Miten OneDrive suojaa tietosi
Microsoftin insinöörit hallinnoivat OneDrivea Windows PowerShell -konsolilla, joka edellyttää kaksitekijätodennusta. Suoritamme päivittäisiä tehtäviä suorittamalla työnkulkuja, jotta voimme reagoida nopeasti uusiin tilanteisiin. Kenelläkään insinöörillä ei ole pysyvää pääsyä palveluun. Kun insinöörit tarvitsevat pääsyä, heidän on pyydettävä sitä. Kelpoisuus tarkistetaan, ja jos insinöörin käyttöoikeus hyväksytään, se myönnetään vain rajoitetuksi ajaksi.
Lisäksi OneDrive ja Office 365 panostavat voimakkaasti järjestelmiin, prosesseihin ja henkilöstöön, jotta voidaan vähentää henkilötietojen tietoturvaloukkauksen todennäköisyyttä ja havaita nopeasti tietoturvaloukkaus ja lieventää sen seurauksia, jos se tapahtuu. Joitakin tähän liittyviä investointejamme ovat:
Pääsynvalvontajärjestelmät: OneDrivessa ja Office 365:ssä noudatetaan ”nolla pysyvää käyttöoikeutta” -käytäntöä, mikä tarkoittaa, että insinööreillä ei ole pääsyä palveluun, ellei sitä nimenomaisesti myönnetä vastauksena tiettyyn tapaukseen, joka edellyttää käyttöoikeuden korottamista. Aina kun käyttöoikeus myönnetään, se tehdään pienimmän etuoikeuden periaatteen mukaisesti: tiettyä pyyntöä varten myönnetty käyttöoikeus sallii vain vähimmäismäärän toimia, joita tarvitaan kyseisen pyynnön palvelemiseen. Tätä varten OneDrivessa ja Office 365:ssä ylläpidetään tiukkaa erottelua ”käyttöoikeusroolien” välillä, ja kukin rooli sallii vain tietyt ennalta määritellyt toimet. ”Access to Customer Data” -rooli eroaa muista rooleista, joita käytetään yleisemmin palvelun hallinnointiin, ja sitä tarkastellaan tarkimmin ennen hyväksyntää. Yhdessä nämä investoinnit pääsynvalvontaan vähentävät huomattavasti todennäköisyyttä, että OneDriven tai Office 365:n insinööri pääsee asiattomasti käsiksi asiakastietoihin.
Tietoturvan seurantajärjestelmät ja automaatio: OneDrivessa ja Office 365:ssä ylläpidetään vankkoja, reaaliaikaisia tietoturvan seurantajärjestelmiä. Nämä järjestelmät antavat hälytyksiä muun muassa yrityksistä päästä laittomasti käsiksi asiakastietoihin tai yrityksistä siirtää tietoja laittomasti pois palvelusta. Edellä mainittuihin pääsynvalvontaan liittyviin seikkoihin liittyen turvallisuusseurantajärjestelmämme pitävät yksityiskohtaista kirjaa tehdyistä käyttöoikeuspyynnöistä ja tietylle käyttöoikeuspyynnölle tehdyistä toimista. OneDrivessa ja Office 365:ssä on myös automaattisia ratkaisusijoituksia, jotka toimivat automaattisesti uhkien lieventämiseksi havaitsemiemme ongelmien perusteella, sekä erityisiä tiimejä, jotka vastaavat hälytyksiin, joita ei voida ratkaista automaattisesti. Turvallisuusvalvontajärjestelmiemme validoimiseksi OneDrive ja Office 365 toteuttavat säännöllisesti punaisen tiimin harjoituksia, joissa sisäinen tunkeutumistestausryhmä simuloi hyökkääjien käyttäytymistä elävää ympäristöä vastaan. Nämä harjoitukset johtavat säännöllisiin parannuksiin tietoturvan seuranta- ja reagointivalmiuksissa.
Henkilöstö ja prosessit: Edellä kuvatun automaation lisäksi OneDrive ja Office 365 ylläpitävät prosesseja ja tiimejä, jotka vastaavat sekä laajemman organisaation kouluttamisesta tietosuoja- ja vaaratilanteiden hallintaprosesseista että näiden prosessien toteuttamisesta tietoturvaloukkauksen aikana. Esimerkiksi yksityiskohtainen yksityisyyden suojan rikkomisen vakiotoimintamenettely (SOP) ylläpidetään ja jaetaan tiimeille koko organisaatiossa. Tässä SOP:ssa kuvataan yksityiskohtaisesti sekä OneDriven ja Office 365:n yksittäisten tiimien että keskitettyjen tietoturvaloukkauksiin reagoivien tiimien roolit ja vastuut. Ne kattavat sekä sen, mitä tiimien on tehtävä parantaakseen omaa tietoturvatilannettaan (tietoturvatarkastusten tekeminen, integrointi keskitettyihin tietoturvan seurantajärjestelmiin ja muut parhaat käytännöt), että sen, mitä tiimien on tehtävä todellisen tietoturvaloukkauksen sattuessa (nopea eskalointi vaaratilanteisiin vastaamiseen, erityisten tietolähteiden ylläpito ja toimittaminen, joita käytetään nopeuttamaan vastausprosessia). Tiimejä koulutetaan myös säännöllisesti tietojen luokittelusta ja henkilötietojen oikeista käsittely- ja säilytysmenettelyistä.
Tärkein johtopäätös on, että OneDrive ja Office 365 panostavat sekä kuluttaja- että yrityssuunnitelmissa voimakkaasti siihen, että asiakkaisiin kohdistuvien henkilötietojen tietoturvaloukkausten todennäköisyyttä ja seurauksia vähennetään. Jos henkilötietojen tietoturvaloukkaus tapahtuu, olemme sitoutuneet ilmoittamaan asiakkaillemme nopeasti, kun tietoturvaloukkaus on vahvistettu.