רגולציית GDPR עם Office 365 Secure Score

במאמרים הקודמים של Office 365 Secure Score התמקדנו ביכולות והכלים וכן באפשרויות יישום.
כלי Secure Score בשירות Office 365 הוא כלי ניתוח לאבטחה אשר מספק נראות לגבי אבטחה בשירותי הענן הקיימים לאותו דומיין, הגדרות אבטחה בדומיין והמלצות עם הסברים מפורטים ודירוג.

הכלי Office 365 Secure Score מבצע Risk Assessment לשירות Office 365 ונותן דוח שמחולק לפי ממצאים, המלצות ודרכים לביצוע באופן מפורט. למאמרים השונים:

• מהו Office 365 Secure Score
• וניהול המלצות עםOffice 365 Secure Score

המאמר הנוכחי יתמקד באפשרויות הקיימות של Office 365 Secure Score מול רגולציית General Data Protection Regulation

רגולציית GDPR

הרגולציה נועדה בעיקר לאפשר לכל תושב באיחוד האירופי שליטה מרבית על הפרטים שנשמרו אודותיו בחברות פרטיות, ציבוריות וגופים עסקיים וממשלתיים, וזאת באמצעות החלת כללים משפטיים בני אכיפה על אותם גופים. הרגולציה התקבלה ב-27 באפריל 2016, פורסמה בעיתון הרשמי של האיחוד האירופי, והפכה לבת אכיפה בתאריך 25 במאי 2018. הרגולציה אינה דורשת ממדינות האיחוד לחוקק חקיקה ספציפית נוספת, שכן היא חלה באופן ישיר ומחייב על המדינות החברות.
הרגולציה מחליפה את הדירקטיבה האירופאית בנוגע להגנה על נתונים (הנחיה 95/46/EC[2]) שנחקקה לפני מעל ל-20 שנה, בשנת 1995, והייתה מיושנת ולא מותאמת לעידן הנוכחי. הרגולציה חלה על כל ארגון וכל אדם גם אם אינם פועלים בטריטוריה של האיחוד האירופי, ובלבד שהם מעבדים נתונים של נושאי מידע בטריטוריה של האיחוד האירופי. חלים איסורים ומגבלות על העברת מידע אל מחוץ לטריטוריית האיחוד, בשל החשש להפרות שעלולות להתרחש באזורים בעולם בהם הפרטיות אינה מוגנת כראוי.

מידע נוסף Rules for the protection of personal data inside and outside the EU

Office 365 Secure Score ורגולציית GDPR

הממשקים והאפשרויות של Microsoft מול הרגולציה מכילה המון מידע ודרכים בכדי לנהל את הרגולציה בין היתר ניתן למצוא מידע בפורטל Privacy with the Microsoft Cloud או בפרט פורטל GDPR שהוא חלק מפורטל Office 365 Security and Compliance Center או הפורטל הייעודי של Compliance Center

אז עדיין מה הקשר בין Office 365 Secure Score לבין רגולציית GDPR? אין קשר ישיר בין פורטל הניהול של Office 365 Secure Score מול רגולציית GDPR אבל הממצאים שפורטל Office 365 Secure Score מספק הם מותאמים למדיניות הנדרשת של GDPR ולכן אפשר לרתום את כל אותן ממצאים והמלצות מתוך אותו ממשק Secure Score ולהחיל אותו על שירות Office 365.
כחלק מהיישום ניתן להחיל מדיניות של מעקב וניטור אחר Office 365 או לחלופין להפעיל פוליסי מסוים, בין כלל היכולות ניתן למצוא את אפשרויות היישום הבאות:

• Enable MFA for all global admins
• Enable MFA for all users
• Enable Client Rules Forwarding Block
  
• Enable audit data recording
• Review signs-ins after multiple failures
  report weekly
• Set outbound spam notifications
• Review sign-ins from unknown sources report
  weekly
• Review signs-ins from multiple geographies
  report weekly
• Review role changes weekly
• Store user documents in OneDrive for Business
  
• Enable Information Rights Management (IRM)
  services
• Use audit data
• Do not use transport rule to external domains
  
• Do not use transport white lists
• Review mailbox forwarding rules weekly
  
• Review mailbox access by non-owners report
  bi-weekly
• Review malware detections report weekly
  
• Do not use mail forwarding rules to external
  domains
• SPO Sites have classification policies
  
• Review sign-in devices report weekly
  
• Review account provisioning activity report
  weekly
• Review non-global administrators weekly
  
• IRM protections applied to documents
  
• IRM protections applied to email
• Configure expiration time for external
  sharing links
• Tag documents in SharePoint
• Review list of external users you have
  invited to documents monthly
• Disable accounts not used in last 30 days
  
• Enable Data Loss Prevention policies
  
• Enable Advanced Security Management Console
  
• Enable Advanced Threat Protection safe
  attachments policy
• Enable Advanced Threat Protection safe links
  policy
• Enable mobile device management services
  
• Require mobile devices to use a password
  
• Require mobile devices to block access and
  report policy violations
• Require mobile devices to manage email
  profile
• Do not allow simple passwords on mobile
  devices
• Require mobile devices to use alphanumeric
  password
• Require mobile devices to use encryption
  
• Require mobile devices to lock on inactivity
  
• Require mobile devices to have minimum
  password length
• Require mobile devices to wipe on multiple
  sign-in failures
• Do not allow jail broken or rooted mobile
  devices to connect
• Require mobile devices to never expire
  password
• Do not allow mobile device password re-use
  
• Enable customer lockbox feature

במבט על הרשימה ניתן להבין שישנם לא מעט פעולות שניתן לבצע שהם חלק מיישום המדיניות של GDPR ולכן אפשר לנצל את ממשק Office 365 Secure Score בכדי להחיל את כל אותן דרישות.

לסיכום

ממשק Office 365 Secure Score אינו נותן מענה ישיר לרגולציית GDPR אבל כחלק מהמדיניות ניתן לנצל את היכולות ואופן ניהול הממצאים והממלצות בכדי להפעיל את כל אותו פעולות (מעקב אחר מידע, הצפנה וכן הלאה) בצורה פשוטה יותר ועם מעקב אחר כל פעולה.