guia de privacidade Gerenciamento de Risco Interno do Microsoft Purview e conformidade de comunicação
As soluções de risco interno do Microsoft Purview fornecem às organizações a capacidade de ajudar a detectar e mitigar possíveis riscos e violações de política. As soluções de risco interno do Microsoft Purview incluem:
- Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar possíveis riscos internos mal-intencionados ou inadvertidos, como roubo de IP, vazamento de dados e violações de segurança. O gerenciamento de risco interno permite que os clientes criem políticas para gerenciar a segurança e a conformidade.
- Conformidade de Comunicações do Microsoft Purview fornece ferramentas para ajudar as organizações a detectar possíveis conformidades regulatórias (por exemplo, SEC ou FINRA) e violações de conduta comercial, como informações confidenciais ou confidenciais, assediar ou ameaçar linguagem e compartilhamento de conteúdo adulto.
O gerenciamento de risco interno e a conformidade de comunicação são criados com privacidade por design e equilibram a privacidade do usuário com ferramentas que ajudam a detectar e mitigar riscos organizacionais. Estamos comprometidos em proteger a confiança do usuário e manter a privacidade no nível do usuário por meio de nossos princípios principais de privacidade:
- Pseudonymization
- Controles de acesso baseados em função
- Administração o opt-in explícito
- Logs de auditoria
Pseudonymization
A pseudonymization ajuda a proteger a privacidade do usuário final removendo detalhes identificáveis do usuário, como nome de usuário ou endereço de email. A pseudonymization também ajuda a evitar possíveis preconceitos e conflitos de interesse removendo detalhes identificáveis do usuário (nome, email) e dados pessoais (título, departamento ou local) expostos na solução. Por exemplo, um funcionário chamado John Smith seria pseudônimo em um identificador não pessoal, como ANON2340. Os pseudônimos estão ativados por padrão para funções específicas, como Analistas de Gerenciamento de Riscos Internos e Pesquisadores de Gerenciamento de Riscos Internos (examine alertas e tome medidas, respectivamente) e Analistas de Conformidade de Comunicação (examine alertas de política).
Controles de acesso baseados em função
Também implementamos controles de acesso baseados em função rigorosos, para que apenas funções autorizadas de gerenciamento de risco interno e conformidade de comunicação possam usar e acessar alertas e insights sobre possíveis violações de política. Por padrão, os administradores globais não têm acesso a recursos de conformidade de comunicação e gerenciamento de risco interno. Isso ajuda a garantir que apenas os stakeholders apropriados possam acessar a solução e os detalhes específicos de suas permissões de função. As organizações têm a opção de atribuir usuários a grupos de funções específicos para gerenciar diferentes conjuntos de recursos com base em suas responsabilidades. Por exemplo, os administradores de conformidade de comunicação e gerenciamento de risco interno podem criar, configurar e excluir políticas, mas não podem acessar ou investigar alertas ou casos. Por outro lado, os investigadores de conformidade de comunicação e gerenciamento de risco interno podem acessar e investigar alertas e casos, mas não podem configurar políticas.
Observação
Os administradores de gerenciamento de risco interno podem permitir que investigadores e analistas façam edições em indicadores e limites de política usando a configuração de personalização de alerta embutida.
Se sua organização escolhe um único grupo de funções ou vários grupos de funções para se adequar aos requisitos de conformidade e privacidade da sua organização, tanto o gerenciamento de risco interno quanto a conformidade de comunicação permitem que os administradores escolham entre opções de grupo de funções predefinidas em cada solução.
Saiba mais sobre as opções de grupo de funções para cada solução:
Administração o opt-in explícito
Políticas de conformidade de comunicação e gerenciamento de risco interno são criadas para detectar atividades/comunicações arriscadas e possíveis violações de política que podem resultar em um incidente de segurança. Os funcionários só podem ser explicitamente escopo em uma política por um administrador com as permissões certas.
Além disso, indicadores de conformidade de comunicação e gerenciamento de risco interno que ajudam a detectar atividades e comunicações arriscadas que podem levar a possíveis incidentes de segurança de dados são desabilitados por padrão. Por exemplo, indicadores como "baixar conteúdo do OneDrive", "compartilhar arquivos do SharePoint com pessoas fora da organização" ou "enviar informações confidenciais ou mensagens assediadoras" estão desativados por padrão. O gerenciamento de risco interno e a conformidade com a comunicação não detectam essas atividades sem a opção explícita do administrador. Os administradores com as permissões certas devem selecionar explicitamente e optar por um ou mais indicadores nas configurações antes que uma política possa detectar essas atividades.
Administração controles de aceitação explícitos ajudam a proteger a privacidade do usuário final, garantindo que as soluções estejam apenas sinalizando alertas e violações de política para usuários e indicadores especificados nas políticas.
Logs de auditoria
Todas as ações de administrador são registradas nos logs de auditoria de soluções de risco internos do Microsoft Purview, permitindo que as organizações permaneçam informadas sobre todas as ações realizadas dentro das soluções de risco interno do Microsoft Purview, incluindo quando uma política foi criada e editada, um usuário foi adicionado, um administrador visualizou insights de atividade do usuário, indicadores foram adicionados etc.
Os logs de auditoria estão habilitados para todas as organizações do Microsoft 365 por padrão para garantir que as organizações possam auditar as ações dos administradores privilegiados e aderir aos requisitos de conformidade e privacidade.
Saiba mais sobre os recursos de logs de auditoria para cada solução:
- Revisar atividades com o log de auditoria de gerenciamento de risco interno
- Usar relatórios e auditorias de conformidade de comunicação
Proteger a confiança do usuário e criar um programa de risco interno holístico
Acreditamos fortemente que a privacidade e a confiança do usuário são essenciais para que as organizações estabeleçam um programa holístico de risco interno. O conjunto certo de ferramentas pode ajudá-lo a resolver riscos de uma maneira que atenda às necessidades de segurança. Saiba como criar um programa holístico de gerenciamento de risco interno com cinco elementos que ajudam as empresas a ter uma proteção de dados mais forte, garantindo a confiança do usuário.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de