 365 er basert på CIS-kontroller versjon 8, som er en prioritert liste over 18 beste praksiser som hjelper organisasjoner med å forbedre sitt cyberforsvar. Totalt omfatter det 153 sikkerhetstiltak. CIS står for Center for Information Security, en ideell organisasjon, grunnlagt for å gjøre vår tilkoblede verden til et tryggere sted. De anbefaler at man begynner med gruppe 1, så gruppe 2 og ender opp med implementeringsgruppe 3. CIS-kontroller er enkelt å gå i gang med og lett å forstå.
Filtrere vurderinger
En hendig funksjon er at du kan filtrere, ikke bare på regel- og rammeverk, men også på produkter og funksjoner for sikkerhet og samsvar.
Sikkerhets- og samsvarsvurdering
Det krever ikke mye å få opp skåren til over 80 prosent i Microsoft Sikkerhetsvurdering, selv med maskiner som kommer og går. En høy sum her gir en flying start i Samsvarsvurdering. Det er en del overlapp, men fokus er forskjellig. Sikkerhetsmodellen i Microsoft 365 er identitetsdreven og sentrert rundt ressurstilganger – det er i denne sammenheng det foretas en bedømmelse av identiteter og enheter, apper og data. Mens samsvar konsentrerer seg mest om beskyttelse av data, knyttet direkte til vår intellektuelle eiendom, livsnerven i de fleste virksomheter. I forlengelse av dette har vi personvern og innsidetrusler.
Avsluttende ord
Samsvar er en omfattende reise. Selv Microsoft er bare kommet i mål med sine bidrag i én av de fire vurderingsmalene som er omtalt her. Det er som hos den danske filosof Søren Kierkegaard: «Veien er sannheten.» Det er enkelt å komme i gang. Du slipper å fordype deg i omstendelig teknisk dokumentasjon. Men du vil etter hvert oppdage at det går tregere og tregere å skåre poeng. Til gjengjeld er det en givende beskjeftigelse med et snev av gamification (spillifisering).
Du lærer mye om sikkerhets- og samsvarsmekanismer i Microsoft 365. Ett problem er lisensiering. Microsoft 365 Business Premium er et eminent produkt med tanke på grunnleggende sikkerhet, mens de innebygde samsvarsfunksjonene er beskjedne. Det finnes en Microsoft 365 E5 Compliance-pakke for kunder som har gyldig lisens på Enterprise Mobility + Security E3 eller Microsoft 365 E3, uten en offisiell støtte for Business Premium. Med Microsoft 365 E5 har du alt du trenger.
