6 tips för att öka säkerheten i Microsoft 365

Delge Sharepoint-behörighet på gruppnivå, inte på individnivå

Sharepoints grundidé syftar till att dela filer, inte begränsa. därför, så fungerar inte Sharepoint på samma sätt som en vanlig filstruktur på en server. Sharepoint har en tydligare inriktning mot just, fildelning. I teorin är detta väldigt bra och skapar en enorm flexibilitet hos företag och användare. Men det skapar också några direkt utmaningar.

Användandet i Sharepoint ställer högre krav på den enskilda individen, där du som företagsledare behöver göra åtgärder för att höja lägstanivån på företaget. Den största orsaken till detta är att det är lättare att råka dela filer och att du delar din egen aktuella behörighet. Ett bra exempel är att du som ekonomichef, har tillgång till en mapp som vi kallar ”Ekonomi”. I den mappen så ligger mappen ”Löner”.

Skulle du som chef då bjuda in en ny ekonomianställd till mappen ”Ekonomi”, så delar du din behörighet och den nyanställda kan se samtliga löner i dokumentet. Detta är enbart ett av många exempel på hur det kan bli fel.

Grundtanken du bör ha för att undvika denna typ av fel, är att styra rättigheter och behörigheter på grupptillhörighet snarare än persontillhörighet. Det innebär också att ni förmodligen inte borde ”copy-paste” er befintliga filstruktur direkt in i Sharepoint.

Komplettera era Microsoft 365 backups med externa backups

Detta är förmodligen den vanligaste misstolkningen som sker vid migrering till Sharepoint.

Ta med er att ni inte har någon sorts backup, om ni väljer att lägga filerna i Sharepoint eller OneDrive. Microsoft har skapat ett upplägg där du har en viss tid på dig att återläsa filer som raderas. Gör du inte detta inom utsatt tid, så är filerna förlorade för alltid. Microsoft har valt att göra så för att kunna hantera en större mängd data till ett konkurrenskraftigt pris.

Här rekommenderar vi alltid att ni tittar efter en extern backup till något företag eller tjänst. Ställ också krav på leverantören att göra kontinuerliga återläsningstest.

Tänk ut ett bergsäkert lösenord, som är lätt att komma ihåg

Nästa punkt att avhandla är nätverket, på vilka orter ska företaget verka och vilka anslutningar behövs är frågor som bör utredas först och därefter behöver man ta fram en nätverkskarta. Det är en stor skillnad om man säger att företaget bara har en lokal t.ex. i Ängelholm, eller om företaget ska ha möjlighet att växa med filialkontor t ex både i Malmö, Stockholm och Göteborg.

Om driften ska vara i molnet, hos en driftspartner eller kanske i huset är en fråga att utreda längre fram, först bör man bestämma vilka program och vilka orter man ska finnas på. Till exempel, kan ett program som är känsligt för latens (latency) behöva placeras i huset medan andra program kan fungera bra via VPN/IPsec tunnlar. Ett vanligt sätt att lösa latensproblem är fjärrskrivbord, såsom terminalserver eller Citrix men i alla fall går det inte – t ex om det är ett grafiktungt program.

Det finns fördelar att ha driften i molnet men det finns också fördelar att ha servern i huset, något som blir mer vanligt är att man lägger drift av mailsystem och filstrukturer i molnet med hjälp av t ex Microsoft 365, Teams, SharePoint – men att man har servrar på plats nära produktionen för att inte vara beroende av Internet för att t ex en fabrik ska kunna producera sina produkter.

Använd multifaktorsautentisering – aktivera MFA Security Defaults

Multifaktorsautentisering är ett bra sätt för din verksamhet att säkra upp sig mot intrångsförsök. Grundtanken för detta är att efter du har loggat in, så måste du också autentisera dig via samtal, sms eller app. Exempelvis då via din mobiltelefon eller smart-klocka.

MFA Security Defaults ingår i Microsoft Business Standard licensen och kan slås på för samtliga användare. Väljer du någon av de större licenserna, så kan du också implementera ”Conditional Access MFA”. Denna agerar som en smartare MFA där du kan sätta fler regler. Exempelvis att du slipper autentisera dig om du loggar in från din klient från ditt företags IP. Det kan också vara åt andra hållet och att ni vill låsa ner alla inloggningsförsök från exempelvis ett specifikt land.

Underlätta spårbarhet med den inbyggda granskningsloggen

En av Microsofts stora styrkor är spårbarhet och versionshantering. Det innebär att ni som företag kan vid olika tillfälle när situationen kräver det, kan gå tillbaka och se exakt: Vad som har hänt, vid vilken tidpunkt och av vilken användare.

Detta är bra av flera olika anledningar. Det kan vara så att någon slutar och det finns skäl att tro att bolagskritisk information kan ha spridits. Det kan också vara så att miljön drabbas av virus kontinuerligt och ni behöver hitta källan, eller att en person plötsligt har åtkomst till information som de inte bör ha tillgång till. Denna funktion möjliggör att ni som företag, kan göra insatser för att öka lägstanivån på företaget och åtgärda diverse flaskhalsar som kan finnas. Granskningsloggen är något som ni manuellt måste aktivera.

Då får ni möjlighet att följa upp delarna som beskrivits ovan och ger er också tillgång till en utökad filtrering så det blir enkelt att hitta just det ni är ute efter.