Guia de privacidade de Gestão de Riscos e Conformidade de Comunicações do Microsoft Purview Insider
As soluções de risco interno do Microsoft Purview fornecem às organizações a capacidade de ajudar a detetar e mitigar potenciais riscos e violações de políticas. As soluções de risco interno do Microsoft Purview incluem:
- A Gestão de Riscos Internos do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade.
- A Conformidade de Comunicação do Microsoft Purview fornece ferramentas para ajudar as organizações a detetar potenciais conformidades regulamentares (por exemplo, SEC ou FINRA) e violações de conduta empresarial, tais como informações confidenciais, assédio ou ameaça de idioma e partilha de conteúdo para adultos.
A gestão de riscos internos e a conformidade de comunicação são criadas com privacidade através da conceção e equilíbrio da privacidade dos utilizadores com ferramentas que ajudam a detetar e mitigar riscos organizacionais. Estamos empenhados em proteger a confiança dos utilizadores e manter a privacidade ao nível do utilizador através dos nossos principais princípios de privacidade:
- Pseudonimização
- Controlos de acesso baseados em funções
- Opt-in explícito do administrador
- Logs de auditoria
Pseudonimização
A pseudonimização ajuda a proteger a privacidade do utilizador final ao remover detalhes de utilizador identificáveis, como o nome de utilizador ou o endereço de e-mail. A pseudonimização também ajuda a evitar potenciais preconceitos e conflitos de interesses ao remover detalhes de utilizador identificáveis (nome, e-mail) e dados pessoais (título, departamento ou localização) expostos na solução. Por exemplo, um funcionário chamado John Smith seria pseudonimizado num identificador não pessoal, como ANON2340. Os pseudónimos estão ativados por predefinição para funções específicas, como Analistas de Gestão de Risco Interno e Investigadores de Gestão de Riscos Internos (analisem alertas e tomem medidas, respetivamente) e Analistas de Conformidade de Comunicações (rever alertas de política).
Controlos de acesso baseados em funções
Importante
A Microsoft recomenda que utilize funções com menos permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Também implementamos controlos de acesso baseados em funções rigorosos, pelo que apenas as funções de conformidade de comunicação e gestão de riscos internos autorizadas podem utilizar e aceder a alertas e informações sobre possíveis violações de políticas. Por predefinição, os administradores globais não têm acesso a funcionalidades de gestão de riscos internos e de conformidade de comunicação. Isto ajuda a garantir que apenas os intervenientes adequados podem aceder à solução e aos detalhes específicos das respetivas permissões de função. As organizações têm a opção de atribuir utilizadores a grupos de funções específicos para gerir diferentes conjuntos de funcionalidades com base nas suas responsabilidades. Por exemplo, os administradores de conformidade de comunicações e gestão de riscos internos podem criar, configurar e eliminar políticas, mas não podem aceder ou investigar alertas ou casos. Por outro lado, os investigadores de conformidade de comunicações e gestão de riscos internos podem aceder e investigar alertas e casos, mas não podem configurar políticas.
Observação
Os administradores de gestão de riscos internos podem permitir que investigadores e analistas façam edições a indicadores e limiares de políticas através da definição de personalização de alertas inline.
Quer a sua organização escolha um único grupo de funções ou vários grupos de funções para se adaptar aos requisitos de conformidade e privacidade da sua organização, tanto a gestão de riscos internos como a conformidade de comunicação permitem que os administradores escolham entre as opções predefinidas do grupo de funções em cada solução.
Saiba mais sobre as opções do grupo de funções para cada solução:
Opt-in explícito do administrador
As políticas de conformidade de comunicações e gestão de riscos internos são configuradas para detetar atividades/comunicações de risco e potenciais violações de políticas que podem resultar num incidente de segurança. Os funcionários só podem ser explicitamente confinados a uma política por um administrador com as permissões certas.
Além disso, os indicadores de conformidade de comunicação e gestão de riscos internos que ajudam a detetar atividades e comunicações de risco que podem levar a potenciais incidentes de segurança de dados estão desativados por predefinição. Por exemplo, indicadores como "transferir conteúdo do OneDrive", "partilhar ficheiros do SharePoint com pessoas fora da organização" ou "enviar informações confidenciais ou assediar mensagens" estão desativados por predefinição. A gestão de riscos internos e a conformidade de comunicação não detetam essas atividades sem a opção de opt-in explícita do administrador. Os administradores com as permissões certas têm de selecionar e optar explicitamente por um ou mais indicadores nas definições antes de uma política poder detetar essas atividades.
Os controlos de opt-in explícitos do administrador ajudam a salvaguardar a privacidade dos utilizadores finais ao garantir que as soluções estão apenas a sinalizar alertas e violações de políticas para utilizadores e indicadores especificados nas políticas.
Logs de auditoria
Todas as ações de administração são registadas nos registos de auditoria de soluções de risco interno do Microsoft Purview, permitindo que as organizações se mantenham informadas sobre todas as ações realizadas nas soluções de risco interno do Microsoft Purview, incluindo quando uma política foi criada e editada, foi adicionado um utilizador, um administrador viu as informações de atividade do utilizador, foram adicionados indicadores, etc.
Os registos de auditoria estão ativados para todas as organizações do Microsoft 365 por predefinição para garantir que as organizações podem auditar as ações dos administradores com privilégios e cumprir os requisitos de conformidade e privacidade.
Saiba mais sobre as capacidades dos registos de auditoria para cada solução:
- Rever atividades com o registo de auditoria de gestão de riscos internos
- Usar relatórios e auditorias de conformidade de comunicações
Proteger a confiança do utilizador e criar um programa holístico de risco interno
Acreditamos firmemente que a privacidade e a confiança dos utilizadores são essenciais para que as organizações estabeleçam um programa holístico de risco interno. O conjunto certo de ferramentas pode ajudá-lo a resolver riscos de uma forma que satisfaça as necessidades de segurança. Saiba como criar um programa holístico de gestão de riscos internos com cinco elementos que ajudam as empresas a ter uma proteção de dados mais forte, garantindo simultaneamente a confiança dos utilizadores.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de