Artikel 5: Hvordan etablerer du en tilstrækkelig databeskyttelse?

Manglende klassifikation og beskyttelse af kritiske data kompromitterer sikkerheden

I vores artikel om Zero Trust og pragmatisk sikkerhed beskrev vi sikkerhedsparadigmet og Zero Trust-tankegangen om at underlægge brugeres og enheders adgang til data eller services et Need to have-princip fremfor et Nice to have-princip.

I denne artikel, som er skrevet af sikkerhedsrådgivere Peter Wohlers, Kasper Nørregaard og Lasse Dommerby Krarup fra Globeteam, sætter vi fokus på beskyttelse af de virksomhedsdata, som brugerne tilgår og anvender. Vi kigger også på de muligheder, en virksomhed har for at etablere data- og informationsbeskyttelse, så sikkerheden ikke kompromitteres. Ofte kan man som virksomhed komme langt med de løsninger, der allerede findes, og som er tilgængelige via bl.a. Microsoft 365.

Der er gode muligheder for at starte småt, men tænke stort – endda med hensyntagen til at beskytte virksomhedens forretningskritiske information og samtidig gøre det så smidigt som muligt for brugerne. Vi kalder det Stay safe, start smart.

Opnå tilstrækkelig databeskyttelse

For at kunne etablere en tilstrækkelige databeskyttelse forudsætter det, at man som virksomhed har kendskab til og overblik over den information, der findes i organisationen. Men også at virksomheden har kendskab til sensitiviteten af deres data. Hvem de ønsker, der skal kunne tilgå data, hvordan data skal kunne tilgås, hvorfra osv.

• Kend dine data: Forstå dit datalandskab, og identificer vigtige oplysninger i hele dit miljø, i skyen såvel som lokalt.
• Beskyt dine data: Beskyt dine følsomme data i hele deres livscyklus ved at anvende sensitivity labels, der er knyttet til beskyttelseshandlinger som kryptering, adgangsbegrænsninger, visuelle markeringer og meget mere.
• Undgå tab af data: Tilføj et konsekvent sæt af politikker til forebyggelse af datatab i hele skyen, det lokale miljø og slutpunkter for at overvåge, forebygge og afhjælpe risikofyldte aktiviteter, der involverer følsomme data.
• Styr dine data: Administrer på intelligent vis poster og oplysningers livscyklus med direkte administration, automatiske politikker, forsvarlig afhændelse og forudbyggede dataforbindelser.

Udfordringen for de fleste virksomheder er mængden af ukvalificeret data på fildrev, SharePoint eller i den enkelte brugers postkasse. Hertil kommer det data, der genereres på daglig basis.

Størstedelen af virksomhedens data er ikke sensitive, men data, der er kritisk for virksomheden, har vi behov for at beskytte. Det kan være data, der indeholder følsomme oplysninger eller forretningsviden, der er unik for virksomheden. Persondata, der fejlagtigt deles, kan få store økonomiske konsekvenser for virksomheden grundet GDPR. Får hackere adgang til unik forretningsviden, kan det ligeledes komme til at koste virksomheden dyrt og ydermere give ridser i imagelakken.

For organisationens IT-afdeling er databeskyttelse en anderledes disciplin. IT bidrager med deres viden om data. Men da det meste data skabes i forretningen, er det vigtigt løbende at indsamle dataviden på tværs af forretningen for at kunne sikre data succesfuldt. Herunder hvordan virksomheden arbejder med data på tværs af de enkelte afdelinger, og hvad der er sensitive virksomhedsdata. Og på den baggrund sætte Data Loss Prevention-politikker op for hermed at sikre, at brugerne ikke utilsigtet deler kritiske og værdifulde data udenfor organisationen.

Databeskyttelse og funktioner i Microsoft 365

Med afsæt i Zero Trust-arkitekturen har vi tidligere sat fokus på validering af brugere og enheder. Samspillet mellem de tre discipliner identitet, devices og data er afgørende for at styrke organisationens samlede sikkerhedsprofil og reducere risikoen for en sikkerhedsbrist. I den ideelle verden har virksomheden styr på denne treenighed. Se model 

Vi oplever, at mange organisationer er gode til at udnytte de muligheder, der er i den cloud-baserede tjeneste Microsoft. Men vi oplever også, at alle ikke får taget de informationsbeskyttelsesfunktioner i brug, som de allerede har tilgængelig via Microsoft 365:

1. De fleste organisationer har f.eks. allerede mulighed for at klassificere og beskytte deres organisations data uden at hæmme brugernes produktivitet og deres evne til at samarbejde.
2. De kan sende og modtage krypterede e-mails mellem mennesker i og uden for organisationen og dermed beskytte personlige eller fortrolige data her i.
3. De kan opdage, advare og blokere risikabel eller utilsigtet deling af data, der indeholder personlige oplysninger, både internt og eksternt.
4. De kan implementere politikker, der kan omfatte bestemmelse af, hvor længe data skal opbevares (f.eks. personoplysninger vedrørende kunder) for at overholde organisationens politikker eller dataforordninger.

Hvorfor er klassifikation af data vigtigt?

Klassifikation af data kædes ofte sammen med begrænsninger af brugernes produktivitet og deres evne til at dele data og samarbejde. Uden klassifikation at data kan din virksomhed ikke vide, om følsomme data kan deles til eksterne uden jeres viden, samt om din virksomhed er compliant.

En af de største udfordringer ved klassificeringen og struktureringen af data er den tidskrævende proces, som det er for IT-afdelingen at sætte sig ind i, hvad selve dataene består af og identificere, hvilken klassifikation data skal have.

Viden om virksomhedens data er vigtig, for uden risikerer virksomheden at klassificere data forkert eller opnå ingen dataklassifikation. Databeskyttelse er som tidligere beskrevet en opgave, der involverer samtlige dele af virksomheden, for IT-afdelingen kender ikke virksomhedens data, som brugerne gør.

Hvad er Sensitivity Labels?

Sensitivity Labels giver slutbrugerne en let mulighed for at klassificere dokumenter og mails med præ-definerede labels, som beskytter og krypterer alt efter, hvor sensitive data er. Dette fjerner udfordringen fra IT-afdelingen, som ikke skal have den nødvendige viden for at kunne klassificere dataene korrekt.

Sensitivity Labels er ydermere designet til at være tilgængelig på alle platforme og let overskuelige at anvende. Det er samme brugeroplevelse på tværs af alle enheder, som i høj grad mindsker tidsforbruget ved klassifikation og derved opnår korrekt klassifikation, da slutbrugeren har den nødvendige viden og står for klassifikationen.

Hvad Sensitivity Labels kan, er styret af IT afdelingen, som bestemmer, hvilke politikker og procedurer der er gældende for de tilgængelige Labels, samt har fuld indsigt i, hvordan labels bliver anvendt.

Klassificering af data kan også ske automatisk, hvis følsomme data som fx CPR-nummer eller kreditkortnummer har en genkendelig struktur.

IT-afdelingen kan tildele en Label til HR-afdelingen, mens ledelsen har et andet sæt Labels, som beskytter imod uautoriseret dataadgang og -lækage osv.

Hvad er Data Loss Prevention (DLP)?

DLP er politikker, der kan konfigureres til at overvåge de aktiviteter, brugerne laver på fx filer eller i e-mails og udføre beskyttelsesforanstaltninger som fx at komme med en visuel advarsel om, at brugerne er ved at sende en mail, der indeholder følsomme data til en person uden for organisationen. En anden beskyttelsesforanstaltning kan være at forhindre mailen i at blive sendt, eller dokumentet i at blive delt.

Som udgangspunkt opretter disse politikker en test tilstand, hvilket betyder, at man hurtigt kan komme i gang og få et overblik over, hvor meget der deles, ligesom man kan få rettet sine politikker til så falsk positive minimeres.

Hvad er Information Governance?

Men Information Governance-funktionaliteten i Microsoft 365 kan virksomheden håndhæve opbevaringspolitikker og styre, hvor længe data i Office 365 services skal gemmes, før det må slettes, eller hvor længe data må ligge, før det skal slettes.

Med disse opbevaringsindstillinger får virksomheden følgende muligheder:

• Behold kun: Behold indhold for evigt eller i en bestemt periode
• Kun sletning: Slet indhold permanent efter en bestemt periode
• Behold og derefter slet: Behold indhold i et bestemt tidsrum, og slet det derefter permanent

Opgaven med at etablere en tilstrækkelig databeskyttelse er indenfor rækkevidde. Databeskyttelse starter med at få skabt et overblik over virksomhedens data og information. Herefter kan man i stor grad anvende de informationsbeskyttelsesfunktioner, som Microsoft 365 tilbyder, og som mange organisationer allerede har adgang til.