Planejar o gerenciamento de riscos internos

  • Artigo

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade. Criados com privacidade por design, os usuários são pseudônimos por padrão e os controles de acesso baseados em função e os logs de auditoria estão em vigor para ajudar a garantir a privacidade no nível do usuário.

Antes de começar a usar o gerenciamento de riscos internos em sua organização, há importantes atividades de planejamento e considerações que devem ser revisadas por suas equipes de gerenciamento de conformidade e tecnologia da informação. A compreensão e o planejamento completos da implantação nas áreas a seguir ajudarão a garantir que a implementação e o uso de recursos de gerenciamento de risco interno funcionem sem problemas e estejam alinhados com as melhores práticas.

Para obter mais informações e uma visão geral do processo de planejamento para lidar com atividades arriscadas em sua organização, consulte Iniciar um programa de gerenciamento de risco interno.

Assista ao vídeo abaixo para saber como o fluxo de trabalho de gerenciamento de risco interno pode ajudar sua organização a prevenir, detectar e conter riscos, priorizando os valores da organização, a cultura e a experiência do usuário:

Confira o vídeo do Microsoft Mechanics sobre como o gerenciamento de riscos internos e a conformidade com a comunicação funcionam juntos para ajudar a minimizar os riscos de dados dos usuários em sua organização.

Dica

Se você não for um cliente E5, use a avaliação de soluções do Microsoft Purview de 90 dias para explorar como recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações portal de conformidade do Microsoft Purview. Saiba mais sobre os termos de inscrição e avaliação.

Trabalhar com stakeholders em sua organização

Identifique os stakeholders apropriados em sua organização para colaborar para executar ações em alertas e casos de gerenciamento de riscos internos. Alguns stakeholders recomendados a considerar a inclusão no planejamento inicial e o fluxo de trabalho de gerenciamento de risco interno de ponta a ponta são pessoas das seguintes áreas da sua organização:

  • Tecnologia da informação
  • Conformidade
  • Privacidade
  • Segurança
  • Recursos humanos
  • Jurídico

Determinar quaisquer requisitos de conformidade regional

Diferentes áreas geográficas e organizacionais podem ter requisitos de conformidade e privacidade diferentes de outras áreas da sua organização. Trabalhe com os stakeholders nessas áreas para garantir que eles entendam os controles de conformidade e privacidade no gerenciamento de riscos internos e como eles devem ser usados em diferentes áreas da sua organização. Em alguns cenários, os requisitos de conformidade e privacidade podem exigir políticas que designem ou restrinjam alguns stakeholders de investigações e casos com base no caso de um usuário ou requisitos regulatórios ou de política para a área.

Se você tiver requisitos para que partes interessadas específicas estejam envolvidas em investigações de caso que envolvam usuários em determinadas regiões, funções ou divisões, talvez você queira implementar políticas de gerenciamento de risco interna separadas (mesmo que idênticas) direcionadas às diferentes regiões e populações. Essa configuração facilita a triagem e o gerenciamento de casos relevantes para suas funções e regiões. Talvez você queira considerar a criação de processos e políticas para regiões em que investigadores e revisores falam a mesma linguagem que os usuários, o que pode ajudar a simplificar o processo de escalonamento para alertas e casos de gerenciamento de risco interno.

Planejar permissões para dar suporte ao fluxo de trabalho de revisão e investigação

Dependendo de como você deseja gerenciar políticas e alertas de gerenciamento de riscos internos, você precisará atribuir usuários a grupos de funções específicos para gerenciar diferentes conjuntos de recursos de gerenciamento de risco interno. Você tem a opção de atribuir usuários com diferentes responsabilidades de conformidade a grupos de funções específicos para gerenciar diferentes áreas de recursos de gerenciamento de risco interno. Ou você pode decidir atribuir todas as contas de usuário para administradores, analistas, investigadores e espectadores designados para o grupo de funções Insider Risk Management . Para obter mais informações, consulte Introdução ao gerenciamento de risco interno.

Entender requisitos e dependências

Dependendo de como você planeja implementar políticas internas de gerenciamento de riscos, você precisa ter as assinaturas de licenciamento adequadas do Microsoft 365 e entender e planejar alguns pré-requisitos de solução.

Licenciamento: O gerenciamento de risco interno está disponível como parte de uma ampla seleção de assinaturas de licenciamento do Microsoft 365. Para obter detalhes, confira o artigo Introdução ao gerenciamento de riscos internos .

Importante

Atualmente, o gerenciamento de risco interno está disponível em locatários hospedados em regiões geográficas e países com suporte por dependências de serviço do Azure. Para verificar se há suporte para o gerenciamento de risco interno para sua organização, consulte Disponibilidade de dependência do Azure por país/região.

Se você não tiver um plano Microsoft 365 Enterprise E5 existente e quiser experimentar o gerenciamento de risco interno, poderá adicionar o Microsoft 365 à sua assinatura existente ou se inscrever para uma avaliação de Microsoft 365 Enterprise E5.

Requisitos de modelo de política: Dependendo do modelo de política escolhido, você precisa ter certeza de entender os seguintes requisitos e planejar de acordo antes de configurar o gerenciamento de risco interno em sua organização:

  • Ao usar o roubo de dados partindo do modelo de usuários , você deve configurar um conector do Microsoft 365 HR para importar periodicamente informações de data de demissão e término para usuários em sua organização. Consulte o artigo Importar dados com o conector de RH para obter diretrizes passo a passo para configurar o conector de RH do Microsoft 365.
  • Ao usar o modelo de vazamentos de dados, você deve configurar pelo menos uma política de DLP (Prevenção Contra Perda de Dados do Microsoft Purview) para definir informações confidenciais em sua organização e receber alertas de risco interno para alertas de política DLP de alta gravidade. Consulte o artigo Criar e Implantar políticas de prevenção contra perda de dados para obter diretrizes passo a passo para configurar políticas DLP.
  • Ao usar o modelo de violação de política de segurança, você deve habilitar Microsoft Defender para Ponto de Extremidade para integração de gerenciamento de risco interno na Central de Segurança do Defender para importar alertas de violação de segurança. Para obter diretrizes passo a passo para habilitar a integração do Defender para Ponto de Extremidade com o gerenciamento de risco interno, consulte Configurar recursos avançados no Microsoft Defender para Ponto de Extremidade.
  • Ao usar o modelo de usuário arriscado, você deve configurar um conector do Microsoft 365 HR para importar periodicamente o desempenho ou o rebaixamento status informações para usuários em sua organização. Consulte o artigo Importar dados com o conector de RH para obter diretrizes passo a passo para configurar o conector de RH do Microsoft 365.

Testar com um pequeno grupo de usuários em um ambiente de produção

Antes de habilitar essa solução amplamente em seu ambiente de produção, você deve considerar testar as políticas com um pequeno conjunto de usuários de produção enquanto conduz para a conformidade, privacidade e revisões legais necessárias em sua organização. Avaliar o gerenciamento de risco interno em um ambiente de teste requer que você gere ações simuladas do usuário e outros sinais para criar alertas para triagem e casos para processamento. Essa abordagem pode não ser prática para muitas organizações, por isso recomendamos que você teste o gerenciamento de risco interno com um pequeno grupo de usuários em um ambiente de produção.

Mantenha o recurso de anonimização nas configurações de política habilitado para anonimizar nomes de exibição de usuário no console de gerenciamento de risco interno durante esse teste para manter a privacidade dentro da ferramenta. Essa configuração ajuda a proteger a privacidade dos usuários que têm correspondências de política e podem ajudar a promover a objetividade nas revisões de investigação e análise de dados para alertas de risco interno.

Se você não vir alertas imediatamente após configurar uma política de gerenciamento de risco interno, isso pode significar que o limite mínimo de risco ainda não foi atingido. Verifique a página Usuários para verificar se a política está disparada e funcionando conforme o esperado e para ver se os usuários estão no escopo da política.

Recursos para stakeholders

Compartilhe a documentação de gerenciamento de risco interno com os stakeholders em sua organização que estão incluídos no fluxo de trabalho de gerenciamento e correção:

Pronto para começar?

Pronto para configurar o gerenciamento de risco interno para sua organização? Nós recomendamos que você leia os artigos a seguir: