Alla organisationer hanterar någon form av data, de flesta hanterar dessutom mycket data. För att göra det ännu lite mer komplext så hanterar många organisationer mycket data som man inte vet om att man faktiskt har och vilket ansvar som finns kopplat till den. Det här brukar bli särskilt tydligt inom en Microsoft 365-miljö.
Men hur hanterar du detta och hur skapar du en strategi för att hantera denna utmaning?
Nuläge (Organisationen)
Första steget behöver handla om en form av nulägesanalys. Analysen är till för att identifiera organisationens behov innan man letar efter tekniska lösningar.
I analysen bör man ställa sig frågor om den data som organisationen hanterar, några exempel på dessa frågor kan vara:
- Hur mycket data har vi?
- Vart är vår data lagrad?
- Vad är värdet på datan?
- Har vi data som kan vara skadlig för vår organisation?
- Vad är det för typ av data?
- Legala krav?
- Etc.
Frågorna kommer troligtvis att vara fler och djupare men det viktiga är att man känner till sitt data och vad den har för funktion inom organisationen.
Då en modern datahantering är en omställning för många organisationer är det viktigt att den tekniska lösningen och organisationens strategi harmoniserar, detta brukar vi säkerställa genom att skapa en mjuk policy. Den mjuka policyn brukar traditionellt sett redan finnas i någon form av IT-policy, men detta dokument bör granskas och eventuellt kompletteras med en separat policy med fokus på Information & Data.
Dokumentet bör, blanda annat förklara följande:
- Portabilitet
- Dataklassifiering
- Godkända lagringsytor
- Personuppgifter
- Kvarhållning
- Etc.
Den mjuka policyn kommer att behöva uppdateras under tiden man bygger den hårda policyn.
Den hårda policyn består av den tekniska lösningen som ska användas och oavsett om det är en Microsoft-produkt eller ett arkivskåp med lås så ska dess syfte alltid vara att uppfylla kraven i den mjuka policyn samt underlätta för användarna i att följa policyn.
Vad händer sen? (Inventering)
Med en avklarad analys tillsammans med en mjuk policy är man medveten om kraven från organisationen och kan då gå vidare med att inventera sitt data.
Datainvertering kan ske på olika sätt och med hjälp av olika verktyg.
Verktygen kan fungera på olika sätt så som att sätta etiketter på data eller maskinlärande system som känner igen mönster av tex kreditkort eller personnummer.
Den stora nyttan med inventeringen är att vi använda policys som styr hur datat kan hanteras och flyttas samt att vi kan visualisera datat och hur det används.
Inventeringen kommer att ge oss en vägledning i hur vi kan applicera tekniska policys som följer den mjuka policyn.
Skydda ditt data. (Skydd)
Med en mjuk policy och en avklarad inventering kan vi börja att skydda vårt data.
Vi vet nu om vad för typer av data vi har och kan därför skapa etiketter för att märka upp allt.
Ett vanligt sätt att märka upp sitt data är kopplat till skyddsvärde där visst data kan flöda fritt medans annan typ av data har restriktioner som till exempel:
- Externt – Detta data är öppen information som kan delas med alla.
- Internt – Standardinformation med lågt skyddsvärde som ska hållas internt.
- Konfidentiellt – Data som ska limiteras till en mindre grupp internt samt kopplas till andra krav kring lagring och transport.
- Hemligt – Data med högt skyddsvärde som ska hanteras efter ett strikt regelverk.
- Personligt – Användarens egna data som går under ”GDPR” .
Användarna kommer tex enkelt kunna välja vilken nivå ett dokument eller e-mail har i Microsoft Office-paketet.
Efter att ett dokument har blivit klassificerat kommer det att följa med dokumentet oavsett vart eller hos vem det hamnar.
I ett scenario där en användare klassificerar sitt data som ”Hemligt” kan vi styra med policys att även om det dokumentet blir stulet så är datan obrukbar för obehöriga. Beroende på vilken licensnivå så finns även möjlighet till klassificering via AI.
Tappa inte bort ditt data
Med klassificerat data kan vi återanvända etiketterna samt applicera ett nytt lager av skydd via DLP-policy (Data Loss prevention). Med DLP kan vi skapa en hantering som gör att data inte läcker ut utanför den avsiktliga mottagaren. Om vi tar ett scenario där ett e-mail som är klassificerat ”Konfidentiellt-Ekonomiavdelningen” är det bara de anställda på ekonomiavdelningen som ska få möjlighet att läsa informationen i mailet, skickas detta mail av misstag/medvetet till distributionsgruppen ”Alla på företaget” så kommer man att med korrekt uppsatta DLP-policys stoppa mailet från att skickas.
DLP går även att applicera på Teams efter att Microsoft 365-tenaten blivit konfigurerad för att hantera detta.
Bäst före datum
Precis som mycket annat har data ett ”bäst före datum” där data som en gång i tiden var relevant rent av kan bli skadligt i efterhand. Det finns även scenarion där data som blivit borttaget behöver återskapas. Det här kan man lösa via kvarhållningsprinciper där vi precis som innan skapar ett regelverk som återspeglar den mjuka policyn.
Just denna del brukar vara definierad i legala krav på till exempel att visst data ska finnas kvar i minst 10 år. En kvarhållningsprincip kan appliceras på enskilda objekt eller på en specifik plats.
Ett exempel på hur livscykeln på ett dokument kan sättas via kvarhållningsprinciper är att ett dokument sparas i 10 år även om användaren tar bort det, men efter att dokumentet blir 10 år så tas dokumentet automatisk bort. Det går även att sätta policys som inte sparar data utan bara används för att ta bort gammalt data.
Sammanfattning
Sammanfattningsvis så är det här bara ett axplock av funktioner ur Microsoft 365:s verktygslåda för hur man hanterar data. I en värld där tekniska lösningar och plattformar skiftar kommer alltid organisationens krav att vara styrande och därför så är det viktigt att utgå ifrån att man alltid har en mjuk och en hård policy. När man har en väldefinierad mjuk policy så kommer de tekniska lösningarna att vara enklare för organisationen att anamma.
