Dynamics 365 och säkerhet i molnet

En vanlig reaktion när man tar upp molnbaserade lösningar som ett alternativ för företag, myndigheter och organisationer är att molnlösningar är osäkra. Jag vill påstå att det är precis tvärtom när det gäller Microsofts molnlösningar (och jag utelämnar namnet på den stora mailleverantör som fick 1 miljard konton hackade 2012 och aldrig offentliggjorde det samtidigt som de gav NSA tillgång till all mail att skanna efter eget godtycke) och mina skäl till det är att:

  • Microsoft uppfyller en lång rad säkerhetsstandards och har antagit policies som skyddar användarnas data, se nedanstående länk till Trust Center.
  • Microsoft har investerat många miljarder kronor för att ha en hög säkerhet i alla led och krypterar all trafik och lagring av data.  Microsoft har mycket stora resurser i världsklass som har kontroll över säkerheten dygnet runt och året runt 24/7/365 globalt. Många akttörer hr duktiga sysadmins, men mycket få kan jämföra sig i kapacitet när det kommer till skarpt läge och riktiga hot.
  • Det finns inga kända fall av stora läckor och lyckade penetrationsförsök i Microsofts cloudlösningar.
  • Microsoft har tagit strid mot myndigheter i USA när det gäller utlämning av mail från datacenters i Europa.
  • Microsoft anpassar sina lösningar till lagstiftningskrav och omvärldsförändringar fortlöpande.

d365_trustc
Det man som ansvarig för säkerheten på en myndighet, ett företag eller en organisation behöver ta ställning till är om ens data ställer specifika krav i förhållande till lagstiftningen. Det kan se väldigt olika ut beroende på om man till exempel är ett litet vårdföretag vars kunder är patienter som omfattas av specifik lagstiftning, eller om man är ett företag i säkerhetsbranschen med känsliga kunddata eller om man är en politisk organisation vars ‘kunder’ är politiskt aktiva. Man kanske behöver fråga sin IT-jurist eller gå till en advokat med kompetens på området för att  reda ut detaljerna och omständigheterna. Ibland kan lösas med en hybridlösning där vissa data lagras lokalt på det sätt man gjort förut. Viss data kan vara olämplig eller olaglig att lagra på utländska servrar. Det finns vägledande beslut om Office365 och offentlig sektor, men rättsläget kan skilja sig från lösning till lösning.

Det är svårt att hålla en blogg uppdaterad och heltäckande på detta område, och den rätta platsen att gå till och hålla sig uppdaterad på är Microsofts Trust Center där det finns en heltäckande beskrivning av Security, Privacy, Compliance, Transparency, Legal & Compliance, Community, News, Events och Resources. Det finns också en specifik startsida för säkerhet för Dynamics 365.

Mer generell information om Microsofts säkerhet, infrastruktur och datacenters finns här på Youtube.

En uppdatering om de senaste satsningarna hittar du här.