Copilot: Bescherm je gegevens met het juiste IAM-beleid
De AI-tool Copilot van Microsoft is straks niet meer weg te denken; geen bedrijf kan door de voordelen nog om de tool heen. Indien je aan de slag gaat met Copilot, wil je zeker stellen dat je dit veilig doet en gevoelige informatie is afgeschermd. Microsoft helpt klanten hierbij met een handige pre-scan, die direct laat zien of een organisatie klaar is om Copilot in te schakelen. Dit vraagt onder meer om het juiste Identity & Access Management (IAM-beleid), zodat data alleen voor bevoegden toegankelijk zijn. Is dit niet op orde? Dan kan gevoelige data eenvoudig in handen vallen van onbevoegden, met reputatie- en imagoschade en mogelijke complianceproblemen tot gevolg. Met name bij scale-ups zien we het in de praktijk helaas vaak fout gaan. In dit artikel gaan we verder in op de raakvlakken tussen Copilot en IAM.
De snelgroeiende populariteit van Copilot was voor Managed Service Provider (MSP) Previder onlangs aanleiding voor het organiseren van twee kennissessies over de tool. Zowel de wereldwijde distributeur van IT-producten en -diensten TD SYNNEX als Tools4ever spraken tijdens deze kennissessies over Copilot en uitdagingen op het gebied van IAM die Copilot met zich meebrengt.
In dit artikel
Steeds meer interesse vanuit klanten
Copilot is een handige AI-tool van Microsoft, op basis van technologie van AI-bedrijf OpenAI. Bedrijven trainen Copilot op basis van hun eigen bedrijfsdata, waarbij deze data altijd hun eigen bezit blijft en nooit eigendom wordt van Microsoft. Copilot biedt interessante mogelijkheden. Zo kan de AI-assistent een samenvatting van (zeer uitgebreide) datasets maken, inzicht geven in trends die zichtbaar zijn in bedrijfsgegevens of een tekst opstellen voor bijvoorbeeld een vacature of offerte.
Vanuit klanten krijgen we steeds meer vragen omtrent Copilot en het gebruik hiervan. Hoewel de omarming binnen veel organisaties zich nog beperkt tot pilotprojecten, is de interesse groot en is het een kwestie van tijd voordat klanten Copilot op grotere schaal (willen) toepassen. Concrete voorbeelden zien we al bij onze partners. Een goed voorbeeld is Previder, dat klanten ondersteunt met onder meer datacenterdiensten, digitale werkplekken, IT-infrastructuur, back-upoplossingen en security. De MSP gebruikt Copilot onder meer voor het opstellen van offertes, waarbij de tool klant- en salesgegevens combineert. Previder kan hierdoor in korte tijd met een eenvoudige prompt een foutloze offerte genereren.
Veilig aan de slag met Copilot
Het gebruik van tools als Copilot kan klanten veel winst opleveren. Om hiermee veilig aan de slag te gaan is het echter belangrijk dat zij de basisinrichting van hun IT-omgeving goed op orde hebben. Een onmisbaar onderdeel daarvan is Identity & Access Management (IAM). Zo willen klanten zeker stellen dat gebruikers alleen toegang hebben tot de gegevens waarvoor ze bevoegd zijn, en dat andere data afgeschermd blijven. Dit klinkt wellicht voor de hand liggend, maar is een aspect dat veel klanten in de praktijk over het hoofd zien.
Arnout van der Vorst, Identity & Access Management Architect bij Tools4ever, licht toe: ”Wie aan de slag gaat met Copilot, zet deze aan in zijn Microsoft 365-omgeving. De tool indexeert en analyseert vervolgens je volledige omgeving, inclusief je SharePoint-sites, e-mailverkeer en al je data. Vervolgens kan je vragen stellen aan Copilot, waarna de tool je op handige wijze inzicht geeft in je data en allerlei waardevolle inzichten aanreikt.”
Rechten niet goed beheren kan tot veel problemen leiden
Copilot vereenvoudigt de toegang tot en inzicht in je gegevens in belangrijke mate. Dit biedt grote voordelen, maar brengt ook risico’s met zich mee. Zijn de toegangsrechten van gebruikers in je Microsoft 365-omgeving niet goed ingericht? Dan kan Copilot onbevoegden met een eenvoudige prompt toegang geven tot allerlei gevoelige data. Een voorbeeld is een stagiair, die onbedoeld inzicht krijgt in de salarisgegevens van het management. Of een medewerker die inzicht krijgt in de persoonlijke informatie van zijn collega’s.
Een aanvaller die toegang weet te krijgen tot het account van een medewerker kan eveneens van dit vereenvoudigde inzicht profiteren. Denk echter ook zogeheten insider threats, zoals een salesmedewerker met een arbeidsconflict die voor zijn vertrek bij zijn werkgever allerlei gevoelige bedrijfs- en klantgegevens kan opvragen via Copilot. Onbewuste fouten door eigen medewerkers vallen eveneens onder insider threats, zoals het via Copilot ten onrechte combineren van informatie van meerdere klanten op één offerte. Dit kan niet alleen tot het uitlekken van gevoelige informatie leiden, maar ook reputatie- en imagoschade evenals complianceproblemen tot gevolg hebben.
Microsoft biedt een scan aan die inzicht geeft in hoeverre een organisatie klaar is om aan de slag te gaan met Copilot. “Deze scan is in feite een graadmeter, en toont in hoeverre je klaar bent om Copilot daadwerkelijk in te schakelen. Microsoft meldt dat bij negentig procent van de scans die zij uitvoeren organisaties nog niet klaar blijken te zijn”, zegt Van der Vorst. “Uit cijfers van onze partner TD SYNNEX blijkt zelfs dat dit percentage conservatief is en in werkelijkheid nog hoger ligt.”
De uitdaging van IAM voor scale-ups
Er zijn grote verschillen tussen bedrijven zichtbaar. Zo zijn veel grote partijen goed op weg en hebben de toegang tot hun gegevens onder meer streng gesegmenteerd en afgeschermd. Van der Vorst: “Bij veel scale-ups is dat echter niet het geval, en hebben werknemers toegang tot een zeer breed scala aan gegevens. Onder meer doordat functies bij kleinere bedrijven in de praktijk veel vloeibaarder zijn, wat om bredere toegangsrechten vraagt. Wie daarom van startup naar scale-up doorgroeit, doet er verstandig aan ook IAM naar een hoger niveau te tillen.”
Klanten kunnen de scan van Microsoft in eigen beheer uitvoeren, maar ook door een MSP als Previder laten verrichten. In het laatste geval geeft de MSP de klant ook advies voor eventuele maatregelen die nodig zijn om de organisatie klaar te maken voor het gebruik van Copilot. En ondersteunt de klant bij het doorvoeren van deze maatregelen.
Het juiste beleid
Veilig met Copilot aan de slag gaan vraagt niet zo zeer om een specifieke oplossing, maar om het toepassen van het juiste IAM-beleid. “De IAM-oplossing HelloID van Tools4ever helpt klanten met het opstellen, invoeren en beheren van dit beleid. Zo helpt role mining snel in kaart te brengen welke gebruikers toegang hebben tot welke data. Role mining is een techniek waarmee je de bestaande autorisaties van medewerkers analyseert om tot rollen te komen”, legt Van der Vorst uit. De techniek speelt onder meer een cruciale rol in Role Based Access Control (RBAC). Dankzij HelloID zijn en blijven klanten altijd in control, en kunnen zij dat aantonen.
Met het oog op de grote populariteit van Microsoft Copilot ligt de focus in dit artikel op deze AI-tool. Het belang van IAM en het adequaat beheren van toegangsrechten is echter ook relevant voor andere AI-assistenten, zoals Sendsteps.ai, NeuralPit en Amazon Q. Wil je meer weten over het veilig werken met Copilot? Neem dan contact met ons op!
Geschreven door:
Arnout van der Vorst