Pianificare la prevenzione della perdita dei dati (DLP)
Ogni organizzazione pianifica e implementa la prevenzione della perdita dei dati in modo diverso. Perché? Poiché le esigenze aziendali, gli obiettivi, le risorse e la situazione di ogni organizzazione sono univoci. Tuttavia, esistono elementi comuni a tutte le implementazioni DLP riuscite. Questo articolo presenta le procedure consigliate per la pianificazione di una distribuzione DLP.
Consiglio
Introduzione a Microsoft Copilot per la sicurezza per esplorare nuovi modi per lavorare in modo più intelligente e veloce usando la potenza dell'intelligenza artificiale. Altre informazioni su Microsoft Copilot per la sicurezza in Microsoft Purview.
Prima di iniziare
Se non si ha familiarità con Microsoft Purview DLP, di seguito è riportato un elenco degli articoli principali necessari durante l'implementazione della prevenzione della perdita dei dati:
- Unità amministrative
- Informazioni su Microsoft Purview Data Loss Prevention - L'articolo presenta la disciplina di prevenzione della perdita dei dati e l'implementazione di Microsoft della prevenzione della perdita dei dati.
- Pianificare la prevenzione della perdita dei dati ( DLP) - Usando l'articolo che si sta leggendo ora, sarà possibile:
- Informazioni di riferimento sui criteri di prevenzione della perdita dei dati : questo articolo presenta tutti i componenti di un criterio DLP e il modo in cui ognuno influenza il comportamento di un criterio.
- Progettare un criterio DLP : questo articolo illustra come creare un'istruzione di finalità dei criteri e mapparla a una configurazione di criteri specifica.
- Creare e distribuire criteri di prevenzione della perdita dei dati : questo articolo presenta alcuni scenari di finalità comuni dei criteri di cui verrà eseguito il mapping alle opzioni di configurazione. Viene quindi illustrata la configurazione di tali opzioni.
- Informazioni sull'analisi degli avvisi di prevenzione della perdita dei dati : questo articolo illustra il ciclo di vita degli avvisi dalla creazione, fino alla correzione finale e all'ottimizzazione dei criteri. Presenta anche gli strumenti usati per analizzare gli avvisi.
Più punti di partenza
Molte organizzazioni scelgono di implementare la prevenzione della perdita dei dati per rispettare varie normative governative o di settore. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea o il Health Insurance Portability and Accountability Act (HIPAA) o il California Consumer Privacy Act (CCPA). Implementano anche la prevenzione della perdita di dati per proteggere la proprietà intellettuale. Tuttavia, il luogo di partenza e la destinazione finale nel percorso DLP variano.
Le organizzazioni possono iniziare il percorso di prevenzione della perdita dei dati da diversi punti:
- Con un focus sulla piattaforma, ad esempio la volontà di proteggere le informazioni nei messaggi di Chat e Canale di Teams o nei dispositivi Windows 10 o 11
- Conoscere le informazioni sensibili che vogliono dare priorità alla protezione, ad esempio i registri sanitari, e passare direttamente alla definizione di criteri per proteggerlo
- Senza sapere qual è la loro informazione sensibile, dove si trova, o chi sta facendo che cosa con esso; quindi, iniziano con l'individuazione e la categorizzazione e prendono un approccio più metodico
- Senza sapere qual è la loro informazione sensibile, dove si trova, o chi sta facendo che cosa con esso, vanno direttamente a definire i criteri e quindi utilizzare tali risultati per perfezionare loro
- Sapere che devono implementare lo stack completo di Microsoft Purview Information Protection e un piano per adottare un approccio metodico e a lungo termine
Questi sono solo alcuni esempi di come i clienti possono affrontare la prevenzione della perdita dei dati. Non importa da dove si parte; La prevenzione della perdita dei dati è sufficientemente flessibile da supportare vari tipi di percorsi di protezione delle informazioni dall'inizio a una strategia di prevenzione della perdita dei dati completamente realizzata.
Panoramica del processo di pianificazione
Le informazioni su Microsoft Purview Data Loss Prevention introducono i tre diversi aspetti del processo di pianificazione della prevenzione della perdita dei dati. Di seguito vengono illustrati in modo più dettagliato gli elementi comuni a tutti i piani DLP.
Identificare le parti interessate
Se implementati, i criteri di prevenzione della perdita dei dati possono essere applicati in grandi parti dell'organizzazione. Il reparto IT non può sviluppare autonomamente un piano di ampio respiro senza conseguenze negative. È necessario identificare gli stakeholder che possono:
- identificare le normative, le leggi e gli standard di settore a cui l'organizzazione è soggetta
- identificare le categorie di elementi sensibili da proteggere
- identificare i processi aziendali in cui vengono usati
- identificare il comportamento rischioso che deve essere limitato
- assegnare priorità ai dati da proteggere per primi, in base alla sensibilità degli elementi e dei rischi coinvolti
- delineare il processo di verifica e correzione degli eventi di corrispondenza dei criteri DLP
In generale, queste esigenze tendono a essere l'85% di protezione normativa e conformità e il 15% di protezione della proprietà intellettuale. Ecco alcuni suggerimenti sui ruoli da includere nel processo di pianificazione:
- Responsabili delle normative e della conformità
- Chief Risk Officer
- Ufficiali legali
- Responsabili della sicurezza e della conformità
- Proprietari di aziende per gli elementi di dati
- Utenti aziendali
- IT
Descrivere le categorie di informazioni riservate da proteggere
Una volta identificati, gli stakeholder descrivono quindi le categorie di informazioni sensibili da proteggere e i processi aziendali in cui vengono usati. Ad esempio, la prevenzione della perdita dei dati definisce queste categorie:
- Finanza
- Informazioni mediche e sanitarie
- Privacy
- Personalizzato
Gli stakeholder potrebbero identificare le informazioni sensibili come "Siamo un responsabile del trattamento dei dati, quindi dobbiamo implementare misure di protezione della privacy sulle informazioni dell'interessato e sulle informazioni finanziarie".
Impostare obiettivi e strategia
Dopo aver identificato gli stakeholder, sapere quali informazioni sensibili necessitano di protezione e dove vengono usate, gli stakeholder possono definire i propri obiettivi di protezione e l'IT può sviluppare un piano di implementazione.Once you have identified your stakeholders, know which sensitive information needs protection, and where it's used, the stakeholders can set their protection goals and IT can develop an implementation plan.
Impostare il piano di implementazione
Il piano di implementazione deve includere:
- una mappa dello stato iniziale, dello stato finale desiderato e dei passaggi da ottenere da uno all'altro
- un piano per gestire l'individuazione degli elementi sensibili
- un piano per lo sviluppo di criteri e l'ordine in cui i criteri verranno implementati
- un piano per il modo in cui verranno soddisfatti i prerequisiti
- un piano per la simulazione dei criteri prima di implementarli per l'imposizione
- un piano per il training degli utenti finali
- un piano per ottimizzare i criteri
- un piano per la revisione e l'aggiornamento della strategia di prevenzione della perdita dei dati in base alle mutevoli esigenze normative, legali, di settore o di protezione della proprietà intellettuale e alle esigenze aziendali
Eseguire il mapping del percorso dall'inizio allo stato finale desiderato
Documentare come l'organizzazione otterrà dallo stato iniziale allo stato finale desiderato è essenziale per comunicare con gli stakeholder e impostare l'ambito del progetto. Ecco un set di passaggi che vengono comunemente usati per distribuire la prevenzione della perdita dei dati. Si vogliono più dettagli rispetto al grafico, ma è possibile usarlo per incorniciare il percorso di adozione della prevenzione della perdita dei dati.
Individuazione di elementi sensibili
Esistono diversi modi per scoprire quali sono i singoli elementi sensibili e dove si trovano. È possibile che le etichette di riservatezza siano già state distribuite o che si sia deciso di distribuire un ampio criterio DLP in tutte le posizioni che individuano e controllano solo gli elementi. Per altre informazioni, vedere Conoscere i dati.
Pianificazione dei criteri
Quando si inizia l'adozione della prevenzione della perdita dei dati, è possibile usare queste domande per concentrare le attività di progettazione e implementazione dei criteri.
Quali leggi, normative e standard di settore devono essere conformi all'organizzazione?
Poiché molte organizzazioni arrivano alla prevenzione della perdita dei dati con l'obiettivo della conformità alle normative, rispondere a questa domanda è un punto di partenza naturale per pianificare l'implementazione della prevenzione della perdita dei dati. Tuttavia, come implementatore IT, probabilmente non si è in grado di rispondere. È invece consigliabile consultare il team legale e i dirigenti aziendali per una risposta.
Esempio L'organizzazione è soggetta alle normative finanziarie del Regno Unito.
Quali elementi sensibili devono essere protetti dall'organizzazione dalla perdita?
Una volta che si sa dove si trova l'organizzazione in termini di esigenze di conformità alle normative, si avrà un'idea di quali elementi sensibili devono essere protetti da perdite. Si avrà anche un'idea di come si vuole assegnare priorità all'implementazione dei criteri per proteggere tali elementi. Questa conoscenza consente di scegliere i modelli di criteri DLP più appropriati. Microsoft Purview include modelli di prevenzione della perdita dei dati preconfigurati per modelli di criteri finanziari, medici e sanitari e criteri di privacy. Inoltre, è possibile crearne uno personalizzato usando il modello Personalizzato. Quando si progettano e si creano i criteri di prevenzione della perdita dei dati effettivi, una conoscenza pratica degli elementi sensibili che è necessario proteggere consente di scegliere il tipo di informazioni sensibili corretto.
Esempio Per iniziare rapidamente, è possibile selezionare il modello di criteri preconfigurato U.K. Financial Data
, che include i Credit Card Number
tipi di informazioni sensibili , EU Debit Card Number
e SWIFT Code
.
Come si desidera definire l'ambito dei criteri
Se l'organizzazione ha implementato unità amministrative, è possibile definire l'ambito dei criteri di prevenzione della perdita dei dati per unità amministrativa o lasciare l'ambito predefinito, che applica i criteri alla directory completa. Per altre informazioni, vedere Definizione dell'ambito dei criteri.
Dove sono gli elementi sensibili e in quali processi aziendali sono coinvolti?
Gli elementi che contengono le informazioni sensibili dell'organizzazione vengono usati ogni giorno nel corso dell'attività aziendale. È necessario sapere dove possono verificarsi le istanze di tali informazioni riservate e in quali processi aziendali vengono usati. Conoscendo questo, è possibile scegliere le posizioni corrette per applicare i criteri di prevenzione della perdita dei dati. I criteri DLP possono essere applicati alle posizioni seguenti:
- Posta elettronica online di Exchange
- Siti di SharePoint
- Account di OneDrive
- Messaggi di chat e canali di Teams
- Dispositivi Windows 10, 11 e macOS
- Microsoft Defender for Cloud Apps
- Repository locali
Esempio I revisori interni dell'organizzazione monitorano un set di numeri di carta di credito. Mantengono un foglio di calcolo in un sito di SharePoint sicuro. Molti dipendenti eseguono copie e le salvano nel sito di OneDrive aziendale, sincronizzato con il dispositivo Windows 10. Uno di questi dipendenti incolla un elenco di 14 numeri di carta di credito in un messaggio di posta elettronica e prova a inviarlo ai revisori esterni per la revisione. In questo caso, è consigliabile applicare i criteri al sito di SharePoint sicuro, a tutti gli account interni di OneDrive dei revisori, ai dispositivi Windows 10 e alla posta elettronica di Exchange.
Qual è la tolleranza dell'organizzazione per la perdita?
Gruppi diversi nell'organizzazione possono avere visualizzazioni diverse su ciò che conta come un livello accettabile di perdita di elementi sensibili. Raggiungere la perfezione della perdita zero può avere un costo troppo elevato per l'azienda.
Esempio Il gruppo di sicurezza dell'organizzazione e il team legale ritengono che non ci debba essere alcuna condivisione di numeri di carta di credito con nessuno all'esterno dell'organizzazione. Insistono sulla perdita di zero. Tuttavia, nell'ambito della revisione regolare dell'attività relativa ai numeri di carta di credito, i revisori interni devono condividere alcuni numeri di carta di credito con revisori di terze parti. Se i criteri di prevenzione della perdita dei dati impediscono la condivisione di tutti i numeri di carta di credito all'esterno dell'organizzazione, si verifica un'interruzione significativa del processo aziendale e un costo aggiuntivo per attenuare l'interruzione affinché i revisori interni completino il monitoraggio. Questo costo aggiuntivo non è accettabile per la dirigenza. Per risolvere questo problema, è necessario avere una conversazione interna per decidere un livello accettabile di perdita. Una volta deciso, il criterio può fornire eccezioni per determinati utenti per condividere le informazioni oppure può essere applicato in modalità di solo controllo.
Importante
Per informazioni su come creare un'istruzione di finalità dei criteri e mapparla alle configurazioni dei criteri, vedere Progettare un criterio di prevenzione della perdita dei dati
Pianificazione dei prerequisiti
Prima di poter monitorare alcune posizioni DLP, è necessario soddisfare i prerequisiti. Vedere le sezioni Prima di iniziare degli articoli seguenti:
- Introduzione allo scanner per la prevenzione della perdita dei dati locali
- Introduzione alla prevenzione della perdita di dati degli endpoint
- Introduzione all'estensione di conformità Microsoft
- Usare i criteri di prevenzione della perdita dei dati per le app cloud non Microsoft
Distribuzione dei criteri
Quando si creano criteri di prevenzione della perdita dei dati, è consigliabile implementarli gradualmente, in modo da valutarne l'impatto e testarne l'efficacia prima di applicarli completamente. Ad esempio, non si vuole che un nuovo criterio DLP blocchi involontariamente l'accesso a migliaia di documenti o interrompa un processo aziendale esistente.
Se si creano criteri DLP con un forte impatto potenziale, si consiglia di attenersi alla sequenza riportata di seguito:
Eseguire i criteri in modalità di simulazione, senza suggerimenti per i criteri , quindi usare i report DLP e i report degli eventi imprevisti per valutare l'impatto dei criteri. È possibile usare i report di prevenzione della perdita dei dati per visualizzare il numero, la posizione, il tipo e la gravità delle corrispondenze ai criteri. In base ai risultati, è possibile ottimizzare i criteri in base alle esigenze. In modalità di simulazione, i criteri DLP non influiscono sulla produttività delle persone che lavorano nell'organizzazione. È anche consigliabile usare questa fase per testare il flusso di lavoro per la revisione degli eventi DLP e la correzione dei problemi.
Eseguire i criteri in modalità di simulazione con notifiche e suggerimenti per i criteri in modo che sia possibile iniziare a insegnare agli utenti i criteri di conformità e prepararli per quando vengono applicati i criteri. È utile avere un collegamento a una pagina dei criteri dell'organizzazione che fornisce altri dettagli sui criteri nel suggerimento per i criteri. In questa fase, è anche possibile chiedere agli utenti di segnalare falsi positivi, in modo da poter perfezionare ulteriormente le condizioni e ridurre il numero di falsi positivi. Passare a questa fase dopo avere la certezza che i risultati dell'applicazione dei criteri corrispondano a quanto avevano in mente gli stakeholder.
Avviare l'applicazione completa dei criteri in modo che le azioni nelle regole vengano applicate e che il contenuto sia protetto. Continuare a monitorare i report di prevenzione della perdita dei dati e dei report degli incidenti oppure delle notifiche per essere certi di ottenere i risultati desiderati.
Formazione per gli utenti finali
È possibile configurare i criteri in modo che, quando viene attivato un criterio DLP, le notifiche tramite posta elettronica vengano inviate automaticamente e vengano visualizzati suggerimenti per i criteri agli amministratori e agli utenti finali. I suggerimenti per i criteri sono modi utili per aumentare la consapevolezza dei comportamenti rischiosi sugli elementi sensibili e formare gli utenti per evitare tali comportamenti in futuro.
Esaminare i requisiti di prevenzione della perdita dei dati e la strategia di aggiornamento
Le normative, le leggi e gli standard di settore a cui l'organizzazione è soggetta cambieranno nel tempo, così come gli obiettivi aziendali per la prevenzione della perdita dei dati. Assicurarsi di includere revisioni regolari di tutte queste aree in modo che l'organizzazione rimanga conforme e che l'implementazione della prevenzione della perdita dei dati continui a soddisfare le esigenze aziendali.
Approcci alla distribuzione
Descrizione delle esigenze aziendali dei clienti | Approccio |
---|---|
Contoso Bank è in un settore altamente regolamentato e ha molti tipi diversi di elementi sensibili in molte posizioni diverse.
Contoso: - sa quali tipi di informazioni sensibili sono prioritarie - deve ridurre al minimo le interruzioni aziendali man mano che vengono implementati i criteri - ha coinvolto i proprietari dei processi aziendali - ha risorse IT e può assumere esperti per pianificare, progettare e distribuire - ha un contratto di supporto premier con Microsoft |
- Prendere tempo per capire quali normative devono rispettare e come stanno andando a rispettare.
- Prendere tempo per comprendere il valore "migliore insieme" dello stack di Microsoft Purview Information Protection - Sviluppare uno schema di etichettatura di riservatezza per gli elementi con priorità e applicarlo - Progettare e codificare i criteri, distribuirli in modalità di simulazione e formare gli utenti - Ripetere e perfezionare i criteri |
TailSpin Toys non sa quali dati sensibili hanno o dove si trovano e hanno poca o nessuna profondità di risorse. Usano ampiamente Teams, OneDrive ed Exchange. | - Iniziare con criteri semplici nelle posizioni con priorità.
- Monitorare ciò che viene identificato - Applicare le etichette di riservatezza di conseguenza - Perfezionare i criteri e formare gli utenti |
Fabrikam è un avvio di piccole dimensioni. Vogliono proteggere la loro proprietà intellettuale e devono muoversi rapidamente. Sono disposti a dedicare alcune risorse, ma non possono permettersi di assumere esperti esterni.
Altre considerazioni: - Gli elementi sensibili sono tutti in Microsoft 365 OneDrive/SharePoint - L'adozione di OneDrive e SharePoint è lenta. Molti dipendenti usano ancora DropBox e Google drive per archiviare e condividere elementi - I dipendenti apprezzano la velocità del lavoro rispetto alla disciplina di protezione dei dati - Tutti i 18 dipendenti hanno nuovi dispositivi Windows |
- Sfruttare i vantaggi dei criteri DLP predefiniti in Teams - Usare l'impostazione "con restrizioni per impostazione predefinita" per gli elementi di SharePoint - Distribuire criteri che impediscono la condivisione esterna - Distribuire criteri per posizioni con priorità - Distribuire criteri nei dispositivi Windows - Bloccare i caricamenti in soluzioni di archiviazione cloud diverse da OneDrive |
Passaggi successivi
Importante
Per altre informazioni sulla distribuzione dei criteri DLP, vedere Distribuzione