Welkom bij alweer blog nummer 12 in onze reeks over grip krijgen op je informatie. Voordat we verder gaan stellen we ons graag nog even voor.
Wij zijn Rene Vlieger (Business Consultant en Microsoft MVP bij Ofifty), Willem Jonkers (Solution Engineer bij AvePoint) en Jeroen Bijdevier (Security Architect bij AVK). Samen bundelen we onze kennis vanuit de business, de techniek en de beveiliging.
DSPM
Microsoft Copilot is inmiddels bij veel organisaties in gebruik of staat op de planning. De belofte is groot: sneller werken, slimmer samenvatten, beter zoeken door je eigen bedrijfsdata. Maar die belofte brengt ook een verantwoordelijkheid mee en zeker bij het laatste punt “beter zoeken”. Copilot heeft toegang tot alles waar een medewerker bij kan. Niet meer maar ook niet minder. In de praktijk zien we dat dit vaak meer is dan de bedoeling. Zie ook onze eerdere blog “Grip op je informatie”.
Wie is verantwoordelijk als Copilot gevoelige HR-informatie oppikt via een slimme prompt? Wat als een medewerker onbewust vertrouwelijke data delen via een AI-interactie? En hoe toon je aan dat je “in control” bent over je AI-gebruik?
DSPM is het antwoord van Microsoft op deze vragen. In deze blog geven we een globaal inzicht van deze tool en in de volgende blogs duiken we per onderdeel daar dieper op in.
Wat is DSPM?
DSPM staat voor Data Security Posture Management. Het is een module binnen Microsoft Purview die specifiek is ontworpen voor het beheren van risico’s rondom AI-gebruik. Deze tool helpt organisaties te begrijpen hoe AI-oplossingen, waaronder Microsoft 365 Copilot en Agents, bedrijfsgegevens verwerken.
DSPM is er op dit moment in twee varianten:
DSPM for AI (classic) dit is de oudere versie en wordt niet verder bijgewerkt.
DSPM (preview) deze versie is opnieuw ingericht en wordt gaandeweg verder uitgebreid. In deze blogserie focussen we op deze versie.
Dataveiligheid is opgebouwd rondom drie pijlers: Discover, Protect en Monitor. Samen vormen ze een cyclus. Je krijgt inzicht in wat er gebeurt, je neemt actie om risico’s te beperken, en je houdt continu toezicht.
Hieronder het gedeelde verantwoordelijkheidsmodel voor AI van Microsoft. Sommige organisaties veronderstellen dat Microsoft alles in de cloud regelt en dat men zelf geen actie heeft. Dat is niet juist. De eerste vier regels zijn volledige verantwoordelijkheid van de klant zelf met hulp van Microsoft tooling. Dat is de rede dat de blokjes half zijn ingekleurd.
Wat mij heeft geholpen om bekend te raken met deze materie is de Digital Deep Dive van Copilot Control System die te vinden is via deze link: https://aka.ms/copilotcontrolsystemddd
De onderdelen in vogelvlucht
Hieronder beschrijven we de verschillende onderdelen die je kan terugvinden in DSPM. Verdere diepgang volgt in de volgende blogs.
Posture
Posture is het startscherm van DSPM en toont in één oogopslag hoe volwassen je organisatie is op het gebied van AI-dataveiligheid. Je ziet welke setup tasks zijn voltooid, welke objectives zijn behaald en waar nog actie nodig is. Het is het kompas van DSPM en gidst je naar de volgende stappen.
Objectives
Objectives zijn de doelstellingen die Purview je aanreikt om je dataveiligheid te verbeteren. Per voorgestelde item geeft Purview je inzicht in hetgeen er potentieel aan de hand is en een voorgesteld plan om dit aan te pakken. Den aan het labelen van je informatie maar ook Insider Risk Management zaken. Deze laatste vereist wel een juiste licentie welke we hieronder hebben beschreven.
AI Observability
AI Observability brengt alle AI-activiteit in je organisatie in kaart van Microsoft 365 Copilot tot third-party tools die medewerkers via de browser gebruiken. Per app of Agent zie je het gebruiksvolume, de betrokken gebruikers en of er gevoelige informatie mee gemoeid was. Dit geeft inzicht hoe je omgeving wordt gebruikt en als dit afwijkt van het beleid kan je hierop actie ontplooien.
In de organisatie waar ik werk worden er door trainers veel Agents gemaakt. Hier grip op houden is essentieel.
Discover
Discover is de kern van DSPM en bevat vier onderdelen die elk gevoelige data en risicovolle AI-interacties vanuit een eigen invalshoek in kaart brengen.
Apps and Agents
Overzicht van alle actieve AI-apps en Copilot Studio Agents in je tenant. In ons geval worden er ook andere Ai apps gebruikt zoals ChatGTP Enterprice en deze worden hier ook weergegeven.
Per app zie je gebruiksvolume, betrokken gebruikers en of er gevoelige informatie bij betrokken was. Waardevol om snel te zien welke Agents zijn aangemaakt, door wie en welke data ze kunnen raadplegen.
Activity Explorer
De gedetailleerde logviewer van DSPM: per gebruiker, app en tijdperiode zie je welke AI-interacties er zijn geweest en of er gevoelige informatie in de prompt of het antwoord zat.
Data Risk Assessments
Geautomatiseerde wekelijkse scans van je top 100 SharePoint-sites op oversharing en gevoelige data. Per site zie je hoeveel items er staan, hoeveel gelabeld zijn en hoeveel risicovolle deellinks er actief zijn. Data Risk Assessment is voor mij zeer waardevol om snel inzicht te krijgen en gebruik ik als startpunt voor een inventarisatie bij de klant.
Tasks and Actions
Tasks and Actions is de actiepagina van DSPM waar inzicht wordt omgezet in concrete stappen. De pagina is opgesplitst in twee onderdelen.
Setup Tasks
Setup Tasks zijn de technische basisstappen die nodig zijn om DSPM goed te laten werken, zoals het activeren van Purview Audit, het installeren van de browser-extensie en het onboarden van endpoints (Microsoft E5 feature). Purview begeleidt je stap voor stap door elke taak heen, inclusief de geschatte tijdsinvestering en een directe link naar de juiste configuratiepagina.
Remediation Actions
Remediation Actions zijn de vervolgacties die voortvloeien uit gevonden risico’s, zoals het starten van een site access review, het instellen van een vertrouwelijkheidslabels of het beperken van Copilot-toegang tot een specifieke site. Hier gaan we in volgende blogs verder op in.
Reports
Reports brengt alle beschikbare rapportages samen. Van het automatische wekelijkse data risk assessment tot aangepaste rapporten en koppelingen met de Compliance Manager voor frameworks als NIS2, ISO 27001 en de AI Act. Ook hierop gaan we in de volgende blog verder op in.
Licenties en rollen
Welke licenties je hebt bepaald wat je in de tenant kan doen. Hieronder een overzicht van de licenties opties. Evident dat met Microsoft E5 of met E7 je het meeste kan doen. Ook de Business Premium met Purview suite geeft veel mogelijkheden. Deze laatste combinatie heb ik zelf nog niet getest.
Licentieoverzicht DSPM
- Microsoft 365 E3 + Purview add-on
- Microsoft 365 E5 / E5 Compliance
- Microsoft 365 Business Premium + Purview suite
Azure-subscriptie Voor het scannen van items op gevoelige informatie in assessments
Qua rollen heb je minimaal één van de volgende nodig om DSPM te configureren:
- Global Administrator
- Compliance Administrator (toegang tot de meeste Purview-functies)
- SharePoint Administrator (voor SharePoint Advanced Management)
Conclusie
AI is gaaf maar vraagt wel om regie. DSPM beschik over krachtige functionaliteit om inzicht te krijgen in de gevoeligheid van je informatie en kun je gericht actie ondernemen waar dat nodig is. De tool ondersteunt je in het bewaken, analyseren en beschermen van data, waardoor je grip krijgt en houdt op informatiebeveiliging binnen je organisatie.
De verschillende onderdelen worden in de volgende blog verder uitgelegd. Mijn favoriet daarbij is Data Risk Assesment en dat is ook de tool die ik samen met SharePoint Advanced Management gebruik bij klanten in snel inzicht te krijgen van hun omgeving.
Sommige onderdelen in Purview hebben een variabele kostenpost via een Azure subscriptie. Ook daar zullen we aandacht aan besteden omdat ik daar veel vragen over krijg.