Jak OneDrive chroni Twoje dane
Inżynierowie Microsoftu administrują OneDrive za pomocą konsoli Windows PowerShell, która wymaga dwuskładnikowego uwierzytelniania. Codzienne zadania wykonujemy, uruchamiając przepływy pracy, dzięki czemu możemy szybko reagować na nowe sytuacje. Żaden z inżynierów nie ma stałego dostępu do usługi. Gdy inżynierowie potrzebują dostępu, muszą o niego poprosić. Uprawnienia są sprawdzane, a jeśli dostęp inżyniera zostanie zatwierdzony, to tylko na określony czas.
Dodatkowo w przypadku usług OneDrive i Office 365 inwestujemy w systemy, procesy i personel, aby zmniejszyć prawdopodobieństwo naruszenia danych osobowych oraz szybko wykryć i złagodzić skutki naruszenia, jeśli do niego dojdzie. Niektóre z naszych inwestycji w tym obszarze obejmują:
Systemy kontroli dostępu: OneDrive i Office 365 stosują politykę „zero stałego dostępu”, co oznacza, że inżynierowie nie mają dostępu do usługi, chyba że zostanie on wyraźnie przyznany w odpowiedzi na konkretny incydent, który wymaga podniesienia poziomu dostępu. Za każdym razem, gdy dostęp jest przyznawany, odbywa się to zgodnie z zasadą najmniejszych przywilejów: uprawnienia przyznane dla konkretnego żądania pozwalają tylko na minimalny zestaw działań wymaganych do obsługi tego żądania. W tym celu w usługach OneDrive i Office 365 zachowano ścisły podział na „role dostępu”, a każda z nich umożliwia wykonywanie tylko określonych, zdefiniowanych wcześniej działań. Rola „Dostęp do danych klienta” różni się od innych ról, które są częściej używane do administrowania usługą, i jest najdokładniej sprawdzana przed zatwierdzeniem. Łącznie te inwestycje w kontrolę dostępu znacznie zmniejszają prawdopodobieństwo, że inżynier korzystający z usługi OneDrive lub Office 365 uzyska niewłaściwy dostęp do danych klientów.
Systemy monitorowania zabezpieczeń i automatyzacja: W usługach OneDrive i Office 365 utrzymywane są solidne systemy monitorowania zabezpieczeń w czasie rzeczywistym. Między innymi systemy te alarmują o próbach uzyskania nielegalnego dostępu do danych klienta lub o próbach nielegalnego przeniesienia danych poza naszą usługę. W odniesieniu do kwestii kontroli dostępu wspomnianych powyżej, nasze systemy monitorowania bezpieczeństwa przechowują szczegółowe zapisy zgłoszonych żądań podniesienia rangi oraz działań podjętych w związku z danym żądaniem podniesienia rangi. W usługach OneDrive i Office 365 działają również inwestycje w automatyczne rozwiązywanie problemów, które automatycznie łagodzą zagrożenia w odpowiedzi na wykryte przez nas problemy, a także specjalne zespoły zajmujące się reagowaniem na alerty, których nie da się rozwiązać automatycznie. Aby zweryfikować nasze systemy monitorowania zabezpieczeń, w firmach OneDrive i Office 365 regularnie przeprowadzane są ćwiczenia red-team, w ramach których wewnętrzny zespół ds. testów penetracyjnych symuluje zachowanie napastników w środowisku rzeczywistym. Ćwiczenia te prowadzą do regularnego ulepszania naszych możliwości monitorowania zabezpieczeń i reagowania na nie.
Personel i procesy: Oprócz opisanej powyżej automatyzacji w usługach OneDrive i Office 365 funkcjonują procesy i zespoły odpowiedzialne zarówno za edukację szerszej organizacji w zakresie ochrony prywatności i procesów zarządzania incydentami, jak i za realizację tych procesów podczas naruszenia. Na przykład utrzymywana jest szczegółowa Standardowa Procedura Operacyjna (SOP) dotycząca naruszenia prywatności, która jest udostępniana zespołom w całej organizacji. Opisuje ona szczegółowo role i obowiązki zarówno poszczególnych zespołów w ramach OneDrive i Office 365, jak i scentralizowanych zespołów reagowania na incydenty bezpieczeństwa. Obejmują one zarówno to, co zespoły muszą zrobić, aby poprawić własną postawę w zakresie bezpieczeństwa (przeprowadzanie przeglądów bezpieczeństwa, integracja z centralnymi systemami monitorowania bezpieczeństwa i inne najlepsze praktyki), jak i to, co zespoły muszą zrobić w przypadku rzeczywistego naruszenia (szybka eskalacja do działu reagowania na incydenty, utrzymywanie i udostępnianie określonych źródeł danych, które zostaną wykorzystane do przyspieszenia procesu reagowania). Zespoły są również regularnie szkolone w zakresie klasyfikacji danych oraz prawidłowych procedur obsługi i przechowywania danych osobowych.
Najważniejszy wniosek jest taki, że OneDrive i Office 365, zarówno w przypadku planów konsumenckich, jak i biznesowych, zdecydowanie inwestują w zmniejszenie prawdopodobieństwa i konsekwencji naruszenia danych osobowych, które dotknie naszych klientów. Jeśli dojdzie do naruszenia danych osobowych, zobowiązujemy się do szybkiego powiadomienia naszych klientów o potwierdzeniu takiego naruszenia.