Blogg

Efterlevnad och Microsofts compliance-verktyg

Efterlevnad, eller compliance, är ett vanligt företagskoncept som huvudsakligen handlar om att etablera metoder och standarder för att definiera vad som accepteras och inte vid en organisation. Ofta handlar det om att styra beteenden hos de som verkar i en organisation. Det är den mest grundläggande definitionen, utan att gå in i undergrupper.

Typer av compliance

Den naturliga frågan blir lätt vad som står till grund för en efterlevnadspolicy. Efterlevnad delas ofta upp i två undergrupper: extern och intern efterlevnad. I korthet så går att skilja intern mot extern compliance åt eftersom den externa efterlevnaden handlar om vad som inte är tillåtet. Den interna efterlevnaden, däremot, handlar om hur det uppfylls.

Extern efterlevnad

Vid extern efterlevnad så handlar det om att lagstiftning eller regler kräver vissa handlingar av organisationen. Ett grundläggande exempel är att informationen stämmer i de dokument som organisationen publicerar. Det kan även handla om att organisationer i EU behöver behandla personuppgifter på särskilda sätt för att inte bryta mot dataskyddsförordningen, GDPR.

Extern efterlevnad handlar alltså i stort om lagarna som omfattar organisationen.

Intern efterlevnad

Det som skiljer extern efterlevnad från intern efterlevnad är processerna organisationen etablerar. Det vill säga de organisationsspecifika metoderna som används för att inte bryta mot de externa kraven. Men under intern efterlevnad faller även andra företagspolicyer in, exempelvis hur enheter ska hanteras – så att företagsinformation inte kapas eller läcks.

Det går det alltså att summera som att efterlevnad handlar om att agera, eller inte agera, på vissa sätt i syfte att skydda organisationen. Extern compliance handlar om vad som måste följas, medan intern redogör för hur det följs. Läs mer om Corporate Compliance i den här externa artikeln.

Dataskyddsförordningen

Ett konkret exempel för efterlevnad handlar om organisationers behandling av personuppgifter i allmänna dataskyddsförordningen, dataskyddsförordningen eller förkortat GDPR.

Kortfattat så anger dataskyddsförordningen, GDPR, att en individ måste ge sitt medgivande för att information om dem ska kunna sparas. GDPR kräver att en organisation ska kunna redogöra för hur informationen kommer att användas. Krävs gör även att informationen ska kunna tas bort vid förfrågan.

Att följa kraven i GDPR kräver insikt och förståelse av hur data sparas, används och sprids inom organisationen som hämtar informationen. Stora summor har betalats ut i böter för de som inte uppfyllt kraven i dataskyddsförordningen – se exempelvis den här listan med GDPR-böter. Med risken om att anmälas och bötfällas så finns det därför stark anledning för bolag att se till att de inte bryter mot kraven i GDPR.

För att koppla exemplet till intern och extern compliance så innebär det att den externa efterlevnaden säger att persondata inte får lagras utan medgivande. Då gäller det att sätta upp interna efterlevnadsmetoder som får det kravet att följas.

Granskningar och kontroller

För att försäkra att organisationer följer lagar och regelverk så kan revisioner (på engelska audits), granskningar och kontroller utföras av till exempel myndigheter. Då kan register och uppgifter begäras ut för att undersökas närmare. Det kan göra som rutinkontroll, vid misstanke om att regler inte efterlevs, eller av andra anledningar.

Kontroller genomförs ofta på ett av tre sätt. Det kan vara internt, av anställda vid organisationen för att se till att organisationen följer egna standarder samt följer den relevanta lagstiftningen. En kontroll kan vara en del i ett samarbete, alltså att en kund kräver en kontroll för att tjänsten eller produkten levereras korrekt. Eller så kan kontrollen ske av en fristående organisation, så som av myndigheter. I det senare exemplets fall finns risken för böter om efterlevnadsstandarden inte är som den borde, men kan ge certifikat och liknande om kontrollen genomförs fläckfritt.

När en granskning äger rum så underlättar det att ha tydliga standarder och policyer för vad som förväntas inom organisationen. Det gäller bland annat hur dokument klassificeras, hur enheter hanteras, var och hur data lagras, hur anställda bör bete sig och så vidare. Läs den här artikeln för mer djupgående information om audits.

Efterlevnad i Microsofts ekosystem

Av Microsoft finns ett flertal olika plattformar som bidrar till att hålla efterlevnaden hög. Det finns både Microsoft Office 365-relaterade funktioner samt mer fristående komponenter via Azure.

Microsoft 365 Compliance Center

För att skydda organisationen så finns för Microsoft 365 bland annat det som heter Microsoft 365 Compliance Center. Det är ett administrationscenter som finns tillgängligt i de flesta licensplaner och kan användas av de med administratörsrättigheter.

Microsoft 365 Compliance Center består av en anpassningsbar kontrollpanel som visar olika delar om hur efterlevnaden inom organisationen. Den grundläggande vyn består av Microsoft Compliance Manager, Solution Catalog samt Active Alerts.

Det är valfritt att lägga till eller ta bort vilka delar som ska synas i startvyn för Microsoft 365 Compliance Center. Det går att lägga till Cloud App Compliance, DLP Policy Matches, Discover Shadow IT, High Risk Apps, Pending Disposition, Retention Label Usage, Shared Files, Third-party DLP Matches.

Vad som är viktigt att se direkt i centret varierar beroende på hur organisationen ser ut. Men oavsett om det handlar om skugg-it, information om delade filer eller risker med tredjepartsapplikationer så går det att hantera i Microsoft 365 Compliance Center. Läs om Microsofts efterlevnadsfunktioner här.

Azure Policy

I Microsoft Azure så finns inget dedikerat center på samma sätt som Microsoft 365 Compliance Center. Men ett av alternativen för att sköta compliance-frågor i Azure är via Azure Policy. I Policy så kan efterlevnads- och säkerhetsfrågor styras för att se till att organisationen är säker.

Som plattformsnamnet avslöjar så är en viktig del av Azure Policy möjligheten att skapa företagspolicyer för de interna resurserna. Det kan handla om hur webbutvecklingen går till, hur filer hanteras och sparas, kostnadsbegränsningar. Det finns en stor mängd fördefinierade policyer men är även möjligt att skapa egna.

En stor fördel med Azure policy är att det ingår i tjänsten att enkelt kunna skala upp omfattningen allt eftersom organisationen förändras. Därför är det lätt att exempelvis göra få en organisations efterlevnadspolicyer att omfatta en annan organisation, exempelvis efter ett uppköp.

Azure Policy är allmänt tillgängligt nu. Men Azure Policy för Azure Kubernetes Services är i oktober 2021 i förhandsvisningsläge och beräknas bli allmänt tillgängligt vid ett senare tillfälle. Läs mer här om Azure Policy.

Azure Purview

Azure Purview är inte direkt ett verktyg för efterlevnaden, men kan användas som ett komplement. I Azure Purview är det möjligt att samla hela organisationens data i en enda översikt. Det gör det lätt att ha koll på applikationsbaserad, molnbaserad och lokalt lagrad data på samma gång.

Med Azure Purview så kan metadata läggas till och ändras för att filer ska klassificeras rätt, inklusive att markera information som känslig och privat. De datacenter som används för att lagra organisationsdata listas och syns i en kartvy som ger översiktlighet. I de fall som viss företagsinformation bara får finnas vid särskilda datacenter så gör Purview det möjligt att spåra och verifiera det.

Microsoft Azure kallas för ett verktyg som gör styrningen enklare genom möjligheten att se allt från samma plats. Därför är det inte per se ett verktyg för efterlevnad, men det kan antagligen göra kontroller av efterlevnaden enklare. Det är också ett bra sätt att underlätta den interna efterlevnaden genom dataklassificering. Läs mer om Azure Purview här.

Vidare läsning

Vi tror att någon av nedan artiklar kan vara intressanta för dig.

Läs om säkerhet i Microsoft Azure och Office 365 här.

Här är vår uppskattade artikler om administration i Office 365.

Vill du komma i kontakt med oss, skriv ett meddelande här.