Hogyan védi adatait a OneDrive
A OneDrive-ot a Microsoft mérnökei egy Windows PowerShell konzollal kezelik, amely kétfaktoros hitelesítést igényel. A napi feladatokat munkafolyamatok futtatásával végezzük, így gyorsan tudunk reagálni az új helyzetekre. Egyetlen mérnök sem rendelkezik állandó hozzáféréssel a szolgáltatáshoz. Ha a mérnököknek hozzáférésre van szükségük, akkor azt kérniük kell. A jogosultságot ellenőrzik, és ha a mérnöki hozzáférést engedélyezik, az csak korlátozott időre szól.
A OneDrive és az Office 365 emellett erőteljesen befektet a rendszerekbe, folyamatokba és a személyzetbe, hogy csökkentse a személyes adatok megsértésének valószínűségét, és ha mégis bekövetkezik, gyorsan észlelje és enyhítse a jogsértés következményeit. Az e téren végrehajtott beruházásaink közé tartozik:
Hozzáférés-ellenőrző rendszerek: A OneDrive és az Office 365 “zéró állandó hozzáférés” irányelvet tart fenn, ami azt jelenti, hogy a mérnökök csak akkor férhetnek hozzá a szolgáltatáshoz, ha azt kifejezetten engedélyezik egy olyan konkrét incidensre válaszul, amely a hozzáférés megemelését igényli. A hozzáférés megadása a legkisebb jogosultság elve alapján történik: egy adott kéréshez megadott engedély csak az adott kérés kiszolgálásához szükséges minimális műveleteket teszi lehetővé. Ennek érdekében a OneDrive és az Office 365 szigorúan elkülöníti az “emelési szerepköröket”, és minden szerepkör csak bizonyos előre meghatározott műveletek elvégzését teszi lehetővé. Az “Ügyféladatokhoz való hozzáférés” szerepkör elkülönül más, a szolgáltatás kezeléséhez gyakrabban használt szerepköröktől, és a jóváhagyás előtt azt vizsgálják meg a legszigorúbban. Ezek a hozzáférés-szabályozásba történő beruházások együttesen nagymértékben csökkentik annak valószínűségét, hogy egy mérnök a OneDrive vagy az Office 365 rendszerben illetéktelenül hozzáférjen az ügyféladatokhoz.
Biztonsági felügyeleti rendszerek és automatizálás: A OneDrive és az Office 365 megbízható, valós idejű biztonsági felügyeleti rendszereket tart fenn. Ezek a rendszerek többek között riasztást adnak ki az ügyféladatokhoz való jogosulatlan hozzáférési kísérletek, illetve a szolgáltatásból történő jogosulatlan adattovábbítási kísérletek esetén. A hozzáférés-ellenőrzéssel kapcsolatos, fent említett pontokhoz kapcsolódóan biztonsági felügyeleti rendszereink részletes nyilvántartást vezetnek a végrehajtott emelési kérelmekről és az adott emelési kérelemmel kapcsolatos intézkedésekről. A OneDrive és az Office 365 olyan automatikus megoldási befektetéseket is fenntart, amelyek az általunk észlelt problémákra reagálva automatikusan fellépnek a fenyegetések enyhítése érdekében, valamint az automatikusan nem megoldható riasztások megválaszolására külön erre a célra létrehozott csapatokat. Biztonsági felügyeleti rendszereink validálása érdekében a OneDrive és az Office 365 rendszeresen tart vörös csapatos gyakorlatokat, amelyek során egy belső behatolástesztelő csapat szimulálja a támadók viselkedését az éles környezetben. Ezek a gyakorlatok a biztonsági felügyeleti és reagálási képességeink rendszeres fejlesztéséhez vezetnek.
Személyzet és folyamatok: A fent leírt automatizáláson kívül a OneDrive és az Office 365 folyamatokat és csapatokat tart fenn, amelyek felelősek mind a szélesebb szervezet adatvédelmi és incidenskezelési folyamatokról szóló oktatásáért, mind pedig e folyamatok végrehajtásáért egy jogsértés során. Például részletes adatvédelmi incidensekre vonatkozó szabványos működési eljárást (SOP) tartanak fenn és osztanak meg a szervezeten belüli csapatokkal. Ez az SOP részletesen leírja mind a OneDrive és az Office 365 egyes csapatainak, mind a központosított biztonsági incidensre reagáló csapatoknak a szerepét és feladatait. Ez kiterjed mind arra, hogy a csapatoknak mit kell tenniük saját biztonsági helyzetük javítása érdekében (biztonsági felülvizsgálatok elvégzése, integráció a központi biztonsági felügyeleti rendszerekkel és egyéb bevált gyakorlatok), mind pedig arra, hogy mit kell tenniük a csapatoknak egy tényleges jogsértés esetén (gyors eszkaláció az incidenskezeléshez, a reagálási folyamat felgyorsításához használt konkrét adatforrások fenntartása és biztosítása). A csapatokat rendszeresen képzik az adatok osztályozására, valamint a személyes adatok helyes kezelésére és tárolására vonatkozó eljárásokra is.
A legfontosabb tanulság, hogy a OneDrive és az Office 365 mind a fogyasztói, mind az üzleti tervek esetében erőteljesen befektet a személyes adatok megsértésének az ügyfeleket érintő valószínűségének és következményeinek csökkentésébe. Ha mégis bekövetkezik a személyes adatok megsértése, elkötelezettek vagyunk amellett, hogy a jogsértés megerősítését követően gyorsan értesítsük ügyfeleinket.