Filer lagret i Microsoft 365 Teams og Sharepoint - sikkerhetsaspekter og fallgruver man bør være oppmerksom på. Forskjellen fra tradisjonell lagring på fellesområde på filserver.
Målgruppe for dokumentetFor alle som oppretter Teams og Sharepoint-områder hvor det lagres filer.
Sensitiv informasjon
Definisjonen «Sensitiv» er den samme i M365-tjenestene som på Kirkepartner Skrivebordet (Plattformen). All informasjon du ikke ønsker at uvedkommende skal få tilgang til, kan anses som sensitiv, i ulike grader:
- Personsensitive opplysninger
- Konfidensiell informasjon
- Informasjon knyttet til personvern (GDPR)
Dette bør være særlig beskyttet av organisasjonen og ikke deles, eller gjøres tilgjengelig for uvedkommende. Flytting av informasjon til M365 skaper nye muligheter både på godt og vondt.
Ansvar
Kirkepartner vil fortløpende utvikle retningslinjer, verktøy og veiledninger som skal hjelpe våre kunder med å håndtere sensitiv informasjon på best mulig vis. Vi kan derimot ikke kontrollere hva våre kunder gjør i sine egne Teams. Ansvaret for håndtering av informasjon ligger hos den enkelte organisasjon, med særlig ansvar hos øverste leder og eierne av Team og Sharepoint-områder.
Nye risikomomenter i M365
FØR:
På filserver inne på Kirkepartner-plattformen var ingen av filene på fellesområdet tilgjengelige for personer utenfor din organisasjon. Derimot kunne det bestilles fra Kirkepartner at navngitte brukere på plattformen skulle få tilgang til hele eller deler av fellesområdet. Flere organisasjoner hadde ulike nivåer av sikkerhetsgrupper, som styrte tilganger og gjorde det mulig å begrense tilgangen til utvalgte mappestrukturer.
Byttet brukeren organisasjon mistet vedkommende automatisk tilganger til fellesområdet for den organisasjonen vedkommende flyttet fra.
NÅ:
I Teams og Sharepoint ligger mappestrukturen med veldig enkel retningsstyring på tre nivåer:
- Teams-eiere kan redigere alt (alle Team bør ha minst 2 eiere)
- Teams-medlemmer kan redigere alt (kan endres)
- Teams-gjester (som kan komme fra hele verden, avhengig av hvem Eier inviterer) kan lese alt (kan endres)
Alle som kan redigere filer og mapper kan i utgangspunktet også dele, med mindre man har skrudd på restriksjoner.
Viktig: Man mister ikke tilganger til Team/Sharepoint-områder hvis man bytter organisasjon. Eier av dette må manuelt fjerne brukere som ikke lenger skal ha tilgang. Også brukere som slutter og blir satt inaktive kan senere bli ansatt og reaktiverte av en annen organisasjon på Kirkepartner-plattformen, og vil fortsatt ha tilgang til det de hadde da de sluttet, med mindre det har blitt ryddet.
Risiko-eksempel 1: Gjester
Gjester inviteres til organisasjonens hovedteam (som også inneholder hele fellesområdet), for å være med på et prosjekt og delta i en Teams-samtale, kanskje for å bli vist noen få filer. Enhver gjest har i utgangspunktet lesetilgang til samtlige filer i samtlige kanaler (med unntak av private kanaler). Gjester kan laste også ned alt av filer til sin PC.
Anbefaling: Opprett egne team for samarbeid med eksterne, og slett disse teamene når samarbeidet er avsluttet.
Risiko-eksempel 2: Deling
Man vil dele et dokument eller en mappe med noen utenfor organisasjonen eller plattformen, men deler for mye. Både eiere og medlemmer i et Team kan åpne kanalenes filområder i Sharepoint, og derfra dele til eksterne via lenke.
Viktig: Alle eiere og medlemmer i et Team må ha en klar forståelse for (og bruksanvisning på) hvordan de bare skal dele den spesifikke mappen eller de spesifikke filene som trengs, og ikke mer. Er man usikker sender man kanskje lenken til hele fellesområdet i stedet for f.eks. prosjektmappen. Den som mottar lenken har lese-tilgang til alt under mappen det lenkes til. Deling bør også ha et oppfølgingspunkt som gjør at man fjerner delingen når behovet er over.
Risiko-eksempel 3: Dra og slipp
Problemet med at man ved et uhell kan dra og slippe en mappe på fellesområdet til en annen mappe, har vært til stede i Windows filsystem i over 20 år, og har vært svært vanskelig å forhindre. Når man jobber med filer og mapper via Teams og Sharepoint er det heldigvis bedre sikring og dialogbokser som skal forhindre dette. Man kan også søke raskere for å finne hvor en savnet mappe har blitt av, og spore hvem som var så uheldig å gjøre dette, så de kan få tips om hvordan de kan unngå å gjøre dette flere ganger.
Viktig: Dette forsvinner dessverre hvis man jobber med filene og mappene via Onedrive-snarvei til Sharepoint-området. Da jobber man i Windows Filutforsker som før, og det er mulig for en som har skrivetilgang å trekke en hel mappestruktur ut av teamet og over i sin egen Onedrive.
Anbefaling: Oppfordre brukerne til å åpne filer fra Teams så ofte som mulig, alternativt å jobbe fra Sharepoint der det er mer praktisk, og å kun jobbe via Onedrive-snarvei når det er mest hensiktsmessig. Tenk på at snarveien gjør det enklere å ødelegge for alle dine kollegaer ved et uhell.