Saiba mais sobre o gerenciamento de riscos internos

Dica

Você sabia que pode experimentar as versões premium de todas as nove soluções do Microsoft Purview gratuitamente? Use a avaliação de soluções do Purview de 90 dias para explorar como os recursos robustos do Purview podem ajudar sua organização a atender às suas necessidades de conformidade. Microsoft 365 E3 e Office 365 E3 clientes podem começar agora no hub de avaliações do portal de conformidade do Microsoft Purview. Saiba mais sobre quem pode se inscrever e os termos de avaliação.

Observação

Microsoft 365 conformidade agora é chamada de Microsoft Purview e as soluções dentro da área de conformidade foram renomeadas. Para obter mais informações sobre o Microsoft Purview, consulte o comunicado do blog.

O Gerenciamento de Riscos internos do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertentes em sua organização. As políticas de risco interno permitem que você defina os tipos de riscos a serem identificados e detectados em sua organização, incluindo atuar em casos e escalonar casos para a Descoberta Eletrônica da Microsoft (Premium), se necessário. Os analistas de risco em sua organização podem tomar rapidamente as medidas apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.

Assista aos vídeos abaixo para saber como o gerenciamento de risco interno pode ajudar sua organização a evitar, detectar e conter riscos, priorizando os valores, a cultura e a experiência do usuário da sua organização:

Solução de gerenciamento de risco interno & desenvolvimento:


Fluxo de trabalho de gerenciamento de risco interno:

Importante

O gerenciamento de risco interno está disponível atualmente em locatários hospedados em regiões geográficas e países com suporte nas dependências de serviço do Azure. Para verificar se o gerenciamento de risco interno tem suporte para sua organização, consulte a disponibilidade de dependência do Azure por país/região.

Pontos problemáticos de risco moderno

O gerenciamento e a minimização de riscos na sua organização começam com a compreensão dos tipos de riscos encontrados no local de trabalho moderno. Alguns riscos são controlados por eventos externos e fatores que estão fora do controle direto. Outros riscos são orientados por eventos internos e atividades do usuário que podem ser minimizados e evitados. Alguns exemplos são riscos de comportamentos ilegais, inadequados, não autorizados ou antiéticos por usuários em sua organização. Esses comportamentos incluem uma ampla variedade de riscos internos dos usuários:

  • Vazamentos de dados confidenciais e análise de dados
  • Violações de confidencialidade
  • Direitos de Propriedade Intelectual (IP)
  • Fraude
  • Informações privilegiadas
  • Soluções de conformidade regulamentar

Os usuários no local de trabalho moderno têm acesso para criar, gerenciar e compartilhar dados em uma ampla gama de plataformas e serviços. Na maioria dos casos, as organizações têm recursos e ferramentas limitados para identificar e atenuar riscos em toda a organização, além de atender aos padrões de privacidade do usuário.

O gerenciamento de risco interno usa toda a amplitude de serviços e indicadores de terceiros para ajudá-lo a identificar, fazer a triagem e agir rapidamente sobre a atividade de risco. Usando logs do Microsoft 365 e do Microsoft Graph, o gerenciamento de risco interno permite que você defina políticas específicas para identificar indicadores de risco. Essas políticas permitem identificar atividades arriscadas e agir para atenuar esses riscos.

O gerenciamento de risco interno é centralizado em torno dos seguintes princípios:

  • Transparência: equilibre a privacidade do usuário versus o risco da organização com a arquitetura de privacidade por design.
  • Configurável: políticas configuráveis com base em grupos do setor, geográficos e de negócios.
  • Integrado: fluxo de trabalho integrado entre soluções do Microsoft Purview.
  • Acionável: fornece insights para habilitar notificações do revisores, investigações de dados e investigações de usuário.

Identificar possíveis riscos com análise

A análise de riscos internos permite que você conduza uma avaliação de riscos internos potenciais na sua organização sem configurar nenhuma política de riscos internos. Esta avaliação pode ajudar sua organização a identificar áreas potenciais de maior risco para o usuário e ajudar a determinar o tipo e o escopo das políticas de gerenciamento de risco interno que você pode considerar configurar. Essa avaliação também pode ajudá-lo a determinar as necessidades de licenciamento adicional ou otimização futura de políticas de risco internas existentes.

Para saber mais sobre a análise de risco interno, confira as configurações de gerenciamento de risco do Insider: Análise.

Se você estiver configurando o gerenciamento de risco interno pela primeira vez ou começar a criar novas políticas, a nova experiência de ações recomendadas poderá ajudá-lo a tirar o máximo de recursos de gerenciamento de riscos internos. As ações recomendadas incluem a configuração de permissões, a escolha de indicadores de política, a criação de uma política e muito mais.

Fluxo de trabalho

O fluxo de trabalho de gerenciamento de risco interno ajuda você a identificar, investigar e tomar medidas para lidar com riscos internos em sua organização. Com modelos de política focados, sinalização de atividade abrangente em todo o serviço Microsoft 365 e ferramentas de gerenciamento de alertas e casos, você pode usar insights acionáveis para identificar e agir rapidamente sobre comportamentos arriscados.

Identificar e resolver atividades de risco internas e problemas de conformidade com o gerenciamento de risco interno usa o seguinte fluxo de trabalho:

Fluxo de trabalho de gerenciamento de risco interno.

Políticas

As políticas de gerenciamento de risco interno são criadas usando modelos predefinido e condições de política que definem quais eventos de gatilho e indicadores de risco são examinados em sua organização. Essas condições incluem como os indicadores de risco são usados para alertas, quais usuários são incluídos na política, quais serviços são priorizados e o período de tempo de monitoramento.

Você pode selecionar entre os seguintes modelos de política para começar rapidamente com o gerenciamento de risco interno:

Painel de política de gerenciamento de risco interno.

Alertas

Os alertas são gerados automaticamente por indicadores de risco que correspondem às condições da política e são exibidos no painel Alertas. Esse painel permite uma exibição rápida de todos os alertas que precisam de revisão, alertas abertos ao longo do tempo e estatísticas de alerta para a sua organização. Todos os alertas de política são exibidos com as seguintes informações para ajudá-lo a identificar rapidamente o status de alertas existentes e novos alertas que precisam de ação:

  • Status
  • Severity
  • Tempo detectado
  • Caso
  • Status do caso

Painel de alerta de gerenciamento de risco interno.

Triagem

Novas atividades do usuário que precisam de investigação geram automaticamente alertas que recebem um status de revisão de necessidades. Os revisores podem identificar e examinar, avaliar e fazer a triagem desses alertas rapidamente.

Os alertas são resolvidos abrindo um novo caso, atribuindo o alerta a um caso existente ou descartando o alerta. Usando filtros de alerta, é fácil identificar alertas rapidamente por status, severidade ou tempo detectado. Como parte do processo de triagem, os revisores podem exibir detalhes do alerta para as atividades identificadas pela política, exibir a atividade do usuário associada à correspondência de política, ver a gravidade do alerta e examinar as informações de perfil do usuário.

Triagem de gerenciamento de risco interno.

Investigar

Investigue rapidamente todas as atividades de um usuário selecionado com relatórios de atividade do usuário (versão prévia). Esses relatórios permitem que os investigadores em sua organização examinem as atividades de usuários específicos por um período de tempo definido sem precisar atribuí-los temporariamente ou explicitamente a uma política de gerenciamento de risco interno. Depois de examinar as atividades de um usuário, os investigadores podem ignorar atividades individuais como benignas, compartilhar ou enviar um link para o relatório com outros investigadores ou optar por atribuir o usuário temporariamente ou explicitamente a uma política de gerenciamento de risco interno.

Os casos são criados para alertas que exigem uma análise e investigação mais profundas dos detalhes da atividade e das circunstâncias em torno da correspondência da política. O Painel de casos fornece uma exibição completa de todos os casos ativos, casos abertos ao longo do tempo e estatísticas de casos para a sua organização. Os revisores podem filtrar rapidamente casos por status, a data em que o caso foi aberto e a data em que o caso foi atualizado pela última vez.

A seleção de um caso no painel de controle do caso abre o caso para investigação e revisão. Esta etapa é o núcleo do fluxo de trabalho de gerenciamento de risco interno. Essa área é onde atividades de risco, condições de política, detalhes de alertas e detalhes do usuário são sintetizados em uma exibição integrada para revisores. As principais ferramentas de investigação nessa área são:

  • Atividade do usuário: a atividade do usuário é exibida automaticamente em um gráfico interativo que plota atividades ao longo do tempo e por nível de risco para atividades de risco atuais ou anteriores. Os revisores podem filtrar e exibir rapidamente todo o histórico de risco do usuário e analisar atividades específicas para obter mais detalhes.
  • Explorador de conteúdo: todos os arquivos de dados e mensagens de email associados às atividades de alerta são capturados e exibidos automaticamente no Explorador de Conteúdo. Os revisores podem filtrar e exibir arquivos e mensagens por fonte de dados, tipo de arquivo, marcas, conversa e muitos outros atributos.
  • Observações sobre maiúsculas e minúsculas: os revisores podem fornecer anotações sobre um caso na seção Anotações de Caso. Essa lista consolida todas as anotações em uma exibição central e inclui o revisores e a data em que as informações enviadas são enviadas.

Investigação de gerenciamento de riscos internos.

Além disso, o novo log de auditoria ( versão prévia) permite que você se mantenha informado sobre as ações que foram executadas nos recursos de gerenciamento de risco interno. Esse recurso permite uma revisão independente das ações executadas pelos usuários atribuídos a um ou mais grupos de função de gerenciamento de riscos internos.

Ação

Depois que os casos são investigados, os revisores podem agir rapidamente para resolver o caso ou colaborar com outros stakeholders de risco em sua organização. Se os usuários violarem acidentalmente ou inadvertidamente as condições da política, um aviso simples de lembrete poderá ser enviado ao usuário a partir de modelos de aviso que você pode personalizar para sua organização. Esses avisos podem servir como lembretes simples ou pode direcionar o usuário a atualizar o treinamento ou diretrizes para ajudar a evitar comportamentos arriscados futuros. Para obter mais informações, consulte Modelos de notificações do gerenciamento de risco interno.

Nas situações mais graves, talvez seja necessário compartilhar as informações de caso de gerenciamento de risco interno com outros revisores ou serviços em sua organização. O gerenciamento de risco interno é totalmente integrado a outras soluções do Microsoft Purview para ajudá-lo com a resolução de risco de ponta a ponta.

  • Descoberta Eletrônica (Premium): o escalonamento de um caso para investigação permite que você transfira dados e o gerenciamento do caso para a Descoberta Eletrônica do Microsoft Purview (Premium). A Descoberta Eletrônica (Premium) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, examinar, analisar e exportar conteúdo que responde às investigações internas e externas da sua organização. Ela também permite que sua equipe jurídica gerencie todo o fluxo de trabalho de notificação de retenção legal. Para saber mais sobre casos de Descoberta Eletrônica (Premium), consulte Visão geral da Descoberta Eletrônica do Microsoft Purview (Premium).
  • integração de APIs de gerenciamento do Office 365 ( versão prévia):o gerenciamento de risco interno dá suporte à exportação de informações de alerta para serviços SIEM (gerenciamento de eventos e informações de segurança) por meio das APIs Office 365 Management. Ter acesso às informações de alerta na plataforma se adapta melhor aos processos de risco da sua organização oferece mais flexibilidade em como agir em atividades de risco. Para saber mais sobre como exportar informações de alerta com apIs Office 365 Gerenciamento, consulte Exportar alertas.

Observação

Obrigado por seus comentários e suporte durante a versão prévia do conector do ServiceNow. Decidimos encerrar a versão prévia do conector do ServiceNow e descontinuar o suporte no gerenciamento de risco interno em 30 de novembro de 2020. Estamos avaliando ativamente métodos alternativos para fornecer aos clientes a integração do ServiceNow no gerenciamento de riscos internos.

Cenários

O gerenciamento de risco interno pode ajudá-lo a detectar, investigar e tomar medidas para reduzir os riscos internos em sua organização em vários cenários comuns:

Furto de dados por usuários em processo de desligamento

Quando os usuários saem de uma organização, voluntariamente ou como resultado do encerramento, geralmente há preocupações legítimas de que os dados da empresa, do cliente e do usuário estão em risco. Os usuários podem assumir inocentemente que os dados do projeto não são proprietários ou podem estar tentados a obter dados da empresa para obter ganho pessoal e violar a política da empresa e os padrões legais. As políticas de gerenciamento de risco interno que usam o roubo de dados ao sair do modelo de política de usuários detectam automaticamente atividades normalmente associadas a esse tipo de roubo. Com essa política, você receberá automaticamente alertas de atividades suspeitas associadas ao roubo de dados ao deixar os usuários para que você possa executar as ações de investigação apropriadas. A configuração de Microsoft 365 conector de RH para sua organização é necessária para esse modelo de política.

Vazamento intencional ou não intencional de informações confidenciais ou confidenciais

Na maioria dos casos, os usuários tentam o melhor para lidar corretamente com informações confidenciais ou confidenciais. Mas, ocasionalmente, os usuários podem cometer erros e as informações são acidentalmente compartilhadas fora da sua organização ou violando suas políticas de proteção de informações. Em outras circunstâncias, os usuários podem intencionalmente vazar ou compartilhar informações confidenciais e confidenciais com intenção mal-intencionada e para ganho pessoal potencial. As políticas de gerenciamento de risco interno criadas usando os seguintes modelos de política de vazamentos de dados detectam automaticamente atividades normalmente associadas ao compartilhamento de informações confidenciais ou confidenciais:

Violações intencionais ou não intencionais da política de segurança (versão prévia)

Os usuários normalmente têm um grande grau de controle ao gerenciar seus dispositivos no local de trabalho moderno. Esse controle pode incluir permissões para instalar ou desinstalar aplicativos necessários no desempenho de suas tarefas ou a capacidade de desabilitar temporariamente os recursos de segurança do dispositivo. Se essa atividade é inadvertida, acidental ou mal-intencionada, essa conduta pode representar risco para sua organização e é importante identificar e agir para minimizar. Para ajudar a identificar essas atividades de segurança arriscadas, os seguintes modelos de violação de política de segurança de gerenciamento de risco interno pontuam indicadores de risco de segurança e usam alertas de Microsoft Defender para Ponto de Extremidade para fornecer insights para atividades relacionadas à segurança:

Políticas para usuários com base na posição, no nível de acesso ou no histórico de risco (versão prévia)

Os usuários em sua organização podem ter diferentes níveis de risco, dependendo da posição, do nível de acesso a informações confidenciais ou do histórico de riscos. Essa estrutura pode incluir membros da equipe de liderança executiva da sua organização, administradores de TI que têm amplos privilégios de acesso à rede e dados ou usuários com um histórico passado de atividades arriscadas. Nessas circunstâncias, uma inspeção mais detalhada e uma pontuação de risco mais agressiva são importantes para ajudar a exibir alertas para investigação e ação rápida. Para ajudar a identificar atividades arriscadas para esses tipos de usuários, você pode criar grupos de usuários prioritários e criar políticas com base nos seguintes modelos de política:

Serviços de saúde (versão prévia)

Para organizações no setor de saúde, estudos recentes encontraram uma taxa muito alta de violações de dados internas relacionadas. Detectar o uso indevido de dados do paciente e informações de registro de saúde é um componente essencial para proteger a privacidade do paciente e cumprir a regulamentação de conformidade, como a HipAA (Health Insurance Portability and Accountability Act) e o Health Information Technology for Economic and Clinical Health (HITECH). O uso indevido de dados do paciente pode variar desde o acesso a registros de pacientes privilegiados até o acesso a registros de pacientes de familiares ou vizinhos com intenção mal-intencionada. Para ajudar a identificar esses tipos de atividades arriscadas, os seguintes modelos de política de gerenciamento de risco interno usam o conector de RH do Microsoft 365 e um conector de dados específicos de saúde para iniciar a pontuação de indicadores de risco relacionados a comportamentos que podem ocorrer em seus sistemas de EHR (registro eletrônico de saúde):

Ações e comportamentos por usuários insatisfeitos (versão prévia)

Os eventos de estresse de emprego podem afetar o comportamento do usuário de várias maneiras relacionadas a riscos internos. Esses estresses podem ser uma revisão de desempenho ruim, um rebaixamento de posição ou o usuário que está sendo posicionado em um plano de revisão de desempenho. Embora a maioria dos usuários não responda mal-intencionado a esses eventos, o estresse dessas ações pode fazer com que alguns usuários executem ações que normalmente não podem considerar em circunstâncias normais. Para ajudar a identificar esses tipos de atividades arriscadas, os seguintes modelos de política de gerenciamento de riscos internos usam o conector de RH do Microsoft 365 e iniciam indicadores de risco de pontuação relacionados a comportamentos que podem ocorrer próximos a eventos de estresse de emprego:

Pronto para começar?