Jak na auditní požadavky v Microsoft 365? Poradíme

K využívání služeb Microsoft 365 v cloudu je nutné splnit mnoho regulatorních požadavků. V tomto článku se zaměříme na zajištění auditních stop a záznamů logů, které vycházejí mimo jiné např. ze zákona o bankách, z GDPR nebo z EBA/GL/2019/02.

Jak na auditní požadavky Microsoft 365? | Compliance Portal ORBIT

 

Auditní nástroje Microsoft 365 

Všechny nástroje, které nabízí platforma Microsoft 365, poskytují podporu pro zajištění auditních stop a záznamů logů. Rozdělme si je podle funkčnosti na basic auditing a advanced audit 

Basic auditing umožňuje nativně uchovávat logy po dobu až 90 dnů (platí pro uživatele, kteří nemají E5 licence). Pzapnutí ukládá uživatelské a administrátorské aktivity v unified audit log a umožňuje v nich vyhledávatPro stahování logů a jejich archivaci je doporučeno použít Office 365 Management Activity API. Nativní doba 90 dnů je dostačující pro provozní účely, nikoliv však pro regulatorní požadavky.

Z tohoto důvodu je možné využít Advanced audit, který umožnuje uchovávat záznamy po dobu jednoho roku. Pokud by ani tato lhůta nebyla dostačující, lze nastavit uchování záznamů až na dobu 10 let. Od roku 2021 se jedná o samostatnou licenci (tzv. add-on SKU), se kterou se pojí vícenáklady. 

 

Jaký přístup zvolit pro zajištění auditních stop a záznamů?   

Záleží na zvyklostech a interních směrnicích organizace a na způsobu zajišťování regulatorních požadavků. Existuje však obecný postup.

Doporučujeme vycházet z historie potřeb pro uchování daných záznamů (např. kvůli vyšetřování) a provést analýzu business a regulatorně-bezpečnostních potřeb napříč celou organizací. Výsledky analýzy by měly poskytnout dostatečná data pro volbu optimálního licenčního krytí Microsoft 365.

Jak jsme si v úvodu řekli, Basic Auditing není z pohledu zajištění Compliance pro většinu organizací dostačující, a směřují spíše k nástrojům Advanced Audit. Ty je možné využít až v rámci licence E5, což je oproti E1 nebo E3 licencím finanční rozdíl.

Neznamená to, že organizace musí pro uchování logů nakupovat pouze licence E5. Licenční možnosti jsou pestré. Může jít také o Office 365 E5/G5 a Microsoft 365 Enterprise E5/G5 subskripce. Dodatečně také s licencemi Microsoft 365 E5 Compliance nebo E5 eDiscovery či Audit add-on licence.

Pokud nechcete využít služeb v rámci Microsoft 365, alternativní cestou je data pravidelně stahovat a ukládat u sebe.

 

Jaké je tedy řešení? 

Ideální řešení zkrátka spočívá v nalezení optimálního licenčního krytí, které naplní veškeré compliance-regulatorně-bezpečnostní požadavky, a současně uspokojí business potřeby organizace (při nejnižších možných nákladech).

Pokud je pro vás vypracování analýzy business a regulatorně-bezpečnostních potřeb interní cestou náročné, nebojte se využít externí konzultanty. Jedině tak totiž zajistíte spokojenost na všech stranách bez hrozby auditních nálezů a finančních škod.  

 

Lenka Syrová

Standardizace v EU. Realita, nebo růžová budoucnost?

Evropský orgán pro bankovnictví (EBA) upozorňuje již několik let ve svých zprávách na snahu docílit standardizace regulatorních požadavků u svých členů. Jednou ze stěžejních směrnic je nově vydaná EBA/GL/2019/02 – Obecné pokyny k outsourcingu.

Standardizace v EEA | Compliance portal

 

Výše zmíněná směrnice EBA reaguje na trend outsourcovat a cloudizovat. Je snaha úspěšná? Podívejme se společně na srovnání.

 

Standardizace v EU | Compliance portal

 

Jedná se o malou výseč zemí, ale i tento vzorek ukazuje rozmanitost přijetí a naplnění regulatorních požadavků vyplývajících z tohoto doporučení. Vidíme, že Česká národní banka přijala doporučení k datu účinnosti.

Snaha o standardizaci je účinná, avšak jedná se o pomalý proces, který potrvá ještě pár let. Oblast outsourcingu a cloudu je turbulentní prostředí, a proto je potřeba být bdělí vůči změnám, které se vztahují na vaši organizaci, dceřinou společnost, holdingovou společnost nebo dodavatele či subdodavatele.

Nenašli jste zemi, kterou jste hledali? Máte konkrétní dotaz k EBA/GL/2019/02? Ozvěte se nám.