Näkymä Microsoft 365 ympäristöjen tietosuojaan? Microsoft 365 palvelu tarjoaa erinomaiset ryhmätyömahdollisuudet niin organisaatioiden sisäiseen käyttöön kuin ulkoisten sidosryhmien kanssa tapahtuvaan. Tiedon jakamisesta ja vieraiden kutsumisesta on tehty erittäin helppoa ja tietotyöstä yli organisaatiorajojen onkin tullut osa meidän kaikkien arkea. Kolikolla on kuitenkin kääntöpuolensa ja huoli onkin noussut erityisesti Copilot -käyttöönottojen yhteydessä, miten organisaation tiedot on suojattu – onko esimerkiksi tietoihin virheellisesti pääsy henkilöillä, joilla sitä ei kuuluisi olla?
Apuja tietohallinnolle tietosuojan tilan analysointiin
Microsoft tarjoaa monipuolisia työkaluja sensitiivisen tiedon sijainnin selvityksiin, jakomäärityksiin sekä vieraskäyttäjien hallintaan. Mutta asioiden selvittämiseksi asioita joutuu tekemään eri paikoista ja yhdistelemään tietoja, jotta tarvittava informaatio saadaan selville. Myös käytössä olevilla Microsoft 365 lisensseillä on osittain vaikutusta siihen, mitä asioita voidaan selvittää ja nähdä. Suomessa ehkä hiukan vähemmän tunnettu yritys AvePoint on jo jonkin aikaa sitten tuonut markkinoille tuotteen, joka tuo helpotusta näkyvyyteen, tietosuojan riskiarviointiin sekä hallinnan määrityksiin Microsoft 365 -palvelussa.
AvePoint Policies & Insights -tuotteet auttavat organisaatioita havainnoimaan ja korjaamaan Microsoft 365 palvelussaan tiedon suojaamiseen liittyviä puutteita ja vähentämään siten riskejä. AvePoint on tunnistanut Microsoftin palveluiden tietyt vajavaisuudet ja tuonut käyttäjäystävällisemmän tavan tiedon suojauksen seurantaan sekä asetusten määrittämiseen. AvePoint yrityksenä on keskittynyt nimenomaan eri SaaS-ratkaisuiden tietojen hallintaan ja suojaamiseen.
Näkymää ja käytänteitä
AvePoint Policies & Insights koostuu nimensä mukaisesti kahdesta eri osiosta. Insights osuus tuo näkyvyyden tietosuojan riskeihin Microsoft 365 palvelussa. Esimerkiksi tiedon siitä, miten sensitiivistä tietoa on jaettu Sharepoint, Teams ja Onedrive -työkuormista. Onko sensitiivistä tietoa jaettu organisaation ulkopuolisille tai onko Teams-tiimin taustalla olevalle Sharepoint -tiedostokirjastolle tehty suoria oikeusmäärittelyjä Teams-tiimin kuuluvien jäsenien ulkopuolelta. Onko mahdollisesti anonyymejä jakoja tehty organisaation ulkopuolelle ja niin edelleen. Insights hyödyntää Microsoftin M365 palvelussa käytössä olevia sensitiivisen tiedon tietotyyppejä, tiedon luokitteluja, auditointilokien tietoja ja käyttöoikeusmäärityksiä. Insights tekee riskianalyysiä tiedon sensitiivisyyden ja sen saatavuuden laajuuden perusteella ja tuo havainnot selkeästi nähtäville palvelun portaalinäkymään.
Policies-osiossa puolestaan voidaan määritellä erilaisia politiikoita, johdettuna Insights-osiossa tehdyille havainnoille tai erillään niistä. Yhtenä esimerkkinä nostaisin vieraskäyttäjien hallinnan. Useassa organisaatiossa tuskaillaan niiden hallittavuuden kanssa. Vieraskäyttäjiä, jotka eivät ole edes aikoihin kirjautuneet, jää usein turhaan roikkumaan. Näiden manuaalinen siivous on ylimääräistä ja paljon työllistävää tekemistä tietohallinnoille. Jotta elinkaarenhallinnan käyttäjätunnuksille saa Microsoftin 365 (Entra ID) -palveluun käyttöön, vaatii se tietyn lisenssitason tai vaihtoehtoisesti erillisen automaation rakentamisen. Policies-osiossa voidaan määritellä politiikalla automaattisesti poistettavaksi esimerkiksi ne vieraskäyttäjätunnukset, joilla ei ole viimeisen vuoden aikana kirjauduttu – Microsoft 365 lisenssien tasosta riippumatta.
AvePoint Policies&Insights vastaan Microsoftin omat tietosuojan työkalut?
AvePoint Policies & Insights ei varsinaisesti korvaa mitään esimerkiksi E5 -lisenssitasojen mukana tuomia M365 compliance-puolen asioita, vaan ennemminkin tuo rinnalle lisähyötyjä asioiden havainnointiin ja korjaamiseen. Toki tuotteella voidaan tehdä osittain samoja määrityksiä kuin E5-tason lisensseillä, mutta itse näen tuotteiden tuovan nimenomaan lisäarvoa näkyvyyteen, havainnointiin ja hallittavuuteen oli käytössä sitten mikä tahansa Microsoftin lisenssitaso M365-palvelussa.
Eniten hyötyä työkalun tarjoamista automaatioista saa luonnollisesti Business Premium ja E3 tasoilla, jossa esimerkiksi EntraID:n lisenssitaso ei muuten mahdollista samoja automaatioita. Kirjoitin taannoin blogikirjoituksen Business Premium lisenssitason mahdollistamista Microsoftin omista tietosuojan työkaluista. Niiden rinnalle AvePointin ratkaisut ovat oiva lisä.
Loppusanat
AvePoint Policies & Insights on erinomainen työkalu, kun halutaan selkeää näkyvyyttä riskeihin, joita Microsoft 365 palveluiden tiedon suojaukseen liittyy. Harvemmin on ollut tarpeen kehua Microsoftin ekosysteemin ulkopuolelta tuotetta, joka toisi selkeästi lisäarvoa Microsoftin rinnalle. Nämä ratkaisut ovat muodostuneetkin keskeiseksi välineiksi osana tietohallinnoille tarjoamiamme palveluita!
Microsoft 365 ympäristöjen ympärille rakentamiemme palveluiden tarkoitus on toimia tietohallintojen voimavarana ja tuoda tärkeää tietoa myös tietosuojasta tietohallintojen päätöksenteon tueksi. Se on näkymä Microsoft 365 ympäristöjen tietosuojaan! Mikäli siis tiedon suojaukseen liittyvät asiat askarruttavat Microsoft 365 -palvelussa, niin ota rohkeasti yhteyttä ja jutellaan tarkemmin.
Above IT on tietohallintojen kumppani ja voimavara. Asiakkaanamme saat aidon asiantuntemuksen tietoturvan ja tietosuojan kehitykseen liittyen, sekä tukea ja turvaa maailman myllerryksiin! Jos haluat astua kanssamme IT:n yläpuolelle, ota meihin yhteys alla olevasta linkistä klikkaamalla!