Planejar a prevenção contra perda de dados (DLP)

  • Artigo

Cada organização planeja e implementa a DLP (prevenção contra perda de dados) de forma diferente. Por quê? Como os negócios de cada organização precisam, metas, recursos e situação são exclusivos. No entanto, há elementos que são comuns a todas as implementações bem-sucedidas de DLP. Este artigo apresenta as melhores práticas para planejar uma implantação de DLP.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Antes de começar

Se você for novo no DLP do Microsoft Purview, veja uma lista dos artigos principais necessários ao implementar o DLP:

  1. Unidades administrativas
  2. Saiba mais sobre Prevenção Contra Perda de Dados do Microsoft Purview – O artigo apresenta a disciplina de prevenção contra perda de dados e a implementação do DLP pela Microsoft.
  3. Planejar a DLP (prevenção contra perda de dados) – Trabalhando no artigo que você está lendo agora, você fará:
    1. Identificar stakeholders
    2. Descrever as categorias de informações confidenciais para proteger
    3. Definir metas e estratégia
  4. Referência da política de prevenção contra perda de dados – este artigo apresenta todos os componentes de uma política DLP e como cada um influencia o comportamento de uma política.
  5. Criar uma política DLP – este artigo orienta você a criar uma instrução de intenção de política e mapeá-la para uma configuração de política específica.
  6. Criar e Implantar políticas de prevenção contra perda de dados – este artigo apresenta alguns cenários comuns de intenção de política que você mapeará para opções de configuração. Em seguida, ele orienta você na configuração dessas opções.
  7. Saiba mais sobre como investigar alertas de prevenção contra perda de dados - Este artigo apresenta o ciclo de vida dos alertas desde a criação, até a correção final e o ajuste da política. Ele também apresenta as ferramentas que você usa para investigar alertas.

Vários pontos de partida

Muitas organizações optam por implementar o DLP para cumprir várias regulamentações governamentais ou do setor. Por exemplo, o GDPR (Regulamento Geral de Proteção de Dados) da União Europeia ou a Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) ou a Lei de Privacidade do Consumidor da Califórnia (CCPA). Eles também implementam a prevenção contra perda de dados para proteger sua propriedade intelectual. No entanto, o local de partida e o destino final na viagem DLP variam.

As organizações podem iniciar sua jornada DLP de vários pontos diferentes:

  • Com um foco de plataforma, como querer proteger informações em mensagens de Chat e Canal do Teams ou em Windows 10 ou 11 dispositivos
  • Conhecendo as informações confidenciais, eles querem priorizar a proteção, como registros de saúde, e indo direto para definir políticas para protegê-la
  • Sem saber quais são suas informações confidenciais, onde elas estão ou quem está fazendo o que com ela; assim, eles começam com a descoberta e a categorização e adotam uma abordagem mais metódica
  • Sem saber quais são suas informações confidenciais, onde elas estão ou quem está fazendo o que com elas, elas vão direto para definir políticas e, em seguida, usando esses resultados para refiná-las
  • Sabendo que eles precisam implementar a pilha de Proteção de Informações do Microsoft Purview completa e um plano para adotar uma abordagem metódica e de longo prazo

Estes são apenas alguns exemplos de como os clientes podem abordar o DLP. Não importa de onde você começa; O DLP é flexível o suficiente para acomodar vários tipos de jornadas de proteção de informações desde o início até uma estratégia de prevenção de perda de dados totalmente realizada.

Visão geral do processo de planejamento

O Learn about Prevenção Contra Perda de Dados do Microsoft Purview apresenta os três aspectos diferentes do processo de planejamento DLP. Entramos em mais detalhes aqui sobre os elementos comuns a todos os planos DLP.

Identificar participantes

Quando implementadas, as políticas DLP podem ser aplicadas em grandes partes da sua organização. Seu departamento de TI não pode desenvolver um plano amplo por conta própria sem consequências negativas. Você precisa identificar os stakeholders que podem:

  • os regulamentos, leis e padrões do setor a que sua organização está sujeita
  • as categorias de itens confidenciais a serem protegidos
  • os processos de negócios em que são usados
  • o comportamento arriscado que deve ser limitado
  • priorizar quais dados devem ser protegidos primeiro, com base na confidencialidade dos itens e do risco envolvidos
  • descrever o processo de revisão e correção de eventos de correspondência de política DLP

Em geral, essas necessidades tendem a ser 85% de proteção regulatória e de conformidade e 15% de proteção de propriedade intelectual. Aqui estão algumas sugestões sobre funções a serem incluídas em seu processo de planejamento:

  • Oficiais regulatórios e de conformidade
  • Diretor de risco
  • Oficiais jurídicos
  • Oficiais de segurança e conformidade
  • Proprietários de empresas para os itens de dados
  • Usuários empresariais
  • TI

Descrever as categorias de informações confidenciais para proteger

Depois de identificados, os stakeholders descrevem as categorias de informações confidenciais a serem protegidas e os processos empresariais em que são usadas. Por exemplo, o DLP define estas categorias:

  • Financeiro
  • Informações médicas e de integridade
  • Privacidade
  • Personalizado

Os stakeholders podem identificar as informações confidenciais como "Somos um processador de dados, portanto, temos que implementar proteções de privacidade sobre informações de assunto de dados e informações financeiras".

Definir metas e estratégia

Depois de identificar seus stakeholders, saber quais informações confidenciais precisam de proteção e onde elas são usadas, os stakeholders podem definir suas metas de proteção e a TI pode desenvolver um plano de implementação.

Definir plano de implementação

Seu plano de implementação deve incluir:

  • um mapa do seu estado inicial, o estado final desejado e as etapas para obter de um para o outro
  • um plano para como você abordará a descoberta de itens confidenciais
  • um plano para desenvolver políticas e a ordem em que as políticas você as implementará
  • um plano de como você abordará quaisquer pré-requisitos
  • um plano de como você simulará políticas antes de implementá-las para a aplicação
  • um plano de como você treinará seus usuários finais
  • um plano de como você ajustará suas políticas
  • um plano de como você examinará e atualizará sua estratégia de prevenção contra perda de dados com base na alteração das necessidades regulatórias, legais, padrão do setor ou de propriedade intelectual e de negócios

Mapear o caminho do início ao estado final desejado

Documentar como sua organização vai passar de seu estado inicial para o estado final desejado é essencial para se comunicar com seus stakeholders e definir o escopo do projeto. Aqui está um conjunto de etapas que geralmente são usadas para implantar o DLP. Você vai querer mais detalhes do que os gráficos mostram, mas você pode usá-lo para enquadrar seu caminho de adoção DLP.

gráfico mostrando a ordem comum para implantar o DLP.

Descoberta de item confidencial

Há várias maneiras de descobrir quais itens confidenciais individuais são e onde eles estão localizados. Você pode ter rótulos de confidencialidade já implantados ou talvez tenha decidido implantar uma política DLP ampla em todos os locais que só descobrem e auditam itens. Para saber mais, confira Conhecer seus dados.

Planejamento de políticas

Ao iniciar sua adoção de DLP, você pode usar essas perguntas para concentrar seus esforços de design e implementação de políticas.

Quais leis, regulamentos e padrões do setor devem estar em conformidade com sua organização?

Como muitas organizações chegam ao DLP com o objetivo de conformidade regulatória, responder a essa pergunta é um local de partida natural para planejar sua implementação de DLP. Mas, como implementador de TI, você provavelmente não está posicionado para respondê-lo. Em vez disso, você deve consultar sua equipe jurídica e executivos de negócios para obter uma resposta.

Exemplo Sua organização está sujeita a regulamentos financeiros do Reino Unido.

Quais itens confidenciais sua organização deve proteger contra vazamentos?

Depois de saber onde sua organização está em termos de necessidades de conformidade regulatória, você terá uma ideia de quais itens confidenciais precisam ser protegidos contra vazamentos. Você também terá uma ideia de como deseja priorizar a implementação de políticas para proteger esses itens. Esse conhecimento ajuda você a escolher os modelos de política DLP mais apropriados. O Microsoft Purview vem com modelos DLP pré-configurados para modelos financeiros, médicos e de integridade e política de privacidade. Além disso, você pode criar seu próprio usando o modelo Personalizado. À medida que você projeta e cria suas políticas DLP reais, ter um conhecimento funcional dos itens confidenciais necessários para proteger ajuda você a escolher o tipo de informação confidencial correto.

Exemplo Para começar rapidamente, você pode escolher o modelo de política pré-configurado U.K. Financial Data , que inclui os Credit Card Numbertipos de informações confidenciais , EU Debit Card Number, e SWIFT Code .

Como você deseja que suas políticas entrem em escopo

Se sua organização tiver implementado unidades administrativas, você poderá escopo de suas políticas DLP por unidade administrativa ou deixar o escopo padrão, que aplica políticas ao diretório completo. Para obter mais informações, consulte Escopo de política.

Onde estão os itens confidenciais e em quais processos de negócios eles estão envolvidos?

Os itens que contêm as informações confidenciais da sua organização são usados todos os dias no curso de fazer negócios. Você precisa saber em que instâncias dessas informações confidenciais podem ocorrer e em quais processos comerciais elas são usadas. Saber disso ajuda você a escolher os locais certos para aplicar suas políticas DLP. As políticas DLP podem ser aplicadas aos seguintes locais:

  • Trocar email
  • Sites do SharePoint
  • Contas OneDrive
  • Bater papo e canal de mensagens do Teams
  • dispositivos Windows 10, 11 e macOS
  • Microsoft Defender for Cloud Apps
  • Repositórios locais

Exemplo Os auditores internos da sua organização estão acompanhando um conjunto de números de cartão de crédito. Eles mantêm uma planilha deles em um site seguro do SharePoint. Vários dos funcionários fazem cópias e as salvam no site do OneDrive de trabalho, que é sincronizado com seu dispositivo Windows 10. Um desses funcionários cola uma lista de 14 números de cartão de crédito em um email e tenta enviá-lo aos auditores externos para revisão. Nesse caso, você deseja aplicar a política ao site seguro do SharePoint, a todas as contas internas do OneDrive dos auditores, seus dispositivos Windows 10 e email do Exchange.

Qual é a tolerância da sua organização ao vazamento?

Grupos diferentes em sua organização podem ter visões diferentes sobre o que conta como um nível aceitável de vazamento de item confidencial. Alcançar a perfeição de zero vazamento pode ter um custo muito alto para o negócio.

Exemplo O grupo de segurança e a equipe jurídica da sua organização acham que não deve haver compartilhamento de crédito cartão números com qualquer pessoa fora da organização. Eles insistem em nenhum vazamento. No entanto, como parte de sua revisão regular da atividade de número de cartão de crédito, os auditores internos devem compartilhar alguns números de crédito cartão com auditores terceirizados. Se sua política DLP proibir todo o compartilhamento de cartão números de crédito fora da organização, haverá uma interrupção significativa do processo comercial e um custo adicional para mitigar a interrupção para que os auditores internos concluam seu acompanhamento. Esse custo extra é inaceitável para a liderança executiva. Para resolve esse problema, é necessário haver uma conversa interna para decidir um nível aceitável de vazamento. Depois que isso for decidido, a política pode fornecer exceções para determinados indivíduos compartilharem as informações ou, elas podem ser aplicadas no modo somente auditoria.

Importante

Para saber como criar uma instrução de intenção de política e mapeá-la para configurações de política, consulte Criar uma política de prevenção contra perda de dados

Planejamento para pré-requisitos

Antes de monitorar alguns locais DLP, há pré-requisitos que devem ser atendidos. Consulte as seções Antes de começar dos seguintes artigos:

Implantação de política

Ao criar suas políticas DLP, considere implantá-las gradualmente, para que você possa avaliar seu impacto e testar sua eficácia antes de aplicá-las totalmente. Por exemplo, você não quer que uma nova política DLP bloqueie involuntariamente o acesso a milhares de documentos ou quebre um processo comercial existente.

Se estiver criando políticas DLP com um grande impacto em potencial, é recomendável seguir esta sequência:

  1. Execute a política no modo simulaiton, sem Dicas de Política e use os relatórios DLP e quaisquer relatórios de incidentes, para avaliar o impacto das políticas. Você pode usar relatórios de DLP para exibir o número, o local, o tipo e a gravidade das correspondências de política. Com base nos resultados, você pode ajustar suas políticas conforme necessário. No modo de simulação, as políticas DLP não afetarão a produtividade das pessoas que trabalham em sua organização. Também é bom usar esse estágio para testar seu fluxo de trabalho para revisão de eventos DLP e correção de problemas.

  2. Execute a política no modo de simulação com notificações e Dicas de Política para que você possa começar a ensinar os usuários sobre suas políticas de conformidade e prepará-los para quando as políticas forem aplicadas. É útil ter um link para uma página de política de organização que fornece mais detalhes sobre a política na Dica de Política. Nesta fase, você também pode pedir aos usuários que denunciem falsos positivos para que possam refinar ainda mais as condições e reduzir o número de falsos positivos. Mova-se para esse estágio depois de ter confiança de que os resultados da aplicação das políticas correspondem ao que eles tinham em mente.

  3. Inicie a aplicação completa da política para que as ações nas regras sejam aplicadas e o conteúdo seja protegido. Continue a monitorar os relatórios de DLP e qualquer relatório de incidente ou notificações para se certificar de que os resultados sejam os desejados.

Treinamento do usuário final

Você pode configurar suas políticas para que, quando uma política DLP for disparada, notificações por email sejam enviadas automaticamente e as dicas de política sejam mostradas aos administradores e usuários finais. Dicas de política são maneiras úteis de aumentar a conscientização sobre comportamentos de risco em itens confidenciais e treinar os usuários para evitar esses comportamentos no futuro.

Examinar os requisitos de DLP e a estratégia de atualização

Os regulamentos, leis e padrões do setor aos quais sua organização está sujeita serão alterados ao longo do tempo, assim como suas metas de negócios para DLP. Certifique-se de incluir revisões regulares de todas essas áreas para que sua organização permaneça em conformidade e, portanto, sua implementação DLP continue atendendo às suas necessidades comerciais.

Abordagens à implantação

Descrição das necessidades de negócios do cliente Abordagem
O Contoso Bank está em uma indústria altamente regulamentada e tem muitos tipos diferentes de itens confidenciais em muitos locais diferentes.

Contoso:
- sabe quais tipos de informações confidenciais são prioridade
máxima - deve minimizar a interrupção dos negócios à medida que as políticas são implementadas
- envolveu proprietários
de processos comerciais - tem recursos de TI e pode contratar especialistas para ajudar a planejar, projetar e implantar
- tem um contrato de suporte premier com a Microsoft		 - Tenha tempo para entender quais regulamentos eles devem cumprir e como eles vão cumprir.
- Tenha tempo para entender o valor "melhor juntos" da pilha
Proteção de Informações do Microsoft Purview - Desenvolver um esquema de rotulagem de confidencialidade para itens priorizados e aplicá-lo
- Projetar e políticas de código, implantá-los no modo de simulação e treinar usuários
- Repetir e refinar políticas
A TailSpin Toys não sabe quais dados confidenciais eles têm ou onde estão, e eles têm pouca ou nenhuma profundidade de recurso. Eles usam o Teams, o OneDrive e o Exchange extensivamente. – Comece com políticas simples nos locais priorizados.
– Monitorar o que é identificado
– Aplicar rótulos de confidencialidade de acordo
– Refinar políticas e treinar usuários
Fabrikam é uma pequena inicialização. Eles querem proteger sua propriedade intelectual e devem se mover rapidamente. Eles estão dispostos a dedicar alguns recursos, mas não podem se dar ao luxo de contratar especialistas externos.

Outras considerações:
– Itens confidenciais estão todos no Microsoft 365 OneDrive/SharePoint
– A adoção do OneDrive e do SharePoint é lenta. Muitos funcionários ainda usam o DropBox e a unidade do Google para armazenar e compartilhar itens
- Os funcionários valorizam a velocidade do trabalho sobre a disciplina
de proteção de dados - Todos os 18 funcionários têm novos dispositivos Windows		 - Aproveite a política DLP padrão no Teams
- Use a configuração "restrita por padrão" para itens
do SharePoint - Implantar políticas que impedem o compartilhamento
externo - Implantar políticas em locais
priorizados - Implantar políticas em dispositivos
Windows - Bloquear uploads em soluções de armazenamento em nuvem diferentes do OneDrive

Próximas etapas

Importante

Para saber mais sobre a implantação da política DLP, confira Implantação

Confira também