Prevenzione della perdita di dati in Exchange Server
La prevenzione della perdita dei dati (DLP) è importante in Exchange Server perché la comunicazione di posta elettronica critica per l'azienda spesso include dati sensibili. Le funzionalità di prevenzione della perdita dei dati rendono la gestione dei dati sensibili nei messaggi di posta elettronica più semplice che mai bilanciando i requisiti di conformità senza ostacolare inutilmente la produttività dei lavoratori. Per una panoramica concettuale di DLP, guarda il seguente video.
I criteri DLP sono pacchetti semplici che sono raccolte di regole del flusso di posta (note anche come regole di trasporto) che contengono condizioni, azioni ed eccezioni specifiche che filtrano messaggi e allegati in base al contenuto. È possibile creare un criterio DLP, ma scegliere di non attivarlo. Questo consente di testare i propri criteri senza influire sul flusso di posta. Per altre informazioni, vedere Testare una regola del flusso di posta.
I criteri DLP possono usare tutta la potenza delle regole del flusso di posta per rilevare e quindi agire sui messaggi in transito. Ad esempio, una regola del flusso di posta può eseguire un'analisi approfondita del contenuto tramite corrispondenze di parole chiave, corrispondenze di dizionario, corrispondenze di testo tramite espressioni regolari e altre tecniche di esame del contenuto per rilevare il contenuto che viola i criteri DLP dell'organizzazione. L'impronta digitale dei documenti è disponibile anche per rilevare informazioni sensibili nei moduli standard. Per ulteriori informazioni, vedere i seguenti argomenti:
Oltre ai criteri DLP personalizzabili, è anche possibile informare i mittenti di posta elettronica quando stanno per violare uno dei criteri, anche prima di inviare un messaggio contenente informazioni riservate. A tale scopo, configurare i suggerimenti per i criteri. I suggerimenti per i criteri presentano una breve nota sulle possibili violazioni dei criteri in Outlook 2013 o versioni successive, Outlook sul web (in precedenza noto come Outlook Web App) e Outlook sul web per i dispositivi. Per ulteriori informazioni, vedere Suggerimenti per i criteri.
Note:
Prevenzione perdita dati (DLP) è una funzionalità premium che richiede una licenza di accesso client (CAL, Client Access License) di Enterprise di Exchange. Per altre informazioni sulle licenze CAL e sui server, vedere Domande frequenti sulle licenze di Exchange.
Negli ambienti ibridi in cui alcune cassette postali si trovano in Exchange locale e alcune in Exchange Online, i criteri DLP vengono applicati solo in Exchange Online. I messaggi inviati tra utenti locali non hanno criteri di prevenzione della perdita dei dati applicati, perché i messaggi non lasciano l'ambiente locale.
Per informazioni sulle attività di gestione correlate alla prevenzione della perdita dei dati, Vedere Procedure DLP.
Stabilire criteri per proteggere i dati sensibili
Le funzionalità di prevenzione perdita dati possono essere d'aiuto per identificare e monitorare molte categorie di informazioni sensibili definite nelle condizioni dei propri criteri, quali ad esempio numeri di identificazione personale o numeri di carte di credito. È possibile definire criteri personalizzati e regole del flusso di posta oppure usare i modelli di criteri DLP inclusi in Exchange per iniziare rapidamente. Un modello di criteri è un modello che include una gamma di condizioni, regole e azioni tra cui è possibile scegliere per creare e salvare un criterio DLP effettivo che consente di esaminare i messaggi. Per altre informazioni sui modelli di criteri inclusi, vedere Modelli di criteri DLP forniti in Exchange.
Esistono tre diversi metodi che è possibile usare per implementare la prevenzione della perdita dei dati:
Applicare un modello predefinito fornito in Exchange: il modo più rapido per iniziare a usare i criteri DLP consiste nel creare e implementare un nuovo criterio usando un modello. Questo evita lo sforzo di costruire un nuovo gruppo di regole dal nulla. È necessario conoscere il tipo di dati da controllare o il regolamento di conformità che si sta tentando di risolvere. È anche necessario conoscere le aspettative dell'organizzazione per l'elaborazione di questi dati. Per altre informazioni, vedere Modelli di criteri DLP forniti in Exchange e Creare criteri DLP da un modello.
Importare un file di criteri predefinito dall'esterno dell'organizzazione: è possibile importare i criteri creati da fornitori di software indipendenti. In questo modo, è possibile estendere la soluzione DLP per soddisfare i requisiti aziendali. Per altre informazioni, vedere Definire modelli DLP personalizzati e tipi di informazioni e Importare criteri DLP da un file.
Creare un criterio personalizzato senza condizioni preesistenti: l'organizzazione potrebbe avere requisiti propri per il monitoraggio di determinati tipi di dati che esistono all'interno di un sistema di messaggistica. È possibile creare un criterio personalizzato per trovare e agire in base ai dati univoci dei messaggi. È necessario conoscere i requisiti e i vincoli dell'ambiente in cui verranno applicati i criteri DLP per creare criteri personalizzati efficaci. Per altre informazioni, vedere Creare un criterio DLP personalizzato.
Dopo aver aggiunto un criterio, è possibile esaminarne e modificarne le regole, disattivarlo o rimuoverlo completamente. Per altre informazioni, vedere Gestire i criteri DLP.
Tipi di informazioni sensibili nei criteri DLP
Quando si creano o si modificano criteri di prevenzione della perdita dei dati, è possibile includere regole che cercano informazioni riservate. I tipi di informazioni sensibili elencati nell'argomento Tipi di informazioni sensibili in Exchange Server sono disponibili per l'uso nei criteri. È possibile personalizzare le condizioni all'interno di un criterio, ad esempio il numero di volte in cui è necessario trovare un elemento prima che venga eseguita un'azione o l'azione da eseguire. Per altre informazioni sulla creazione di criteri DLP, vedere Creare un criterio DLP personalizzato. Per altre informazioni sulle regole del flusso di posta, vedere Regole del flusso di posta in Exchange Server.
Per semplificare l'uso di regole che cercano informazioni riservate, Exchange include modelli di criteri che includono già alcuni tipi di informazioni riservate. Non è possibile aggiungere condizioni per tutti i tipi di informazioni riservate, perché i modelli sono progettati per concentrarsi sui tipi più comuni di dati correlati alla conformità all'interno dell'organizzazione. Per altre informazioni sui modelli predefiniti, vedere Modelli di criteri DLP forniti in Exchange.
È possibile creare molti criteri DLP per l'organizzazione e abilitarli tutti in modo che vengano cercati molti tipi diversi di informazioni. È anche possibile creare criteri di prevenzione della perdita dei dati non basati su un modello esistente. Per creare un criterio di questo tipo, vedere Creare un criterio DLP personalizzato. Per altre informazioni sui tipi di informazioni sensibili disponibili, vedere Tipi di informazioni riservate in Exchange Server.
Rilevamento di dati riservati con documento Fingerprinting
Exchange consente di usare l'impronta digitale dei documenti per creare facilmente un tipo di informazioni sensibili basato su un modulo standard.
Notifica agli utenti con un suggerimento per il criterio circa le aspettative di contenuti sensibili
È possibile utilizzare messaggi di notifica di suggerimento per il criterio per informare i mittenti di posta elettronica riguardo possibili problemi di conformità durante la composizione di un messaggio di posta elettronica. Quando si configura un suggerimento per i criteri in un criterio DLP, il messaggio di notifica viene visualizzato solo se qualcosa nel messaggio di posta elettronica del mittente corrisponde alle condizioni descritte nei criteri. I suggerimenti per i criteri sono simili ai suggerimenti per i messaggi introdotti in Exchange 2010. Per ulteriori informazioni, vedere Suggerimenti per i criteri.
Rilevamento di informazioni sensibili con classificazione tradizionale dei messaggi
Un fattore chiave nella forza di una soluzione DLP è la possibilità di identificare correttamente contenuti riservati o sensibili che possono essere univoci per l'organizzazione, le esigenze normative, l'area geografica o altre esigenze aziendali. L'architettura DLP di Exchange usa l'analisi approfondita del contenuto insieme ai criteri di rilevamento stabiliti tramite regole nei criteri di prevenzione della perdita dei dati. Per evitare la perdita di dati in Exchange, è necessario configurare il set appropriato di regole relative alle informazioni riservate che offrono un livello elevato di protezione, riducendo al minimo le interruzioni del flusso di posta causate da falsi positivi e negativi. Questi tipi di regole (indicati in tutte le informazioni DLP come rilevamento delle informazioni riservate) funzionano nel framework delle regole del flusso di posta per abilitare le funzionalità DLP. Per altre informazioni su queste funzionalità, vedere Integrazione di regole relative alle informazioni riservate con le regole del flusso di posta.
È comunque possibile applicare classificazioni di messaggi tradizionali ai messaggi ed è possibile combinare queste classificazioni con il rilevamento delle informazioni riservate. È possibile usare queste funzionalità insieme all'interno di un singolo criterio DLP o gestirle in modo indipendente (simultaneamente). Per altre informazioni sulle classificazioni dei messaggi di Exchange 2010 tradizionali, vedere Informazioni sulle classificazioni dei messaggi.
Informazioni sui messaggi elaborati DLP
Per visualizzare informazioni sui messaggi che contengono rilevamenti di criteri DLP nell'ambiente, vedere Visualizzare i report di rilevamento dei criteri DLP e Creare report sugli eventi imprevisti per i rilevamenti dei criteri DLP. I dati relativi ai rilevamenti DLP sono altamente integrati nei report di recapito.