Privacidade e proteção de dados – Proteger e governar dados
Bem-vindo à Etapa 2 do gerenciamento de privacidade de dados e proteção de dados com Microsoft Priva e Microsoft Purview: Proteja e governe seus dados.
Quando você sabe quais dados pessoais você tem, onde ele está e seus requisitos regulatórios, é hora de colocar as coisas em prática para proteger esses dados. A Microsoft fornece recursos abrangentes e robustos para ajudá-lo a proteger dados pessoais de duas maneiras:
- Recursos que os administradores de TI configuram para categorizar itens confidenciais e tomar ações de proteção e
- Recursos que capacitam seus funcionários a detectar e corrigir problemas de privacidade de dados rapidamente e serem treinados em práticas de tratamento de dados sólidos.
Ações a serem executadas
| Ação | Descrição | Obter detalhes |
|---|---|---|
| Identifique tipos de informações confidenciais para saber o que precisa de proteção. | Identificar e categorizar itens confidenciais gerenciados pela sua organização é a primeira etapa na disciplina Proteção de Informações. O Microsoft Purview fornece três maneiras de identificar itens para que eles possam ser categorizados a) manualmente pelos usuários, b) reconhecimento automatizado de padrões, como tipos de informações confidenciais e c) machine learning. Tipos de informações confidenciais (SIT) são classificadores baseados em padrão. Eles detectam informações confidenciais como segurança social, cartão de crédito ou números de conta bancária para identificar itens confidenciais. |
Saiba mais sobre tipos de informações confidenciais Exibir a lista completa de tipos de informações confidenciais |
| Categorize e rotule seu conteúdo para que você possa aplicar recursos para protegê-lo. | Categorizar e rotular conteúdo para que ele possa ser protegido e manipulado corretamente é o local de partida para a disciplina de proteção de informações. O Microsoft 365 tem três maneiras de classificar o conteúdo. | Saiba mais sobre classificadores treináveis |
| Aplique rótulos de confidencialidade para proteger dados, mesmo que eles percorram. | Quando você identificar seus dados confidenciais, você vai querer protegê-los. Isso geralmente é desafiador quando as pessoas colaboram com outras pessoas dentro e fora da organização. Esses dados podem percorrer todos os lugares, entre dispositivos, aplicativos e serviços. E quando ele percorre, você deseja que ele faça isso de forma segura e protegida que atenda às políticas de conformidade e negócios da sua organização. Os rótulos de confidencialidade da Proteção Informações do Microsoft Purview permitem que você classifique e proteja os dados da organização, ao mesmo tempo que garante que a produtividade do usuário e sua capacidade de colaboração não sejam prejudicadas. |
Saiba mais sobre rótulos de confidencialidade |
| Use políticas de prevenção contra perda de dados para impedir o compartilhamento de dados pessoais. | As organizações têm informações confidenciais sob seu controle, como dados financeiros, dados proprietários, números de cartão de crédito, registros de integridade ou números de segurança social. Para ajudar a proteger informações confidenciais e reduzir o risco, eles precisam de uma maneira de impedir que seus usuários compartilhem inapropriadamente com pessoas que não deveriam tê-la. Essa prática é chamada de prevenção contra perda de dados (DLP). Usando Prevenção Contra Perda de Dados do Microsoft Purview, você implementa a prevenção contra perda de dados definindo e aplicando políticas DLP para identificar, monitorar e proteger automaticamente itens confidenciais em serviços do Microsoft 365, como Teams, Exchange, SharePoint e OneDrive; Aplicativos do Office como Word, Excel e PowerPoint; Windows 10, Windows 11 e macOS (a versão atual e as duas versões anteriores do macOS) pontos de extremidade; aplicativos de nuvem não Microsoft; e compartilhamentos de arquivos locais e SharePoint local. Essa solução DLP detecta itens confidenciais usando uma análise de conteúdo profunda, não apenas por uma simples verificação de texto. O conteúdo é analisado para correspondências de dados primários com palavras-chave, pela avaliação de expressões regulares, pela validação de função interna e por correspondências de dados secundários que estão próximas à correspondência de dados primários. Além disso, o DLP também usa algoritmos de machine learning e outros métodos para detectar conteúdo que corresponda às políticas de DLP. |
Saiba mais sobre a prevenção contra perda de dados |
| Governe seus dados do Microsoft 365 para conformidade ou requisitos regulatórios | Os controles de governança de informações podem ser empregados em seu ambiente para ajudar a atender às necessidades de conformidade de privacidade de dados, incluindo um número específico para a GDPR (Regulamento Geral de Proteção de Dados), HIPAA-HITECH (o Estados Unidos lei de privacidade de cuidados de saúde), a Lei de Proteção do Consumidor da Califórnia (CCPA) e a Lei de Proteção de Dados do Brasil (LGPD). Gerenciamento do Ciclo de Vida dos Dados do Microsoft Purview e Gerenciamento de Registros do Microsoft Purview fornecem esses controles na forma de políticas de retenção, rótulos de retenção e recursos de gerenciamento de registros. | Saiba como implantar uma solução de governança de dados com o Microsoft Purview |
| Configure o armazenamento seguro de dados pessoais no Microsoft Teams. | Se você planeja armazenar dados pessoais altamente confidenciais no Teams, poderá configurar uma equipe privada e usar um rótulo de confidencialidade configurado especificamente para proteger o acesso à equipe e aos arquivos dentro dele. | Saiba mais sobre como configurar uma equipe com isolamento de segurança |
| Capacitar os usuários a detectar riscos potenciais e corrigir problemas. | Crie políticas de tratamento de dados no Gerenciamento de risco de privacidade Priva para que os usuários possam identificar imediatamente os riscos nos dados que eles criam e gerenciam. Emails de notificação alertam os usuários quando eles transferem itens com dados pessoais dentro da nossa parte externa da organização, tornam o conteúdo muito amplamente acessível ou mantêm dados pessoais por muito tempo. As notificações solicitam que os usuários tomem medidas imediatas de correção para proteger dados pessoais e contenham links para o treinamento de privacidade preferido da sua organização. |
Saiba mais sobre o Gerenciamento de Riscos de Privacidade Criar uma política para impedir transferências de dados, superexposição ou acumulação Configurar notificações para os usuários corrigirem problemas com o conteúdo que eles manipulam |
| Use o gerenciamento de registros para itens de alto valor que devem ser gerenciados para requisitos comerciais, legais ou regulatórios de manutenção de registros. | Um sistema de gerenciamento de registros é uma solução para as organizações gerenciarem registros regulatórios, legais e críticos aos negócios. Gerenciamento de Registros do Microsoft Purview ajuda uma organização a gerenciar suas obrigações legais, fornece a capacidade de demonstrar a conformidade com as regulamentações e aumenta a eficiência com a disposição regular de itens que não são mais necessários para serem retidos, não mais de valor ou não mais necessários para fins comerciais. |
Saiba mais sobre o gerenciamento de registros |
Configurando sua estratégia para o sucesso
Identificar SITs (tipos de informações confidenciais), categorizar e rotular seu conteúdo e implantar políticas de DLP (prevenção contra perda de dados) são etapas fundamentais em uma estratégia de proteção de informações. Os links na tabela acima levam você a diretrizes detalhadas para executar essas tarefas essenciais.
Proteger dados também é responsabilidade de todos os usuários da sua organização que exibem, criam e manipulam dados pessoais no curso das funções de trabalho. Cada usuário deve saber e respeitar as responsabilidades internas e regulatórias da sua organização para proteger dados pessoais onde quer que eles existam em sua organização. Para isso, o Priva ajuda você a capacitar seus usuários a conhecer suas responsabilidades, a serem informados quando estiverem lidando com dados de maneiras arriscadas e tomar medidas imediatas para minimizar os riscos de privacidade para a organização.
As três políticas de tratamento de dados disponíveis no Gerenciamento de risco de privacidade Priva ajudar seus usuários a desempenhar um papel proativo na estratégia de proteção de dados da sua organização. Email notificações com ações internas de correção solicitam que os usuários apliquem as proteções necessárias e realizem um treinamento de privacidade designado por sua organização. Essa conscientização e a capacidade de agir podem ajudar a cultivar melhores hábitos para evitar problemas futuros de privacidade.
Recomendações para sua primeira política de tratamento de dados priva
Recomendamos implantar políticas em uma abordagem em fases para que você possa saber como elas se comportam e otimizá-las para atender às suas necessidades. Para a primeira fase, recomendamos criar uma política personalizada para servir como base de compreensão. Vamos usar o exemplo de criação de uma política de superexposição de dados, que identifica itens de conteúdo que contêm dados pessoais que podem ser muito amplamente acessíveis por outras pessoas. Você pode encontrar instruções detalhadas de criação de políticas a partir daqui.
Quando você chega à etapa Escolher dados para monitorar a etapa do assistente de criação de política, recomendamos selecionar a opção Tipos de informações confidenciais individuais e escolher os SITs mais relevantes para sua organização. Por exemplo, se você for uma empresa de serviços financeiros com clientes na Europa, provavelmente vai querer incluir o número de cartão de débito da UE como um de seus SITs. Localize a lista de definições SIT aqui.
Na etapa Escolher usuários e grupos abordados por essa política , recomendamos selecionar usuários ou grupos específicos e escolher um pequeno círculo interno de usuários no escopo dessa política.
Na etapa Escolher condições para a política , recomendamos selecionar apenas Externo para que você esteja acompanhando os dados que talvez considere mais em risco, mantendo a quantidade total de dados que você terá que monitorar em níveis mais gerenciáveis.
Na etapa Especificar alertas e limites , recomendamos ativar alertas e selecionar a opção de frequência de Alerta quando uma das condições abaixo for atendida. Ativar alertas ajudará os administradores a avaliar se a gravidade e a frequência dos alertas atendem às suas necessidades. Observe que as políticas não funcionam retrospectivamente, portanto, se você decidir manter os alertas desligados no início e posterior, você não verá alertas para correspondências que ocorreram antes de ativar alertas.
No estado do modo Decidir política , recomendamos manter a política no modo de teste e monitorar seu desempenho por pelo menos cinco dias. Isso permite que você veja que tipo de correspondência as condições de política estão captando, como os alertas serão disparados.
Configuração gradual de mais políticas e desempenho de ajuste fino
Depois de configurar e executar sua primeira política, talvez você queira fazer o mesmo com os outros dois tipos de política. Essa pode ser sua segunda fase, em que você aumenta gradualmente o uso de recursos à medida que você vai e otimiza suas configurações. Por exemplo, você pode optar por não enviar notificações por email de usuário no início enquanto vê quantas correspondências sua política detecta. Em seguida, eventualmente, você pode decidir ativar notificações por email enquanto as políticas ainda estiverem no modo de teste (na fase Definir resultados das configurações da política). Se os usuários receberem muitos emails, volte para as configurações de Resultados da política para ajustar a frequência das notificações. Todo esse ajuste fino pode ajudá-lo a medir o impacto desejado em seus usuários antes de implantar a política de forma mais ampla em toda a sua organização.
Configurações recomendadas para os outros dois tipos de política
Abaixo estão recomendações específicas para configurações de chave ao criar suas primeiras políticas de transferência de dados e superexposição de dados .
Transferência de dados:
- Para que os dados sejam monitorados, selecione SITs específicos.
- Para Escolher usuários e grupos cobertos por essa política, selecione um anel interno de usuários.
- Para Escolher condições para a política, escolha a condição que mais importa.
- Para Definir resultados quando uma correspondência de política for detectada, ative notificações por email.
- Para Especificar alertas e limites, ative os alertas para cada vez que uma atividade ocorrer.
- Para o modo Decidir política, ative o modo de política (que desativa o modo de teste).
Minimização de dados:
- Para que os dados monitorem, escolha SITs ou grupos de classificação específicos.
- Para Escolher usuários e grupos cobertos por essa política, selecione um anel interno de usuários.
- Para Escolher condições para a política, escolha 30, 60, 90 ou 120 dias.
- Para o modo Decidir política, mantenha a política no modo de teste.
Maximizar o desempenho da política para minimizar os riscos de privacidade
Permitir que suas políticas sejam executadas por pelo menos duas a quatro semanas. Durante esse tempo, você deve examinar e documentar os seguintes resultados:
- As correspondências geradas por cada tipo de política e as instâncias de falsos positivos e falsos negativos
- O impacto e os comentários de usuários finais e administradores
Com base em suas descobertas, agora você pode ajustar o desempenho da política fazendo o seguinte:
- Incluindo ou excluindo SITs ou grupos de classificação personalizados e fora da caixa
- Criando versões das políticas com condições e grupos de usuários para tornar a segmentação mais eficiente
- Ajustando os limites da política, incluindo a frequência de emails para usuários, número de dias para monitorar etc.
Pense nisso como sua terceira fase. Você pode criar mais versões de cada tipo de política e implantá-las em toda a organização em duas rodadas: uma primeira rodada que abrange 50% dos usuários e uma segunda rodada que abrange 100% dos usuários.
Este também é o estágio em que você acumula aprendizados com base no comportamento do usuário, conforme observado em Priva e cria treinamento de privacidade específico para seus usuários, que você pode incluir no notificações por email de usuário de suas políticas.
Próxima etapa
Visite a Etapa 3. Mantenha-se no controle com as regulamentações de privacidade.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de