Informazioni sulla gestione dei rischi Insider

  • Articolo

Importante

Gestione dei rischi Insider Microsoft Purview correla vari segnali per identificare potenziali rischi insider dannosi o involontari, ad esempio furto ip, perdita di dati e violazioni della sicurezza. La gestione dei rischi Insider consente ai clienti di creare criteri per gestire la sicurezza e la conformità. Creati con la privacy in base alla progettazione, gli utenti vengono pseudonimizzati per impostazione predefinita e sono disponibili controlli degli accessi e dei log di controllo basati sui ruoli per garantire la privacy a livello di utente.

Gestione dei rischi Insider Microsoft Purview è una soluzione per la conformità che contribuisce a ridurre al minimo i rischi interni, consentendo di rilevare, analizzare e agire sulle attività dolose e involontarie nell'organizzazione. I criteri relativi al rischio insider consentono di definire i tipi di rischio da identificare e rilevare nell'organizzazione, compreso l'intervento sui casi e l'escalation dei casi a Microsoft eDiscovery (Premium), se necessario. Gli analisti del rischio dell'organizzazione possono intraprendere rapidamente le azioni appropriate per assicurarsi che gli utenti siano conformi agli standard di conformità dell'organizzazione.

Per altre informazioni e una panoramica del processo di pianificazione per affrontare le attività potenzialmente rischiose nell'organizzazione che possono causare un evento imprevisto per la sicurezza, vedere Avvio di un programma di gestione dei rischi Insider.

Guardare i video seguenti per informazioni su come la gestione dei rischi Insider può aiutare l'organizzazione a prevenire, rilevare e contenere i rischi, assegnando al tempo stesso priorità ai valori, alle impostazioni cultura e all'esperienza utente dell'organizzazione:

Soluzione di gestione dei rischi Insider & sviluppo:


Flusso di lavoro di gestione dei rischi Insider:

Vedere il video di Microsoft Mechanics sul modo in cui la gestione dei rischi Insider e la conformità alle comunicazioni interagiscono per ridurre al minimo i rischi per i dati degli utenti dell'organizzazione.

Importante

La gestione dei rischi Insider è attualmente disponibile nei tenant ospitati in aree geografiche e paesi supportati dalle dipendenze dei servizi di Azure. Per verificare che la gestione dei rischi Insider sia supportata per l'organizzazione, vedere Disponibilità delle dipendenze di Azure per paese/area geografica.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Punti deboli di rischio moderni

Le attività di gestione e riduzione del rischio in un'organizzazione iniziano con la comprensione dei tipi di rischio riscontrati nei moderni ambienti di lavoro. Alcuni rischi sono causati da eventi esterni e fattori che esulano dal controllo diretto. Altri rischi sono causati da eventi interni e azioni dell'utente che possono essere ridotti al minimo ed evitati. Alcuni esempi sono i rischi derivanti da comportamenti e azioni illegali, inappropriati, non autorizzati o non etici da parte degli utenti dell'organizzazione. Questi comportamenti includono un'ampia gamma di rischi interni degli utenti:

  • Divulgazione di dati sensibili e fuga di dati
  • Violazioni della riservatezza
  • Furto della proprietà intellettuale
  • Frode
  • Insider trading
  • Violazioni della conformità alle normative

Gli utenti nell'area di lavoro moderna hanno accesso per creare, gestire e condividere dati in un'ampia gamma di piattaforme e servizi. Nella maggior parte dei casi, le organizzazioni dispongono di risorse e strumenti limitati per identificare e mitigare i rischi a livello di organizzazione, rispettando al contempo gli standard di privacy degli utenti.

La gestione dei rischi Insider usa l'intera gamma di indicatori di servizio e di terze parti per aiutarti a identificare, valutare e agire rapidamente sulle attività di rischio. Usando i log di Microsoft 365 e Microsoft Graph, la gestione dei rischi Insider consente di definire criteri specifici per identificare gli indicatori di rischio. Questi criteri consentono di identificare le attività rischiose e di agire per mitigare questi rischi.

La gestione dei rischi Insider è incentrata sui principi seguenti:

  • Trasparenza: bilanciare la privacy degli utenti rispetto ai rischi dell'organizzazione con l'architettura di privacy per progettazione.
  • Configurabile: criteri configurabili in base a gruppi di settore, geografici e aziendali.
  • Integrato: flusso di lavoro integrato nelle soluzioni Microsoft Purview.
  • Interattivo: fornisce informazioni dettagliate per abilitare le notifiche del revisore, le indagini sui dati e le indagini degli utenti.

Identificazione dei potenziali rischi con l'analisi

L'analisi del rischio Insider consente di condurre una valutazione dei potenziali rischi insider nell'organizzazione senza configurare criteri di rischio Insider. Questa valutazione può aiutare l'organizzazione a identificare le potenziali aree a rischio utente più elevato e a determinare il tipo e l'ambito dei criteri di gestione dei rischi Insider che è possibile configurare. Questa valutazione può anche aiutare a determinare le esigenze di licenze aggiuntive o ottimizzazione futura dei criteri di rischio Insider esistenti.

Per altre informazioni sull'analisi dei rischi Insider, vedere Impostazioni di gestione dei rischi Insider: Analisi.

Sia che si stia configurando la gestione dei rischi Insider per la prima volta o si inizi a creare nuovi criteri, la nuova esperienza di azioni consigliata può aiutare a sfruttare al meglio le funzionalità di gestione dei rischi Insider. Le azioni consigliate includono la configurazione delle autorizzazioni, la scelta degli indicatori dei criteri, la creazione di un criterio e altro ancora.

Flusso di lavoro

Il flusso di lavoro di gestione dei rischi Insider consente di identificare, analizzare e intraprendere azioni per affrontare i rischi interni nell'organizzazione. Con i modelli di criteri incentrati, la segnalazione completa delle attività nel servizio Microsoft 365 e gli strumenti di gestione degli avvisi e dei casi, è possibile usare informazioni dettagliate interattive per identificare e agire rapidamente su comportamenti rischiosi.

L'identificazione e la risoluzione delle attività di rischio interne e i problemi di conformità con la gestione dei rischi Insider usano il flusso di lavoro seguente:

Flusso di lavoro di gestione dei rischi Insider.

Criteri

I criteri di gestione dei rischi Insider vengono creati usando modelli predefiniti e condizioni dei criteri che definiscono quali eventi di attivazione e indicatori di rischio vengono esaminati nell'organizzazione. Queste condizioni includono il modo in cui vengono usati gli indicatori di rischio per gli avvisi, gli utenti inclusi nei criteri, i servizi con priorità e il periodo di tempo di rilevamento.

Per iniziare rapidamente a usare la gestione dei rischi Insider, è possibile scegliere tra i modelli di criteri seguenti:

Dashboard dei criteri di gestione dei rischi Insider.

Avvisi

Gli avvisi vengono generati automaticamente dagli indicatori di rischio che corrispondono alle condizioni dei criteri e vengono visualizzati nel dashboard Avvisi. Tale dashboard offre una vista rapida di tutti gli avvisi che necessitano di revisione, della loro creazione nel tempo e statistiche sugli avvisi dell'organizzazione. Tutti gli avvisi dei criteri vengono visualizzati con le informazioni seguenti per identificare rapidamente lo stato degli avvisi esistenti e dei nuovi avvisi che richiedono un'azione:

  • ID
  • Utenti
  • Avviso
  • Stato
  • Gravità dell'avviso
  • Tempo rilevato
  • Caso
  • Stato del caso
  • Fattori di rischio

Dashboard degli avvisi di gestione dei rischi Insider.

Triage

Le nuove attività utente che richiedono un'analisi generano automaticamente avvisi a cui viene assegnato lo stato Di verifica delle esigenze . I revisori possono identificare ed esaminare, valutare e valutare rapidamente questi avvisi.

Gli avvisi vengono risolti aprendo un nuovo caso, assegnando l'avviso a un caso già esistente oppure ignorandolo. Usando i filtri degli avvisi, è facile identificare rapidamente gli avvisi in base allo stato, alla gravità o al tempo rilevato. Come parte del processo di valutazione, i revisori possono visualizzare i dettagli dell'avviso per le attività identificate dai criteri, visualizzare le attività utente associate alla corrispondenza dei criteri, vedere la gravità dell'avviso ed esaminare le informazioni sul profilo utente.

Valutazione della gestione dei rischi Insider.

Investigare

Esaminare rapidamente tutte le attività di rischio per un utente selezionato con i report attività utente (anteprima). Questi report consentono agli investigatori dell'organizzazione di esaminare le attività per utenti specifici per un periodo di tempo definito senza doverle assegnare temporaneamente o esplicitamente a criteri di gestione dei rischi Insider. Dopo aver esaminato le attività per un utente, gli investigatori possono ignorare le singole attività come non dannose, condividere o inviare tramite posta elettronica un collegamento al report con altri investigatori o scegliere di assegnare l'utente temporaneamente o esplicitamente a un criterio di gestione dei rischi Insider.

Vengono creati casi per gli avvisi che richiedono una revisione e un'analisi più approfondite dei dettagli dell'attività e delle circostanze relative alla corrispondenza dei criteri. La dashboard dei casi offre una visione d'insieme di tutti i casi attivi, dei casi aperti nel tempo e delle relative statistiche dell'organizzazione. I revisori possono filtrare rapidamente i casi in base allo stato, alla data di apertura del caso e alla data dell'ultimo aggiornamento del caso.

Selezionando un caso in tale dashboard, si aprirà il caso per l'indagine e la revisione. Questo passaggio è il cuore del flusso di lavoro di gestione dei rischi Insider. In questa area le attività di rischio, le condizioni dei criteri, i dettagli degli avvisi e i dettagli dell'utente vengono sintetizzati in una visualizzazione integrata per i revisori. Gli strumenti di indagine principali in questa area sono:

  • Attività utente: l'attività di rischio utente viene visualizzata automaticamente in un grafico interattivo che traccia le attività nel tempo e in base al livello di rischio per le attività di rischio correnti o passate. I revisori possono filtrare e visualizzare rapidamente l'intera cronologia dei rischi per l'utente ed esaminare attività specifiche per altri dettagli.
  • Esplora contenuto: tutti i file di dati e i messaggi di posta elettronica associati alle attività di avviso vengono acquisiti e visualizzati automaticamente in Esplora contenuto. I revisori possono filtrare e visualizzare file e messaggi in base a origine dati, tipo di file, tag, conversazione e molti altri attributi.
  • Note sul caso: i revisori possono fornire note per un caso nella sezione Note caso. Questo elenco consolida tutte le note in una visualizzazione centrale e include le informazioni sul revisore e sulla data inviate.

Indagine sulla gestione dei rischi Insider.

Inoltre, il nuovo log di controllo (anteprima) consente di rimanere informati sulle azioni eseguite sulle funzionalità di gestione dei rischi Insider. Questa risorsa consente una revisione indipendente delle azioni eseguite dagli utenti assegnati a uno o più gruppi di ruoli di gestione dei rischi Insider.

Azione

Dopo aver esaminato i casi, i revisori possono agire rapidamente per risolvere il caso o collaborare con altri stakeholder del rischio nell'organizzazione. Se gli utenti violano accidentalmente o inavvertitamente le condizioni dei criteri, è possibile inviare un semplice promemoria all'utente da modelli di avviso che è possibile personalizzare per l'organizzazione. Queste notifiche possono essere utili come semplici promemoria o indirizzare l'utente a corsi di aggiornamento o indicazioni per evitare comportamenti rischiosi futuri. Per ulteriori informazioni, consultare la sezione Modelli di notifica per la gestione dei rischi Insider.

In situazioni più gravi, potrebbe essere necessario condividere le informazioni sui casi di gestione dei rischi Insider con altri revisori o servizi dell'organizzazione. La gestione dei rischi Insider è strettamente integrata con altre soluzioni Microsoft Purview per semplificare la risoluzione dei rischi end-to-end.

  • eDiscovery (Premium):l'escalation di un caso per l'indagine consente di trasferire i dati e la gestione del caso a Microsoft Purview eDiscovery (Premium). eDiscovery (Premium) fornisce un flusso di lavoro end-to-end per conservare, raccogliere, esaminare, analizzare ed esportare contenuti che rispondono alle indagini interne ed esterne dell'organizzazione. Consente ai team legali di gestire l'intero flusso di lavoro per le notifiche di blocco a fini giudiziari. Per altre informazioni sui casi di eDiscovery (Premium), vedere Panoramica di Microsoft Purview eDiscovery (Premium).To learn more about eDiscovery (Premium) cases, see Overview of Microsoft Purview eDiscovery (Premium).
  • integrazione delle API di gestione Office 365 (anteprima): la gestione dei rischi Insider supporta l'esportazione delle informazioni di avviso nei servizi di gestione delle informazioni di sicurezza e degli eventi (SIEM) tramite le API di gestione Office 365. L'accesso alle informazioni sugli avvisi nella piattaforma che meglio si adatta ai processi di rischio dell'organizzazione offre una maggiore flessibilità nell'agire sulle attività di rischio. Per altre informazioni sull'esportazione delle informazioni sugli avvisi con le API di gestione Office 365, vedere Esportare gli avvisi.

Scenari

La gestione dei rischi Insider può aiutare a rilevare, analizzare e intraprendere azioni per attenuare i rischi interni nell'organizzazione in diversi scenari comuni:

Furto di dati da parte di utenti che lasciano l'organizzazione

Quando gli utenti lasciano un'organizzazione, volontariamente o come risultato della terminazione, spesso ci sono dubbi legittimi sul fatto che i dati aziendali, dei clienti e degli utenti siano a rischio. Gli utenti possono presumere innocentemente che i dati di progetto non siano proprietari o potrebbero essere tentati di prendere i dati aziendali per guadagno personale e in violazione dei criteri aziendali e degli standard legali. I criteri di gestione dei rischi Insider che usano il modello di criteri Furto dati da utenti in partenza rilevano automaticamente le attività in genere associate a questo tipo di furto. Con questo criterio, si riceveranno automaticamente avvisi per le attività sospette associate al furto di dati da parte degli utenti in partenza, in modo da poter intraprendere le azioni investigative appropriate. Per questo modello di criterio è necessaria la configurazione di un connettore HR di Microsoft 365 per l'organizzazione.

Perdita intenzionale o involontaria di informazioni sensibili o riservate

Nella maggior parte dei casi, gli utenti fanno del loro meglio per gestire correttamente le informazioni sensibili o riservate. Ma a volte gli utenti possono commettere errori e le informazioni vengono accidentalmente condivise all'esterno dell'organizzazione o in violazione dei criteri di protezione delle informazioni. In altre circostanze, gli utenti possono intenzionalmente perdere o condividere informazioni sensibili e riservate con finalità dannose e per un potenziale guadagno personale. I criteri di gestione dei rischi Insider creati usando i modelli di criteri Perdite di dati seguenti rilevano automaticamente le attività in genere associate alla condivisione di informazioni sensibili o riservate:

Violazioni intenzionali o non intenzionali dei criteri di sicurezza (anteprima)

Gli utenti hanno in genere un elevato livello di controllo durante la gestione dei dispositivi nell'area di lavoro moderna. Questo controllo può includere le autorizzazioni per installare o disinstallare le applicazioni necessarie per le prestazioni dei propri compiti o la possibilità di disabilitare temporaneamente le funzionalità di sicurezza dei dispositivi. Se questa attività di rischio è involontaria, accidentale o dannosa, questa condotta può rappresentare un rischio per l'organizzazione ed è importante identificare e agire per ridurre al minimo. Per identificare queste attività di sicurezza rischiose, i modelli di violazione dei criteri di sicurezza di gestione dei rischi Insider seguenti assegnano punteggi agli indicatori di rischio di sicurezza e usano avvisi Microsoft Defender per endpoint per fornire informazioni dettagliate per le attività correlate alla sicurezza:

Criteri per gli utenti in base alla posizione, al livello di accesso o alla cronologia dei rischi (anteprima)

Gli utenti dell'organizzazione potrebbero avere livelli di rischio diversi a seconda della posizione, del livello di accesso alle informazioni sensibili o della cronologia dei rischi. Questa struttura può includere membri del team dirigenziale esecutivo dell'organizzazione, amministratori IT che dispongono di ampi privilegi di accesso alla rete e dati o utenti con una cronologia precedente di attività rischiose. In queste circostanze, un'ispezione più approfondita e un punteggio di rischio più aggressivo sono importanti per consentire la creazione di avvisi per l'analisi e l'azione rapida. Per identificare le attività rischiose per questi tipi di utenti, è possibile creare gruppi di utenti con priorità e creare criteri dai modelli di criteri seguenti:

Assistenza sanitaria (anteprima)

Per le organizzazioni del settore sanitario, recenti studi hanno rilevato un tasso molto elevato di violazioni dei dati correlate all'insider. Il rilevamento dell'uso improprio dei dati dei pazienti e delle informazioni sui record sanitari è una componente fondamentale per la tutela della privacy dei pazienti e il rispetto delle normative di conformità, ad esempio health insurance portability and accountability act (HIPAA) e Health Information Technology for Economic and Clinical Health (HITECH). L'uso improprio dei dati dei pazienti può variare dall'accesso ai record dei pazienti privilegiati fino all'accesso ai record dei pazienti provenienti da familiari o vicini con finalità dannose. Per identificare questi tipi di attività rischiose, il modello di criteri di gestione dei rischi Insider seguente usa il connettore Microsoft 365 HR e un connettore dati specifico dell'assistenza sanitaria per iniziare a assegnare punteggi agli indicatori di rischio relativi ai comportamenti che possono verificarsi all'interno dei sistemi EHR (Electronic Heath Record):

Azioni e comportamenti da parte di utenti a rischio (anteprima)

Gli eventi di stress dell'occupazione possono influire sul comportamento degli utenti in diversi modi correlati ai rischi insider. Questi fattori di stress possono essere una revisione delle prestazioni scadente, un abbassamento di posizione o l'utente che viene inserito in un piano di revisione delle prestazioni. Gli stressanti possono anche comportare comportamenti potenzialmente inappropriati, ad esempio gli utenti che inviano un linguaggio potenzialmente minaccioso, molesto o discriminatorio nella posta elettronica e in altri messaggi. Anche se la maggior parte degli utenti non risponde in modo dannoso a questi eventi, lo stress di queste azioni può comportare che alcuni utenti si comportino in modi che normalmente non considerano durante le normali circostanze. Per identificare questi tipi di attività potenzialmente rischiose, i modelli di criteri di gestione dei rischi Insider seguenti possono usare il connettore HR e/o l'integrazione con un criterio di conformità delle comunicazioni dedicato per includere gli utenti nell'ambito dei criteri di gestione dei rischi Insider e iniziare a assegnare punteggi agli indicatori di rischio relativi ai comportamenti che possono verificarsi:

Contesto visivo per attività utente potenzialmente rischiose con prove forensi

La presenza di un contesto visivo è fondamentale per i team di sicurezza durante le indagini forensi per ottenere informazioni migliori sulle attività utente potenzialmente rischiose che possono causare un incidente di sicurezza. Ciò può includere l'acquisizione visiva di queste attività per valutare se sono effettivamente rischiose o fuori contesto e non potenzialmente rischiose. Per le attività che sono determinate come rischiose, l'acquisizione di prove forensi può aiutare gli investigatori e l'organizzazione a mitigare, comprendere e rispondere meglio a queste attività. Per semplificare questo scenario, abilitare l'acquisizione di prove forensi per i dispositivi online e offline nell'organizzazione.

Pronti per iniziare?