Pojawienie się generatywnej sztucznej inteligencji Microsoft Copilot zwiększa produktywność, możliwości badawcze i dostęp do informacji w środowisku Microsoft 365, a tym samym wzmacnia potrzebę właściwego zarządzania i kontrolowania dostępu do danych we wszystkich aplikacjach Microsoft Teams, SharePoint, OneDrive, Outlook i innych.
Dokładne zarządzanie dostępem, prawami i udostępnianiem wydaje się niezbędne przed wdrożeniem Copilot AI, aby zapewnić użytkownikom dostęp tylko do odpowiednich danych i uniknąć nadmiernego udostępniania treści.
Oto 5 wskazówek, jak zapewnić bezpieczny dostęp do danych podczas wdrażania Copilot:
- Zrozumienie sposobu udostępniania danych
- Zbadanie ryzyka związanego z dzierżawą platformy Microsoft 365
- Minimalizowanie ryzyka nadmiernej ekspozycji
- Zarządzanie dostępem do danych w czasie
- Wspieranie zarządzania zmianami
1. Zrozumienie sposobu udostępniania danych
Przed wdrożeniem Copilot firmy muszą przeprowadzić analizę i przegląd swoich danych i zasobów informacyjnych. Wyzwaniem jest zrozumienie, w jaki sposób informacje przechowywane w OneDrive lub SharePoint są udostępniane wewnątrz i na zewnątrz organizacji, gdzie znajdują się dane, kto obsługuje najbardziej wrażliwe i strategiczne dane, w jaki sposób dane są udostępniane i kto ma dostęp do czego.
- Utrzymanie globalnego widoku informacji w środowisku Microsoft 365 i zasobów każdego użytkownika: liczba udostępnionych skrzynek pocztowych, OneDrive, grup Teams, witryn Sharepoint itp.
- Utrzymanie widoku według użytkownika lub typu danych: w zależności od tego, czy dane są wrażliwe, czy nie, konieczne jest również uzyskanie bardziej szczegółowego widoku danych.
2. Poznaj zagrożenia na platformie Microsoft 365
Analiza ryzyka podczas wdrażania narzędzia takiego jak Microsoft Copilot jest niezbędna w celu zidentyfikowania potencjalnego ryzyka i zagrożeń, na które może być narażony system informatyczny oraz zminimalizowania powierzchni ataku.
Narzędzie Microsoft Copilot opiera się na wdrożonych uprawnieniach lub zasadach dostępu. Oznacza to, że nie będzie oferować żadnych dokumentów ani informacji osobie, która nie ma prawa dostępu do nich. Ryzyko nieautoryzowanego, złośliwego dostępu może jednak wystąpić, jeśli uprawnienia i autoryzacje nie są skonfigurowane w sposób zgodny z przepisami.
Dlatego konieczne jest zwrócenie szczególnej uwagi na dostępy i uprawnienia, na przykład poprzez mapowanie dostępu do danych, praw i uprawnień w celu zidentyfikowania wrażliwych i krytycznych punktów oraz ich skorygowania.
- Ocena narażenia danych: liczba anonimowych udostępnień, publicznych witryn SharePoint i Teams (z właścicielem lub bez).
- Wizualizacja punktów skupienia, podkreślająca potencjalne ryzyko związane z konfiguracjami udostępniania (linki anonimowe, do całej firmy, dostęp gościnny), dostępem, autoryzacjami dla każdego zebranego zasobu. Przykłady punktów skupienia:
- Goście uzyskujący dostęp do wrażliwych witryn
- Rozszerzone prawa do wrażliwych danych (oznaczonych na przykład jako Purview)
- Publiczne witryny SharePoint i Teams bez właściciela
Wizualizacja krytycznych punktów na zasobach informacyjnych pozwala firmie wyraźnie dostrzec ryzyko nadmiernego narażenia danych lub niezgodnego dostępu w celu ustalenia odpowiedniego planu działania i naprawy.
3. Zmniejszenie ryzyka nadmiernej ekspozycji
W podejściu „secure by design”, po przeanalizowaniu ryzyka, ważne jest, aby móc zminimalizować powierzchnię ataku i naprawić krytyczne punkty.
Wdrażając narzędzie Copilot, upewnij się, że masz procesy identyfikacji potencjalnie nadmiernie udostępnianych treści i powiadamiania właścicieli danych, aby indywidualnie je naprawili lub zautomatyzowali.
- Zarządzanie uprawnieniami przez administratorów: na podstawie wyników przeprowadzonego wcześniej audytu administratorzy mogą skorygować sposób konfiguracji grup, ról i wrażliwych witryn w oparciu o zasady najmniejszych uprawnień i wiedzy koniecznej.
- Zarządzanie prawami przez właścicieli danych: w praktyce użytkownicy codziennie przyznają prawa, tworzą grupy, udostępniają i wiele więcej. Ta duża ilość danych wymaga dodania użytkowników, którzy są właścicielami danych, w celu zarządzania uprawnieniami dostępu i czyszczenia krytycznych uprawnień w jak największym stopniu, wzmacniając w ten sposób bezpieczeństwo dostępu.
Przykład działań podejmowanych przez właścicieli danych:
- Usunięcie źle skonfigurowanego udziału (ogólnofirmowego lub anonimowego)
- Usuwanie przestarzałych lub nielegalnych praw dostępu z witryny/grupy
- Odbieranie praw do poufnych plików
- Sprawdzanie członków zespołu Teams, którzy mają dostęp do poufnych danych
4. Zarządzanie dostępem do danych w czasie
Jedną z głównych trudności tego typu zarządzania jest jego ewoluująca natura, w ciągłym ruchu. Każdego dnia tworzone i udostępniane są nowe pliki, przyznawane są nowe uprawnienia.
Czy istnieje jakakolwiek kontrola udostępniania (np. domyślny link udostępniania, wygaśnięcie linku, zatwierdzanie udostępniania przez właściciela witryny)? Jak badać zmiany, przeprowadzać regularne audyty?
- Ustanowienie przeglądów dostępu do danych i regularnych audytów: na przykład raz na trzy lub sześć miesięcy, poza korzyściami w zakresie bezpieczeństwa i zgodności, pomaga to przyzwyczaić użytkowników do tego procesu ponownej weryfikacji dostępu i udostępniania danych oraz zachęca do dobrych praktyk.
- Uczynienie bezpieczeństwa prostym i skutecznym dla zaangażowanych osób: dla właścicieli/zarządców danych ich zadanie musi być tak proste, jak to tylko możliwe: uproszczony widok wszystkich dostępów, proste opcje korygowania nieaktualnych praw lub nielegalnych dostępów itp.
5. Wspieranie zarządzania zmianą
Generatywna sztuczna inteligencja to potężne i innowacyjne narzędzie, które umożliwia znaczny wzrost produktywności. Aby uzyskać maksymalne korzyści, te nowe zastosowania muszą być wspierane praktycznymi przypadkami i szkoleniami. Niezbędne jest również uregulowanie tych zastosowań poprzez dodanie ograniczeń i uczynienie użytkowników odpowiedzialnymi za ryzyko, w szczególności w zakresie bezpieczeństwa danych i konsekwencji złej konfiguracji / udostępniania, na przykład.
Wdrożenie narzędzia Copilot jest gwarancją zaufania do użytkowników końcowych, ale wymaga bezpiecznego podejścia. Aby uchronić się przed ryzykiem wycieku danych i złych intencji, warto wdrożyć skuteczną strategię zarządzania dostępem do danych, w której użytkownik jest interesariuszem. Proces ten obejmuje inwentaryzację danych, czyszczenie, zaangażowanie interesariuszy i szkolenie użytkowników.