ABOVEIT

Tiedon suojausta Microsoft-pilvessä

Organisaatioihin kohdistuu tänä päivänä entistä enemmän vaateita tietoturvan ja tietosuojan saralla. NIS2 direktiivi on EU-tasolta astumassa voimaan ja finanssialan toimijoihin kohdistuu DORA ensi vuoden alusta. Lisäksi suunnitelmat Copilotin käyttöönotosta saattavat aiheuttaa organisaatioissa huolta, ovatko tiedot organisaatiossa suojattu ja rajoitettu tarpeiden mukaisesti.

Microsoft Purview tarjoaa monipuoliset työkalut tiedon suojaukseen ja seurantaan edesauttaen organisaatiota vastaamaan tiedonsuojaukseen kohdistuviin vaateisiin. Purview-palveluiden hyödyntäminen on usein organisaatioissa jäänyt vähemmälle huomiolle. On toki todettava, että useat sen toiminallisuudet vaativat pykälää vahvemman lisensioinnin, mikä osittain selittää asiaa. Huomioitavaa myös, että tuote on tehty vastaamaan Yhdysvaltojen tietosuoja-vaateita, joten joidenkin ominaisuuksien kanssa tulee olla tarkkana käytön osalta meillä Suomessa. Rajaukset ovat kuitenkin selkeästi tehtävissä.

Mikä on Microsoft Purview ja miten sitä voi hyödyntää?

Microsoft Purview on tiedonhallinnan palvelu, joka auttaa organisaatioita ymmärtämään, luokittelemaan, suojaamaan ja hallitsemaan tietojaan eri lähteistä. Tiivistettynä Purview mahdollistaa tiedon koko elinkaaren hallinnan, tietojen suojaamisen ja hallintaa koskevien sääntöjen ja säädösten noudattamisesta. Purview koostuu useista eri toiminnallisista alueista yhteen hallintaportaalinäkymään koottuna. Eri osa-alueiden käyttöoikeus riippuu käytettävissä olevista lisenssitasoista.
Olen koostanut seuraaviin kappaleisiin muutamia eri ominaisuuksia palvelusta M365:n näkökulmasta, ja joista tyypillisesti organisaatioissa on lähdetty liikkeelle. Lisäksi olen pyrkinyt käyttöesimerkkien kautta kuvaamaan miten niitä voidaan hyödyntää. Toki tässä on huomioitava, että kaikkia Purview-palvelun tarjoamia ominaisuuksia ei yhteen blogikirjoitukseen pysty järkevästi lähteä edes koostamaan.

Vaatimustenmukaisuuden hallinta ja seuranta

Purview:n vaatimustenmukaisuuden hallinta ja seuranta työkalulla (Compliance Manager) avulla voi peilata omaa tekemistä eri vaatimuksia vasten kuten esimerkkeinä GDPR ja NIS2. Palvelu tarjoaa eri arviointikriteeristöjä ja pisteyttää riskikohdat tuoden mukanaan ehdotuksia niiden vähentämiseksi. Palvelun tarjoamalta tuloskortilta on seurattavissa, miten organisaatio vastaa eri arviointikriteeristöjä vasten. Jokaisesta arviointikriteeristöstä on jaetun vastuumallin mukaisesti organisaatioon kohdistuvat asiat, sekä vastaavasti Microsoftiin pilvipalvelun tarjoajana kohdistuvat asiat. Palvelua voi hyödyntää esimerkiksi auditointeihin ja kehittääkseen omaa tekemistä vastamaan organisaatioon kohdistuvia vaateita. Esimerkiksi me Above IT:llä hyödynnämme palvelun tarjoamia eri arviointikriteeristöjä, joilla seuraamme omaa tekemistämme meihin kohdistuvia vaatimuksia vasten.

Tiedon luokittelusta apuja tiedon hallintaan ja elinkaareen

Purview:n eri ominaisuuksilla voidaan tunnistaa ja luokitella tietoja eri kategorioihin käyttötarkoituksen ja sensitiivisyyden mukaan. Luokitteluille voidaan määritellä eri suojaustasoja ja säilytysaikakäytänteitä. Esimerkiksi organisaation sisäiseen käyttöön tarkoitetut dokumentit voidaan suojata siten, ettei niitä pysty avaamaan kukaan ulkopuolinen tilanteissa, jossa dokumentti on vuotanut tahattomasti tai tahallisesti ulkopuoliselle taholle. Rajauksia voidaan tehdä myös organisaation sisällä. Esimerkiksi siten, että HR:n sensitiivistä tietoa sisältävät aineistot on suojattu HR:ään kuuluvien henkilöiden kesken, eikä kukaan HR:n ulkopuolinen pääse niitä avaamaan. Suojausta voidaan toteuttaa myös Teams tiimien, Sharepoint -sivustojen ja M365 -ryhmien osalta. Esimerkiksi me olemme tehneet luokitukset Teams -tiimien osalta siten, ettei meidän sisäisen luokituksemme omaaviin tiimeihin ole mahdollista kutsua ulkopuolisia vieraita tai jakaa niistä materiaalia ulkopuolisille.

Tiedon menettämisen estotoiminnallisuudet

Kolmantena kohtana nostaisin Data loss prevention (DLP) toiminnallisuudet, joiden avulla voidaan estää sensitiivisen tai luottamuksellisen tiedon vuotamisen tai väärinkäytön. DLP tarjoaa tukun työkaluja ja politiikkoja perustuen tietojen luokitteluun ja seurantaan. DLP:n avulla voidaan esimerkiksi havaita, jos henkilötietoja kuten, sosiaaliturvatunnuksia, yritetään lähettää sähköpostitse salaamattomana tai jakaa muuta kautta M365 -palvelusta ulkopuolisille. DLP toiminnallisuuksien avulla voidaan myös estää tällaiset toiminnot, tai esimerkiksi sähköpostin lähetyksen osalta salata viesti automaattisesti käyttäjän puolesta.

Yhteenveto

Purview on erittäin monipuolinen palvelu auttamaan meitä suojautumaan uhilta ja noudattamaan tiedolle asetettuja vaatimuksia. Sen avulla saadaan näkyvyys dataan, auttaa selvittämään mahdollisia tietoturva- ja tietosuojapoikkeamia sekä tuo mahdollisuuden tehdä erilaisia suojaustoimenpiteitä perustuen eri kriteereihin.

Tämä kirjoitus on vain pieni pintaraapaisu Purview:n ominaisuuksista. Suosittelen ehdottomasti tutustumiseen ja hyödyntämiseen varsinkin, kun mietitään apuja organisaatioihin kohdistuviin vaateisiin tai Copilotin käyttöönottoon. Lisensioinnista vielä sen verran, että kirjoituksessa mainitut omainaisuudet ovat pitkälti käytettävissä M365 Business Premium -lisenssillä. Mikäli asiasta heräsi ajatuksia ja mahdollisesti kaipaat sparrausta asian tiimoilta, niin ota yhteyttä alta ja jutellaan lisää.