Piano per la gestione dei rischi Insider

  • Articolo

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Prima di iniziare a usare la gestione dei rischi Insider nell'organizzazione, sono presenti importanti attività di pianificazione e considerazioni che devono essere esaminate dai team di gestione della conformità e della tecnologia informatica. La comprensione approfondita e la pianificazione per la distribuzione nelle aree seguenti consentiranno di garantire che l'implementazione e l'uso delle funzionalità di gestione dei rischi Insider funzionino senza problemi e siano allineati alle procedure consigliate.

Per altre informazioni e una panoramica del processo di pianificazione per affrontare le attività rischiose nell'organizzazione, vedere Avvio di un programma di gestione dei rischi Insider.

Guardare il video seguente per informazioni su come il flusso di lavoro di gestione dei rischi Insider può aiutare l'organizzazione a prevenire, rilevare e contenere i rischi, assegnando priorità ai valori, alle impostazioni cultura e all'esperienza utente dell'organizzazione:

Vedere il video di Microsoft Mechanics sul modo in cui la gestione dei rischi Insider e la conformità alle comunicazioni interagiscono per ridurre al minimo i rischi per i dati degli utenti dell'organizzazione.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Collaborare con gli stakeholder dell'organizzazione

Identificare gli stakeholder appropriati nell'organizzazione per collaborare all'esecuzione di azioni su avvisi e casi di gestione dei rischi Insider. Alcuni stakeholder consigliati di prendere in considerazione l'inclusione nella pianificazione iniziale e nel flusso di lavoro end-to-end di gestione dei rischi Insider sono persone delle aree seguenti dell'organizzazione:

  • Tecnologie dell'informazione
  • Conformità
  • Privacy
  • Sicurezza
  • Risorse umane
  • Esigenze legali

Determinare eventuali requisiti di conformità a livello di area

Aree geografiche e organizzative diverse possono avere requisiti di conformità e privacy diversi da altre aree dell'organizzazione. Collaborare con gli stakeholder in queste aree per assicurarsi di comprendere i controlli di conformità e privacy nella gestione dei rischi Insider e come devono essere usati in diverse aree dell'organizzazione. In alcuni scenari, i requisiti di conformità e privacy potrebbero richiedere criteri che designano o limitano alcune parti interessate da indagini e casi in base al caso di un utente o requisiti normativi o di criteri per l'area.

Se si hanno requisiti per coinvolgere parti interessate specifiche nelle indagini sui casi che coinvolgono utenti in determinate aree, ruoli o divisioni, è possibile implementare criteri di gestione dei rischi Insider separati (anche se identici) destinati alle diverse aree e popolazioni. Questa configurazione rende più semplice per gli stakeholder giusti valutare e gestire i casi rilevanti per i ruoli e le aree geografiche. È possibile prendere in considerazione la creazione di processi e criteri per le aree in cui investigatori e revisori parlano la stessa lingua degli utenti, semplificando così il processo di escalation per gli avvisi e i casi di gestione dei rischi Insider.

Pianificare le autorizzazioni per supportare il flusso di lavoro di revisione e analisi

A seconda di come si vogliono gestire i criteri e gli avvisi di gestione dei rischi Insider, è necessario assegnare gli utenti a gruppi di ruoli specifici per gestire diversi set di funzionalità di gestione dei rischi Insider. È possibile assegnare utenti con responsabilità di conformità diverse a gruppi di ruoli specifici per gestire aree diverse delle funzionalità di gestione dei rischi Insider. In alternativa, è possibile decidere di assegnare tutti gli account utente per amministratori, analisti, investigatori e visualizzatori designati al gruppo di ruoli Gestione rischi Insider . Per altre informazioni, vedere Introduzione alla gestione dei rischi Insider.

Informazioni su requisiti e dipendenze

A seconda di come si prevede di implementare i criteri di gestione dei rischi Insider, è necessario avere le sottoscrizioni di licenza di Microsoft 365 appropriate e comprendere e pianificare alcuni prerequisiti della soluzione.

Licenze: La gestione dei rischi Insider è disponibile nell'ambito di un'ampia selezione di sottoscrizioni di licenze di Microsoft 365. Per informazioni dettagliate, vedere l'articolo Introduzione alla gestione dei rischi Insider .

Importante

La gestione dei rischi Insider è attualmente disponibile nei tenant ospitati in aree geografiche e paesi supportati dalle dipendenze dei servizi di Azure. Per verificare che la gestione dei rischi Insider sia supportata per l'organizzazione, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

Se non si dispone di un piano di Microsoft 365 Enterprise E5 esistente e si vuole provare la gestione dei rischi Insider, è possibile aggiungere Microsoft 365 alla sottoscrizione esistente o iscriversi per una versione di valutazione di Microsoft 365 Enterprise E5.

Requisiti dei modelli di criteri: A seconda del modello di criteri scelto, è necessario essere certi di comprendere i requisiti seguenti e pianificare di conseguenza prima di configurare la gestione dei rischi Insider nell'organizzazione:

  • Quando si usa il modello Furto di dati per gli utenti in uscita , è necessario configurare un connettore Microsoft 365 HR per importare periodicamente le informazioni sulle dimissioni e la data di chiusura per gli utenti dell'organizzazione. Vedere l'articolo Importare dati con il connettore HR per istruzioni dettagliate per configurare il connettore Hr di Microsoft 365.
  • Quando si usa il modello Perdite di dati, è necessario configurare almeno un criterio Prevenzione della perdita dei dati Microsoft Purview (DLP) per definire le informazioni sensibili nell'organizzazione e ricevere avvisi di rischio Insider per gli avvisi dei criteri DLP di gravità elevata. Per istruzioni dettagliate sulla configurazione dei criteri DLP, vedere l'articolo Creare e distribuire criteri di prevenzione della perdita dei dati.
  • Quando si usa il modello di violazione dei criteri di sicurezza, è necessario abilitare Microsoft Defender per endpoint per l'integrazione della gestione dei rischi Insider nel Centro sicurezza di Defender per importare gli avvisi di violazione della sicurezza. Per indicazioni dettagliate per abilitare l'integrazione di Defender per endpoint con la gestione dei rischi Insider, vedere Configurare le funzionalità avanzate in Microsoft Defender per endpoint.
  • Quando si usa il modello utente rischioso , è necessario configurare un connettore Microsoft 365 HR per importare periodicamente le informazioni sullo stato delle prestazioni o dell'abbassamento di livello per gli utenti dell'organizzazione. Vedere l'articolo Importare dati con il connettore HR per istruzioni dettagliate per configurare il connettore Hr di Microsoft 365.

Eseguire il test con un piccolo gruppo di utenti in un ambiente di produzione

Prima di abilitare questa soluzione in modo ampio nell'ambiente di produzione, è consigliabile testare i criteri con un piccolo set di utenti di produzione, eseguendo al tempo stesso le necessarie verifiche di conformità, privacy e legali nell'organizzazione. Per la valutazione della gestione dei rischi Insider in un ambiente di test è necessario generare azioni utente simulate e altri segnali per creare avvisi per la valutazione e i casi per l'elaborazione. Questo approccio potrebbe non essere pratico per molte organizzazioni, pertanto è consigliabile testare la gestione dei rischi Insider con un piccolo gruppo di utenti in un ambiente di produzione.

Mantenere la funzionalità di anonimizzazione nelle impostazioni dei criteri abilitata per rendere anonimi i nomi visualizzati degli utenti nella console di gestione dei rischi Insider durante questo test per mantenere la privacy all'interno dello strumento. Questa impostazione consente di proteggere la privacy degli utenti che hanno corrispondenze con i criteri e può contribuire a promuovere l'oggettività nelle verifiche di analisi e analisi dei dati per gli avvisi di rischio Insider.

Se non vengono visualizzati avvisi immediatamente dopo la configurazione di un criterio di gestione dei rischi Insider, potrebbe significare che la soglia di rischio minima non è ancora stata raggiunta. Controllare la pagina Utenti per verificare che i criteri siano attivati e funzionano come previsto e per verificare se gli utenti sono inclusi nell'ambito dei criteri.

Risorse per gli stakeholder

Condividere la documentazione sulla gestione dei rischi Insider con gli stakeholder dell'organizzazione inclusi nel flusso di lavoro di gestione e correzione:

Pronti per iniziare?

Pronto per configurare la gestione dei rischi Insider per l'organizzazione? Si consiglia di fare riferimento ai seguenti articoli: