Een compliance-aanbod moet een kernonderdeel worden van Microsofts aanbod naar bedrijven toe, naast Office, Windows en beveiliging. De nieuwe dienstverlening, gelanceerd op Ignite, moet daarvoor zorgen.
Microsoft wil een partner worden voor organisaties die te maken krijgen met complexe regelgeving. In casu zijn dat zowat alle bedrijven, zeker sinds de invoering van de GDPR. De softwarereus beseft dat steeds complexere IT-omgevingen in overeenstemming houden met de juiste regulering een kerntaak is voor bedrijven en wil daarbij helpen. Vorig jaar gaf Microsoft tijdens Ignite in Orlando al aan dat het een uitgebreid compliance-aanbod wilde uitwerken, naar analogie met het beveiligingsaanbod dat vandaag stilaan op punt staat.
Eenvoud bieden
“De compliance-wereld is moeilijk, het is aan ons om eenvoud te bieden”, verduidelijkt Alym Rayani, general manager voor Microsoft Compliance in een gesprek in de marge van de digitale Ignite-conferentie dit jaar. “Constant veranderende regelgeving was altijd al moeilijk om bij te houden. Met de pandemie, thuiswerk en de bijkomende complexiteit van IT-omgevingen wordt het voor veel organisaties bijna onhoudbaar om in overeenstemming te blijven met de juiste regels.”
De compliance-wereld is moeilijk, het is aan ons om eenvoud te bieden.
Volgens Rayani is de realiteit dat er vandaag zoveel regels zijn die zo snel veranderen dat het te overweldigend is voor organisaties om helemaal mee te zijn. “Traditioneel plannen ze daarom periodieke audits. Die brengen problemen aan het licht die de bedrijven vervolgens verhelpen. Die aanpak is tijdrovend, weinig efficiënt en holt per definitie altijd achter de feiten aan.”
Microsoft zag regelgeving en compliancy evolueren naar een essentieel aspect van organisatiemanagement. De analogie met beveiliging is nooit veraf. Security ontpopte zich tot een topprioriteit die niet exclusief in handen van externe partners mag liggen. Microsoft, als aanbieder van een volledige stack aan digitale bedrijfsoplossingen, bouwde daarom uitgebreide beveiliging in doorheen heel het portfolio. Denk aan Microsoft Defender dat vandaag niet alleen Windows-pc’s maar ook andere toestellen beschermd, maar ook Microsoft ATP.
Vijf domeinen
Omdat compliancy net zo verweven zit met de bedrijfsinfrastructuur, maakte Microsoft er een prioriteit van. “We willen niet alles doen”, verduidelijkt Rayani. “We focussen ons op vijf categorieën die dicht bij onze core business liggen.” Het gaat om volgende kerntaken:
- Bescherming en governance van data
- Insider risk management
- Ontdekking, analyse en respons (via eDiscovery)
- Auditing
- Compliance management
De vijf focusdomeinen sluiten aan bij wat Microsoft vandaag al doet. “Ze bouwen op een bestaande fundering en verbinden intern met onder andere Microsoft 365 en elkaar.” Compliance management, aangekondigd tijdens Ignite, is het belangrijkste en meteen ook duidelijkste voorbeeld.
De nieuwe Microsoft Compliance Manager integreert met het Microsoft-ecosysteem en is zo helemaal op de hoogte van de configuratie van de digitale infrastructuur. “De compliance manager vertaalt honderden belangrijke regelgevingen naar praktische regels die van toepassing zijn om je infrastructuur”, legt Rayani uit. “Regelgeving wordt omgezet naar acties.” Via de manager zien bedrijven een compliancy-score maar ontdekken ze ook wat ze kunnen doen om die score op te krikken.
Concrete acties
Rayani geeft de GDPR als voorbeeld. “De bescherming van persoonsgegevens is belangrijk en je moet bovendien kunnen aantonen dat je de nodige stappen hebt gezet om je omgeving voldoende te beveiligen. Moet je onderneming in overeenstemming zijn met de GDPR, dan kan de compliance manager bijvoorbeeld aangeven dat de opslag van bepaalde systemen nog niet versleuteld is terwijl dat wel kan en ze gevoelige data bevatten. De manager kan ook voorstellen om multifactorauthenticatie in te schakelen.”
Microsoft vertaalt de regfels naar instellingen die je kan tweaken.
Door regels te vertalen naar instellingen die je kan tweaken, wordt compliancy een eenvoudiger en vooral praktischer begrip. De aanpak heeft als bijkomend voordeel dat de omgeving permanent wordt geanalyseerd. “In contrast met een audit weet je met compliance manager meteen wanneer er iets niet meer juist zit en kan je actie ondernemen.” Een mooi voorbeeld is de onboarding van een nieuwe werknemer waar je multifactorauthenticatie en Bitlocker vergeet in te schakelen, terwijl zijn of haar rol dat vereist. De manager zal je daarop wijzen.
Langs de andere kant kan ook de regelgeving veranderen. Ook dat weet de compliance manager meteen. Microsoft zet een groot team van experts op zowel technisch als legaal vlak in om updates te analyseren, nieuwe regelgevingen toe te voegen en veranderende regels te vertalen naar concrete acties en instellingen. Rayani: “Compliancy evolueert zo van een complexe reactieve affaire naar een vereenvoudigde proactieve aanpak.”
Samenwerking en integratie
De manager en de andere tools werken samen. Auditing is zoals gezegd één aspect, de analyse van mails en documenten een ander. Dat is dan weer gekoppeld aan insider risk management: een dienst die vorig jaar werd aangekondigd maar nu algemeen beschikbaar is. De tools zorgen ervoor dat er een alarmbel afgaat wanneer iemand probeert gevoelige data per mail of via een usb-stick uit het bedrijf te ontvreemden. Geavanceerde governance-controls maken het dan weer mogelijk om bestanden te beschermen zodat ze niet externe partijen ze niet zonder machtiging kunnen openen. Ook dat kadert in gegevensbescherming en dus compliancy.
Lees ook: Wat je moet onthouden van Microsoft Ignite 2020
Het aanbod is momenteel redelijk compleet maar blijft erg Microsoft-centrisch. “We werken aan integratie met derden”, geeft Rayani aan. “Er zijn nieuwe connectors en API’s met bijvoorbeeld Box, Slack, Zoom en WhatsApp. We werken ook samen met HR-software. Iemand die enkele gevoelige documenten downloadt, is niet noodzakelijk verdacht, maar als HR een dag later een ontslag registreert, komt die download meteen in een ander daglicht te staan.”
In toekomst Microsoft focust op integratie, zowel binnen de eigen diensten als naar externe partijen toe. De nieuwe Compliance Manager is daarbij het dashboard voor de harde regelgeving, terwijl Insider Thread Prevention, eDiscovery en databescherming bestanden veilig houden. Aangezien dat een vereiste is van onder andere de GDPR (om maar niet te spreken van een goed businessbeleid), gaat al die functionaliteit hand in hand.