Blogs
& video

Het belang van Data Security & Lifecycle Management

Data Security Insights | Het belang van Data Security & Lifecycle Management voor een veilige uitrol van Microsoft 5 Copilot

Sinds de lancering van ChatGPT is het gebruik van generatieve AI ontploft. Het duurde nog geen twee maanden voordat 100 miljoen mensen gebruik maakten van deze nieuwe service. Dit is Microsoft niet onopgemerkt gebleven en sinds november 2023 is Microsoft 365 Copilot gelanceerd. Microsoft 365 Copilot vergroot de productiviteit van medewerkers door het eenvoudig en efficiënt vinden, maken en presenteren van interne informatie. Deze blog gaat niet over de mooie functionaliteit en mogelijkheden van Microsoft 365 Copilot. Wij vinden het belangrijk om aandacht te geven aan een potentieel datalek door het gebruik van Microsoft 365 Copilot binnen jouw organisatie.

De risico’s van een datalek

Zonder een informatiebeveiligingsbeleid en implementatie van Microsoft Purview loopt jouw organisatie een aantal risico’s rondom de uitbraak van een datalek.

Reputatieschade
Een korte zoekopdracht in Google naar datalekken in Nederland, resulteert in een schokkend aantal resultaten. Een melding van een datalek in het nieuws brengt enorme reputatieschade met zich mee voor jouw organisatie.

Vertrouwensverlies
Reputatieschade resulteert in potentieel vertrouwensverlies van klanten of burgers. Deze schromen niet om naar een concurrent te gaan vanwege het vertrouwensverlies in het beheer van persoonlijke en gevoelige informatie. Dit is een gevaar voor de continuïteit van jouw organisatie.

Boetes
De overheid deelt regelmatig boetes uit als bepaalde wet & regelgeving wordt overtreden. Het aantal, net zoals geregistreerde datalekken, is aan het toenemen.

De uitdagingen van Microsoft 365 Copilot

Ondanks de enorme potentie en geweldige features van Microsoft 365 Copilot voor medewerkers, brengt deze een aantal uitdagingen voor jouw organisatie met zich mee.

Inzicht
Medewerkers zijn met Microsoft 365 Copilot in staat om (onbeschermde) gevoelige informatie te vinden, verwerken en delen. Deze acties vinden niet alleen in Microsoft 365 plaats maar ook daarbuiten door bijvoorbeeld het kopiëren en plakken van gevoelige informatie in ChatGPT of Google Gemini. Het is daarom belangrijk dat jouw organisatie inzicht verkrijgt in de opslag en het gebruik van gevoelige informatie in combinatie met Microsoft 365 Copilot en externe AI services.

Microsoft Purview AI Hub
Microsoft heeft, op het moment van schrijven is deze feature nog in preview, een AI hub in het Microsoft Purview beheercentrum:

Je krijgt binnen deze AI Hub een overzicht van het gebruik van Microsoft 365 Copilot en eventuele externe AI services. Vanuit de AI Hub is er een gedetailleerd overzicht van de diverse activiteiten rondom jouw gevoelige informatie aanwezig:

Content Search
Ben je benieuwd waar jouw gevoelige informatie in SharePoint, OneDrive of Exchange is opgeslagen? Aan de hand van Content Search ontdek je waar dit is opgeslagen. Bijvoorbeeld:

Met deze inzichten ben je in staat om gericht acties te ondernemen zoals het beveiligen, verplaatsen of verwijderen van de gevoelige informatie in ongewenste locaties. Het daadwerkelijk bekijken van de exacte inhoud van de gevoelige informatie is eenvoudiger met de Activity Explorer.

Activity Explorer
De mogelijkheden van de Activity Explorer zijn vergelijkbaar met Content Search. Het geeft jouw organisatie inkijk in de locaties waar gevoelige informatie is opgeslagen:

Vanuit deze weergave, met de juiste rechten, ben je in staat om de inhoud te controleren:

Beschermen
De noodzaak voor het beschermen van gevoelige informatie is niet nieuw. Alleen door de inzet van Microsoft 365 Copilot is het nog belangrijker geworden. Dit heeft betrekking op de eenvoud waarmee medewerkers gevoelige informatie ontdekken, verwerken en delen. De inzet van Microsoft Purview om jouw gevoelige informatie te beschermen, is daardoor van groot belang.

Microsoft Purview Information Protection (MIP)

Met de inzet van MIP classificeer en bescherm je gevoelige informatie via labels. Het toepassen van een label gaat handmatig of automatisch. Het is mogelijk om aan de hand van gevoelige informatie, een specifiek label automatisch te koppelen waarmee de desbetreffende informatie van een beveiliging wordt voorzien. De integratie van labels met Microsoft 365 Copilot is standaard aanwezig. Een medewerker krijgt een melding als informatie, met gevoelige informatie en een label, wordt toegepast in een prompt:

Als jouw organisatie gebruik maakt van automatisch labelen, wat wij zeker aanbevelen, dan wordt een label automatisch toegepast:

Via deze functionaliteit wordt een potentieel datalek voorkomen. De referentie naar een document in een prompt met een label, wordt altijd weergegeven:

Microsoft Data Loss Prevention (MIP)
Met de inzet van DLP monitor je de handelingen van gevoelige informatie zoals het delen met externe personen of het kopiëren in externe applicaties of services zoals ChatGPT. Vanuit deze monitoring ben je in staat om een notificatie of een bescherming toe te passen. Het onderstaande voorbeeld toont de werking van DLP waarmee het niet mogelijk is om gevoelige informatie in een externe AI service verwerken:

Wet & regelgeving

Elke organisatie dient te voldoen aan een vorm van wet & regelgeving. Deze verandert continue en is complex. De toepassing van Microsoft 365 Copilot verhoogt het risico op een data risico en datalek waardoor een potentieel conflict met wet & regelgeving om de hoek komt kijken. Met potentieel verstrekkende risico’s voor jouw organisatie.  

Compliance Manager
Vanuit Microsoft Purview wordt de Compliance Manager ter beschikking gesteld. Deze geeft een score rondom de compliance status van jouw Microsoft 365 tenant.

De score is gebaseerd op de Data Protection Baseline aangeboden vanuit Microsoft. Je bent in staat om een additioneel assessment aan de hand van wet of regelgeving toe te voegen:

Drie cruciale vragen

Met het oog op de ontwikkelingen, uitdagingen en risico’s rondom de inzet van Microsoft 365 Copilot stellen wij onze klanten de volgende vragen:

  1. Weet jouw organisatie welke soorten gevoelige informatie ze heeft en waar deze zich bevindt?‚Äč
  2. Heb je controle over deze gegevens terwijl ze binnen en buiten jullie organisatie reizen?
  3. Hoe beschermt jullie organisatie gevoelige gegevens in al jullie omgevingen?

Met onze Microsoft 365 Copilot & Purview Accelerator bieden wij een gestandaardiseerde aanpak om jouw organisatie inzicht te geven in potentiële data risico’s en datalekken. We vertellen je graag over de mogelijkheden.