Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como parte das diretrizes de adoção da Confiança Zero , este artigo descreve o cenário de negócios de atender aos requisitos regulatórios e de conformidade que podem ser aplicáveis à sua organização.
Independentemente da complexidade do ambiente de TI da sua organização ou da dimensão da sua organização, os novos requisitos regulamentares que podem afetar a sua empresa estão continuamente a aumentar. Essas regulamentações incluem o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA), uma miríade de regulamentos de informações financeiras e de saúde e requisitos de residência de dados.
O processo de atender aos requisitos regulatórios e de conformidade pode ser longo, complexo e entediante quando não gerenciado corretamente. Esse desafio aumentou consideravelmente a carga de trabalho das equipes de segurança, conformidade e regulamentos para alcançar e provar a conformidade, preparar-se para uma auditoria e colocar práticas recomendadas em andamento.
Uma abordagem Confiança Zero excede frequentemente alguns tipos de requisitos impostos pelos regulamentos de conformidade, por exemplo, aqueles que controlam o acesso aos dados pessoais. As organizações que implementaram uma abordagem Confiança Zero podem descobrir que já cumprem algumas novas condições ou podem facilmente basear-se na sua arquitetura Confiança Zero para estarem em conformidade.
| Abordagens tradicionais para atender aos requisitos regulatórios e de conformidade | Abordagem moderna para atender aos requisitos regulatórios e de conformidade com a Confiança Zero |
|---|---|
| Muitas organizações usam várias soluções herdadas costuradas. Essas soluções geralmente não funcionam juntas perfeitamente, expondo lacunas de infraestrutura e aumentando os custos operacionais. Algumas soluções especializadas independentes podem até impedir a conformidade com determinadas regulamentações enquanto são usadas para cumprir outra. Um exemplo generalizado é o uso de criptografia para garantir que indivíduos autorizados lidem com dados com segurança. Mas a maioria das soluções de criptografia torna os dados opacos para serviços como DLP (Prevenção contra Perda de Dados), Descoberta Eletrônica ou arquivamento. A criptografia impede que a organização execute a devida diligência em ações executadas por usuários que utilizam dados criptografados. Esse resultado força as organizações a tomar decisões difíceis e arriscadas, como proibir todo o uso de criptografia em nível de arquivo para transferências de dados confidenciais ou permitir que dados criptografados saiam sem especificação da organização. |
Unificar sua estratégia e política de segurança com uma abordagem de Zero Trust elimina silos entre equipes de TI e sistemas, permitindo melhor visibilidade e proteção em toda a pilha de TI. Soluções de conformidade integradas nativamente, como as do Microsoft Purview, não só funcionam em conjunto para dar suporte aos seus requisitos de conformidade e aos de uma abordagem de Confiança Zero, mas fazem isso com total transparência, permitindo que cada solução aproveite os benefícios de outras pessoas, como a conformidade de comunicação aproveitando rótulos de confidencialidade no conteúdo. As soluções de conformidade integrada podem fornecer a cobertura necessária com compensações mínimas, como conteúdo criptografado sendo processado de forma transparente por soluções de Descoberta Eletrônica ou DLP. A visibilidade em tempo real permite a descoberta automática de ativos, incluindo ativos críticos e cargas de trabalho, enquanto os mandatos de conformidade podem ser aplicados a esses ativos por meio da classificação e rotulagem de confidencialidade. Implementar uma arquitetura de Confiança Zero ajuda você a atender aos requisitos regulatórios e de conformidade com uma estratégia abrangente. O uso de soluções do Microsoft Purview em uma arquitetura de Confiança Zero ajuda você a descobrir, governar, proteger e gerenciar todo o patrimônio de dados da sua organização de acordo com os regulamentos que afetam sua organização. Estratégias de Confiança Zero geralmente envolvem a implementação de controles que atendem ou excedem determinados requisitos regulatórios, o que reduz a carga de executar alterações em todo o sistema para aderir aos novos requisitos regulatórios. |
As diretrizes neste artigo explicam como começar a usar a Confiança Zero como uma estrutura para atender aos seus requisitos regulatórios e de conformidade com ênfase em como se comunicar e trabalhar com líderes de negócios e equipes em toda a sua organização.
Este artigo utiliza as mesmas fases do ciclo de vida do Cloud Adoption Framework para Azure — definir estratégia, planejar, preparar, adotar, governar e gerenciar —, mas com adaptações ao modelo de Confiança Zero.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Plano | Pronto | Adotar | Governar e gerenciar |
|---|---|---|---|---|
| Alinhamento organizacional Metas estratégicas Resultados |
Equipe de stakeholders Planos técnicos Preparação de habilidades |
Avaliar Teste Piloto |
Implementar incrementalmente ao longo de seu ambiente digital | Acompanhar e medir Monitorar e detectar Iterar para maturidade |
Definir fase de estratégia
A fase definir estratégia é essencial para definir e formalizar esforços para abordar o "Por quê?" desse cenário. Nesta fase, você entende o cenário por meio de perspectivas regulatórias, comerciais, de TI, operacionais e estratégicas.
Em seguida, você define os resultados nos quais medir o sucesso nesse cenário, entendendo que a conformidade é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados relevantes para muitas organizações. Use essas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Noções básicas sobre as motivações de seus líderes empresariais
Embora a Confiança Zero possa ajudar a simplificar o processo de atender aos requisitos regulatórios, talvez o maior desafio seja obter apoio e contribuição de líderes em toda a sua organização. Essa orientação de adoção foi projetada para ajudá-lo a se comunicar com eles para que você possa obter alinhamento organizacional, definir suas metas estratégicas e identificar os resultados.
A obtenção de alinhamento começa com a compreensão do que motiva seus líderes e por que eles devem se preocupar em atender aos requisitos regulatórios. A tabela a seguir fornece perspectivas de exemplo, mas é importante que você se reúna com cada um desses líderes e equipes e tenha uma compreensão compartilhada das motivações uns dos outros.
| Função | Por que atender aos requisitos regulatórios é importante |
|---|---|
| Diretor executivo (CEO) | Responsável por proteger a estratégia organizacional validada por órgãos de auditoria externos. O CEO se reporta principalmente a um conselho de administração que também pode avaliar o nível de conformidade com os requisitos legislativos em toda a organização e resultados anuais de auditoria. |
| Diretor de Marketing (CMO) | Responsável por garantir que as informações confidenciais da empresa não sejam compartilhadas externamente apenas para fins de marketing. |
| Diretor de Informações (CIO) | Normalmente, é o oficial de informações da organização e será responsabilizado pelos reguladores de informações. |
| Diretor de tecnologia (CTO) | Responsável por manter a conformidade regulatória dentro do patrimônio digital. |
| Diretor de Segurança da Informação (CISO) | Responsável pela adoção e conformidade com os padrões do setor que fornecem controles diretamente relacionados à conformidade com a segurança da informação. |
| Diretor de Operações (COO) | Garante que as políticas e procedimentos da empresa relacionados à segurança da informação, privacidade de dados e outras práticas regulatórias sejam mantidos em um nível operacional. |
| Diretor Financeiro (CFO) | Avalia desvantagens financeiras e vantagens para a conformidade, como seguro cibernético e conformidade fiscal. |
| Diretor de Risco (CRO) | É responsável pelo componente de Risco da estrutura de Governança, Risco e Conformidade (GRC) dentro da organização. Reduz as ameaças à não conformidade e à conformidade. |
Diferentes partes da sua organização podem ter motivações e incentivos diferentes para realizar o trabalho de requisitos regulatórios e de conformidade. A tabela a seguir resume algumas dessas motivações. Certifique-se de se conectar com seus stakeholders para entender suas motivações.
| Área | Motivações |
|---|---|
| Necessidades comerciais | Para cumprir os requisitos regulatórios e legislativos que se aplicam. |
| Necessidades de TI | Para implementar tecnologias que automatizam a conformidade com requisitos regulatórios e de conformidade, conforme definido pela sua organização no escopo de identidades, dados, dispositivos (pontos de extremidade), aplicativos e infraestrutura. |
| Necessidades operacionais | Implemente políticas, procedimentos e instruções de trabalho referenciadas e alinhadas aos padrões relevantes do setor e aos requisitos de conformidade relevantes. |
| Necessidades estratégicas | Reduza o risco de infringir leis nacionais, regionais e locais e os potenciais danos financeiros e públicos à reputação que podem resultar de infrações. |
Usando a pirâmide de governança para informar a estratégia
O mais importante a lembrar com esse cenário de negócios é que a estrutura de Confiança Zero serve como parte de um modelo de governança maior que estabelece a hierarquia de vários requisitos legislativos, estatutários, regulatórios, políticos e processuais dentro de uma organização. Na conformidade e no espaço regulatório, pode haver muitas maneiras de alcançar o mesmo requisito ou controle. É importante afirmar que este artigo busca a conformidade regulatória usando uma abordagem de Confiança Zero.
Um modelo de estratégia que geralmente é usado dentro da conformidade regulatória é a pirâmide de governança mostrada aqui.
Essa pirâmide ilustra os diferentes níveis nos quais a maioria das organizações gerencia a governança de TI (tecnologia da informação). Da parte superior da pirâmide até a parte inferior, esses níveis são legislação, padrões, políticas e procedimentos e instruções de trabalho.
A parte superior da pirâmide representa o nível mais importante — a legislação. Nesse nível, a variação entre as organizações é menor porque as leis se aplicam amplamente a muitas organizações, embora as regulamentações nacionais e específicas aos negócios possam se aplicar apenas a algumas empresas e não a outras. A base da pirâmide, instruções de trabalho, representa a área com a maior variação e área de superfície de implementação entre as organizações. Esse é o nível que permite que uma organização aproveite a tecnologia para atender aos requisitos mais importantes para os níveis mais altos.
O lado direito da pirâmide fornece exemplos de cenários em que a conformidade organizacional pode levar a resultados e benefícios positivos para os negócios. A relevância dos negócios cria mais incentivos para que as organizações tenham uma estratégia de governança.
A tabela a seguir descreve como os diferentes níveis de governança no lado esquerdo da pirâmide podem fornecer as vantagens estratégicas de negócios no lado direito.
| Nível de governança | Relevância e resultados estratégicos dos negócios |
|---|---|
| Legislação e leis, consideradas coletivamente | A aprovação de auditorias legais pode evitar multas e penalidades e criar confiança do consumidor e lealdade à marca. |
| Os padrões fornecem uma base confiável para que as pessoas compartilhem as mesmas expectativas sobre um produto ou serviço | Os padrões fornecem garantia de qualidade por meio de vários controles de qualidade do setor. Algumas certificações também têm benefícios de seguro cibernético. |
| Políticas e procedimentos documentam as operações e as funções diárias de uma organização | Muitos processos manuais relacionados à governança podem ser simplificados e automatizados. |
| Instruções de trabalho descrevem como executar um processo com base nas políticas e procedimentos definidos em etapas detalhadas | Os detalhes intrincados de manuais e documentos de instrução podem ser simplificados pela tecnologia. Isso pode reduzir muito o erro humano e economizar tempo. Um exemplo é usar as políticas de Acesso Condicional do Microsoft Entra como parte do processo de integração de funcionários. |
O modelo de pirâmide de governança ajuda a concentrar as prioridades:
Requisitos legislativos e legais
As organizações podem enfrentar sérias repercussões se elas não forem seguidas.
Padrões de segurança e específicos do setor
As organizações podem ter um requisito do setor para serem compatíveis ou certificadas com um ou mais desses padrões. A estrutura confiança zero pode ser mapeada em relação a vários padrões de segurança, segurança da informação e gerenciamento de infraestrutura.
Políticas e procedimentos
Específicos da organização e regem os processos mais intrínsecos no âmbito da organização.
Instruções de trabalho
Controles detalhados altamente técnicos e personalizados para que as organizações atendam às políticas e procedimentos.
Há vários padrões que adicionam mais valor a áreas da arquitetura de Confiança Zero. Concentrar a atenção nos seguintes padrões que se aplicam a você produzirá mais impacto:
Os Parâmetros de Comparação do Centro de Segurança da Internet (CIS) fornecem diretrizes valiosas para políticas de gerenciamento de dispositivos e gerenciamento de ponto de extremidade. Os Parâmetros de Comparação do CIS incluem guias de implementação para o Microsoft 365 e o Microsoft Azure. Organizações em todos os setores e indústrias usam os benchmarks CIS para ajudá-las a alcançar metas de segurança e conformidade. especialmente aqueles que operam em ambientes fortemente regulamentados.
O Instituto Nacional de Padrões e Tecnologia (NIST) fornece as *Diretrizes de Identidade Digital NIST SP 800-63-4*. Essas diretrizes fornecem requisitos técnicos para agências federais que implementam serviços de identidade digital e não se destinam a restringir o desenvolvimento ou o uso de padrões fora dessa finalidade. É importante observar que esses requisitos são feitos para aprimorar os protocolos existentes que fazem parte da estratégia de Confiança Zero. Tanto as organizações governamentais quanto do setor público, particularmente nos Estados Unidos, assinam o NIST, no entanto, as empresas listadas publicamente também podem usar os princípios orientadores dentro da estrutura. O NIST também fornece ajuda para implementar uma arquitetura de Confiança Zero nas publicações incluídas no NIST SP 1800-35.
O padrão ISO 27002:2022 recém-revisado é recomendado para governança geral de dados e segurança de informações. No entanto, os controles do Anexo A fornecem uma boa base para criar uma lista de verificação de controles de segurança, que posteriormente podem ser convertidos em objetivos viáveis.
A ISO 27001:2022 também fornece diretrizes abrangentes sobre como o gerenciamento de riscos pode ser implementado no contexto da segurança das informações. Isso pode ser particularmente benéfico com o número de métricas disponíveis para os usuários na maioria dos portais e painéis.
Padrões como esses podem ser priorizados para fornecer à sua organização uma linha de base de políticas e controles para atender aos requisitos comuns.
A Microsoft fornece o Gerenciador de Conformidade do Microsoft Purview para ajudá-lo a planejar e acompanhar o progresso para atender aos padrões que se aplicam à sua organização. O Gerenciador de Conformidade pode ajudá-lo durante todo o percurso de conformidade, incluindo desde fazer um inventário dos riscos de proteção de dados até gerenciar as complexidades de implementação de controles, mantendo-o atualizado quanto aos regulamentos e certificações e enviando relatórios para auditores.
Definindo sua estratégia
Do ponto de vista da conformidade, sua organização deve definir sua estratégia de acordo com sua metodologia grc intrínseca. Se a organização não assinar um padrão, política ou estrutura específico, um modelo de avaliação deverá ser obtido do Gerenciador de Conformidade. Cada assinatura ativa do Microsoft 365 recebe uma linha de base de proteção de dados que pode ser mapeada em relação às diretrizes de implantação de Confiança Zero. Essa linha de base fornece aos seus implementadores um ótimo ponto de partida para como a implementação prática de Zero Trust deve ser de uma perspectiva de conformidade. Esses controles documentados podem ser convertidos posteriormente em objetivos mensuráveis. Esses objetivos devem ser específicos, mensuráveis, alcançáveis, realistas e com limite de tempo (SMART).
O modelo de Linha de Base de Proteção de Dados no Gerenciador de Conformidade integra 36 ações para Confiança Zero, alinhadas entre as seguintes famílias de controle:
- Aplicação Confiança Zero
- Orientações de desenvolvimento da Aplicação Confiança Zero
- Ponto Final do Confiança Zero
- Confiança Zero Dados
- Identidade do Confiança Zero
- Infraestrutura de Confiança Zero
- Rede Confiança Zero
- Confiança Zero Visibilidade, automatização e orquestração
Eles se alinham fortemente com a arquitetura de referência de Confiança Zero, mostrada aqui.
Fase do plano
Muitas organizações podem adotar uma abordagem de quatro etapas para essas atividades técnicas, resumidas na tabela a seguir.
| Estágio 1 | Estágio 2 | Estágio 3 | Estágio 4 |
|---|---|---|---|
| Identifique os requisitos regulatórios que se aplicam à sua organização. Use o Gerenciador de Conformidade para identificar regulamentos que possam afetar sua empresa, avaliar a conformidade com os requisitos de alto nível impostos por essas regulamentações e planejar a correção de lacunas identificadas. Examine as diretrizes atuais para regulamentações que se aplicam à sua organização. |
Use o gerenciador de conteúdo no Microsoft Purview para identificar dados que estão sujeitos aos requisitos de regulamentação e avaliar seu risco e exposição. Defina classificadores personalizados para adaptar essa funcionalidade às suas necessidades comerciais. Avalie os requisitos de proteção de informações, como políticas de gerenciamento de registros e retenção de dados, e implemente políticas básicas de proteção de informações e governança de dados usando rótulos de retenção e confidencialidade. Implemente políticas DLP básicas para controlar o fluxo de informações regulamentadas. Implemente políticas de conformidade de comunicação caso seja exigido por regulamentos. |
Estenda as políticas de gerenciamento do ciclo de vida de dados com automação. Configure controles de particionamento e isolamento usando rótulos de confidencialidade, DLP ou barreiras de informações , se necessário, por regulamentos. Expanda as políticas de proteção de informações implementando rotulagem de contêiner, rotulagem automática e obrigatória e políticas DLP mais rigorosas. Em seguida, expanda essas políticas para dados locais, dispositivos (pontos de extremidade) e serviços de nuvem de terceiros usando outros recursos no Microsoft Purview. Reavalie a conformidade usando o Gerenciador de Conformidade e identifique e corrija as lacunas restantes. |
Use o Microsoft Sentinel para criar relatórios com base no log de auditoria unificado para avaliar e inventariar continuamente o status de conformidade de suas informações. Continue usando o Gerenciador de Conformidade continuamente para identificar e corrigir as lacunas restantes e atender aos requisitos de regulamentos novos ou atualizados. |
Se essa abordagem em etapas funcionar para sua organização, você poderá usar:
Este slide deck do PowerPoint para download destina-se a apresentar e acompanhar seu progresso por meio desses estágios e objetivos para líderes de negócios e outras partes interessadas. Este é o slide para este cenário de negócios.
Esta pasta de trabalho do Excel é usada para designar responsáveis e acompanhar o progresso desses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
Equipe de stakeholders
Sua equipe de stakeholders para este cenário de negócios inclui líderes em toda a sua organização que estão investidos em sua postura de segurança e provavelmente incluirão as seguintes funções:
| Líderes de programas e proprietários técnicos | Responsabilidade |
|---|---|
| Patrocinador | Estratégia, direção, escalonamento, abordagem, alinhamento de negócios e gerenciamento de coordenação. |
| Líder do projeto | Gerenciamento geral de envolvimento, recursos, linha do tempo e agenda, comunicações e outros. |
| Diretor de Segurança da Informação (CISO) | Proteção e governança de ativos e sistemas de dados, como determinação de risco e política e acompanhamento e relatórios. |
| Gerenciador de Conformidade de TI | Determinação dos controles necessários para atender aos requisitos de conformidade e proteção. |
| Líder de segurança e usabilidade do usuário final (EUC) | Representação de seus funcionários. |
| Funções de investigação e auditoria | Investigação e relatórios em cooperação com os líderes de conformidade e proteção. |
| Gerenciador de proteção de informações | Classificação de dados e identificação de dados confidenciais, controles e correção. |
| Líder de arquitetura | Requisitos técnicos, arquitetura, revisões, decisões e priorização. |
| Administradores do Microsoft 365 | Locatário e ambiente, preparação, configuração, teste. |
A apresentação de slides do PowerPoint deste conteúdo de adoção inclui o seguinte slide com uma visão do stakeholder que você pode personalizar para sua própria organização.
Planos técnicos e preparação de habilidades
A Microsoft fornece recursos para ajudá-lo a atender aos requisitos regulatórios e de conformidade. As seções a seguir realçam recursos para objetivos específicos nos quatro estágios definidos anteriormente.
Estágio 1
No Estágio 1, você identifica os regulamentos que se aplicam à sua organização e começa a usar o Gerenciador de Conformidade. Você também revisa os regulamentos que se aplicam à sua organização.
| Objetivos do Estágio 1 | Recursos |
|---|---|
| Identificar os requisitos de conformidade usando a pirâmide de governança. | Avaliações do Gerenciador de Conformidade |
| Utilize o Gerenciador de Conformidade para avaliar a conformidade e planejar a correção das lacunas identificadas. | Visite o portal do Microsoft Purview e examine todas as ações de melhoria gerenciadas pelo cliente relevantes para sua organização. |
| Examine as diretrizes atuais para regulamentações que se aplicam à sua organização. | Consulte a tabela a seguir. |
Esta tabela lista normas ou padrões comuns.
| Regulamentação ou padrão | Recursos |
|---|---|
| NIST (National Institute of Standards and Technology) dos EUA | Configurar a ID do Microsoft Entra para atender aos níveis de garantia do autenticador NIST |
| FedRAMP (Federal Risk and Authorization Management Program) | Configurar o Microsoft Entra ID para cumprir com o nível de alto impacto do FedRAMP |
| Certificação de modelo de maturidade de segurança cibernética (CMMC) | Configurar o Microsoft Entra ID para conformidade com a CMMC |
| Ordem Executiva para melhorar a segurança cibernética do país (EO 14028) | Atender aos requisitos de identidade do memorando 22-09 com a ID do Microsoft Entra |
| Lei americana HIPAA de 1996 (Health Insurance Portability and Accountability Act) | Configurando a ID do Microsoft Entra para conformidade com HIPAA |
| PCI SSC (Payment Card Industry Security Standards Council) | Diretrizes do PCI-DSS no Microsoft Entra |
| Regulamentos de serviços financeiros |
Principais considerações de conformidade e segurança para bancos e mercados de capitais dos EUA
|
| North America Electric Reliability Corporation (NERC) | Principais considerações de conformidade e segurança para o setor de energia |
Estágio 2
No Estágio 2, você começa a implementar controles para dados que ainda não estão em vigor. Mais diretrizes para planejar e implantar controles de proteção de informações estão no guia de adoção identificar e proteger dados comerciais confidenciais da Confiança Zero.
| Objetivos da Fase 2 | Recursos |
|---|---|
| Use o gerenciador de conteúdo para identificar dados regulamentados. |
Introdução ao gerenciador de conteúdo O Gerenciador de Conteúdo pode ajudá-lo a examinar a exposição atual de dados regulamentados e avaliar sua conformidade com os regulamentos que determinam onde eles devem ser armazenados e como devem ser protegidos. Criar tipos de informação confidencial personalizada |
| Implemente políticas básicas de governança de dados e proteção de informações usando rótulos de retenção e confidencialidade. |
Saiba mais sobre políticas de retenção e rótulos para reter ou excluir Saiba mais sobre rótulos de confidencialidade |
| Verifique suas políticas de DLP e criptografia. |
Prevenção contra perda de dados do Purview Criptografia com rotulagem de confidencialidade Criptografia para o Office 365 |
| Implementar políticas de comunicação (se aplicável). | Criar e gerenciar políticas de conformidade de comunicação |
Estágio 3
No Estágio 3, você começa a automatizar suas políticas de governança de dados para retenção e exclusão, incluindo o uso de escopos adaptáveis.
Esse estágio inclui a implementação de controles para segregação e isolamento. O NIST, por exemplo, prescreve projetos de hospedagem em um ambiente isolado se esses projetos se relacionam com tipos específicos de trabalho classificado para e com o governo dos Estados Unidos. Em alguns cenários, as regulamentações de serviços financeiros exigem ambientes de particionamento para impedir que funcionários de diferentes partes da empresa se comuniquem entre si.
| Objetivos do Estágio 3 | Recursos |
|---|---|
| Estenda as políticas de gerenciamento do ciclo de vida de dados com automação. | Gerenciamento do ciclo de vida de dados |
| Configure controles de particionamento e isolamento (se aplicável). |
Barreiras de informações Prevenção de perda de dados Acesso entre locatários |
| Expanda as políticas de proteção de informações para outras cargas de trabalho. |
Saiba mais sobre o analisador de proteção de informações Usar políticas de prevenção contra perda de dados para aplicativos de nuvem que não são da Microsoft Prevenção de perda de dados e Microsoft Teams Usando a Prevenção contra perda de dados de ponto de extremidade Usar rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint |
| Reavaliar a conformidade usando o Gerenciador de Conformidade. | Gerenciador de Conformidade |
Estágio 4
Os objetivos na Fase 4 são sobre a operacionalização desse cenário movendo-se para um movimento contínuo de avaliação da conformidade de seus ativos com seus regulamentos e padrões aplicáveis.
| Objetivos do Estágio 4 | Recursos |
|---|---|
| Avaliar e inventariar continuamente o status de conformidade dos recursos. | Este artigo identificou todas as ferramentas necessárias e, para esse objetivo, você forma um processo iterativo repetível que permite o monitoramento contínuo de recursos e ativos dentro do patrimônio digital. Pesquisar o log de auditoria no portal de conformidade |
| Use o Microsoft Sentinel para criar relatórios para medir a conformidade. | Use o Microsoft Sentinel para criar relatórios com base no Log de Auditoria Unificada para avaliar e medir a conformidade e demonstrar a eficácia dos controles. Análise de logs no Azure |
| Utilize o Gerenciador de Conformidade para identificar e corrigir novas lacunas. | Gerenciador de Conformidade |
Fase pronta
A maioria dos trabalhos de conformidade ocorre por meio da imposição de políticas. Você determina quais condições devem ser atendidas para alcançar a conformidade e, em seguida, criar uma política ou um conjunto de políticas para automatizar um conjunto de controles. A aplicação de políticas com Zero Trust cria verificações repetíveis para controles de conformidade específicos que estão sendo implementados. Ao criar controles sobre a tecnologia operacional com a qual a organização interage todos os dias, torna-se uma tarefa mais simples para alcançar a preparação da auditoria.
Durante a fase Pronto , você avalia, testa e pilota as políticas que você está direcionando para garantir que essas atividades alcancem os resultados pretendidos. Certifique-se de que eles não introduzam novos riscos. Para esse cenário de negócios de Confiança Zero, é importante trabalhar com seus stakeholders que estão implementando controles de acesso, proteção de dados e outras proteções de infraestrutura. Por exemplo, as recomendações para avaliar, testar e pilotar políticas para habilitar o trabalho remoto e híbrido são diferentes das recomendações para identificar e proteger dados confidenciais em seu patrimônio digital.
Controles de exemplo
Cada pilar de Confiança Zero pode ser mapeado em relação a controles específicos dentro de uma estrutura regulatória ou de padrões.
Exemplo 1
A Confiança Zero para Identidade é mapeada para o Gerenciamento de Controle de Acesso no Parâmetro de Referência do Centro de Segurança da Internet (CIS) e para o Provisionamento de Acesso de Usuário no Anexo A.9.2.2 da norma ISO/IEC 27001:2022.
Neste diagrama, o Gerenciamento de Controle de Acesso é definido no Anexo 9.2.2 do padrão de requisitos ISO 27001, Provisionamento de Acesso do Usuário. Os requisitos desta seção são atendidos exigindo autenticação multifator.
A execução de cada controle, como a imposição de políticas de Acesso Condicional, é exclusiva para cada organização. O perfil de risco da sua organização, juntamente com um inventário de ativos, deve criar uma área de superfície precisa e um escopo de implementação.
Exemplo 2
Uma das correlações mais óbvias entre a arquitetura de Confiança Zero e os padrões do setor inclui a classificação de informações. O Anexo 8.2.1 da ISO 27001 determina que:
- As informações devem ser classificadas em termos de requisitos legais, valor, criticidade e sensibilidade a qualquer divulgação ou modificação não autorizada, idealmente classificadas para refletir a atividade empresarial em vez de inibir ou complicar.
Neste diagrama, o serviço de classificação de dados do Microsoft Purview é usado para definir e aplicar rótulos de confidencialidade a emails, documentos e dados estruturados.
Exemplo 3
O Anexo 8.1.1 na ISO 27001:2022 (Inventário de ativos) exige que "todos os ativos associados a instalações de processamento de informações e informações precisem ser identificados e gerenciados durante o ciclo de vida e estejam sempre atualizados".
O cumprimento desse requisito de controle pode ser alcançado por meio da implementação do gerenciamento de dispositivos do Intune. Esse requisito fornece uma conta clara de inventário e relata o status de conformidade de cada dispositivo em relação às políticas definidas da empresa ou do setor.
Para esse requisito de controle, você usa o Microsoft Intune para gerenciar dispositivos, incluindo a configuração de políticas de conformidade para relatar a conformidade dos dispositivos com relação às políticas definidas. Você também pode usar políticas de Acesso Condicional para exigir a conformidade do dispositivo durante o processo de autenticação e autorização.
Exemplo 4
O exemplo mais abrangente de um pilar de Confiança Zero mapeado para os padrões do setor seria inteligência contra ameaças e resposta a incidentes. Toda a amplitude de produtos do Microsoft Defender e do Microsoft Sentinel se torna aplicável neste cenário para fornecer análise detalhada e execução de inteligência contra ameaças e resposta a incidentes em tempo real.
Neste diagrama, o Microsoft Sentinel, juntamente com as ferramentas do Microsoft Defender, fornecem inteligência contra ameaças.
Fase de adoção
Na fase de adoção, você implementa incrementalmente seus planos técnicos em sua propriedade digital. Você precisará categorizar os planos técnicos por área e trabalhar com as equipes correspondentes para realizar essa fase.
Para acesso de identidade e dispositivo, adote uma abordagem em etapas, começando com um pequeno número de usuários e dispositivos e, em seguida, expandindo gradualmente a implantação até cobrir todo o seu ambiente. Isso é descrito no cenário de adoção de trabalho remoto e híbrido seguro . Aqui está um exemplo.
A adoção para proteger os dados envolve o desdobramento do trabalho e a iteração conforme o processo avança para garantir que as políticas criadas sejam aprimoradas adequadamente para seu ambiente. Isso é descrito no cenário de adoção Identificar e proteger dados empresariais sensíveis. Aqui está um exemplo.
Governar e gerenciar
Atender aos requisitos regulatórios e de conformidade é um processo contínuo. À medida que você faz a transição para essa fase, mude para acompanhamento e monitoramento. A Microsoft fornece um punhado de ferramentas para ajudar.
Você pode usar o gerenciador de conteúdo para monitorar o status da conformidade organizacional. Para a classificação de dados, o explorador de conteúdo oferece uma visão do panorama e da distribuição de informações confidenciais em sua organização. De classificadores treináveis a diferentes tipos de dados confidenciais, por meio de escopos adaptáveis ou rótulos de confidencialidade criados manualmente, os administradores podem ver se o esquema de confidencialidade prescrito está sendo aplicado corretamente em toda a organização. Essa também é uma oportunidade para identificar áreas específicas de risco em que informações confidenciais são compartilhadas consistentemente no Exchange, no SharePoint e no OneDrive. Aqui está um exemplo.
Usando a funcionalidade avançada de relatórios no portal do Microsoft Purview, você pode criar e quantificar uma visão macro de conformidade. Aqui está um exemplo.
O mesmo pensamento e processo podem ser aplicados ao Azure. Use o Defender para Compliance Cloud-Regulatory para determinar uma pontuação de conformidade semelhante à pontuação fornecida no Gerenciador de Conformidade do Purview. A pontuação é alinhada a vários padrões e estruturas regulatórias em várias verticais do setor. Cabe à sua organização entender quais desses padrões e estruturas regulamentares se aplicam à pontuação. O status fornecido por este painel exibe uma avaliação constante em tempo real de avaliações aprovadas versus avaliações reprovadas em relação a cada padrão. Aqui está um exemplo.
Os painéis do Purview fornecem uma avaliação ampla que pode ajudar a informar seus líderes empresariais e ser usado em relatórios departamentais, como uma revisão trimestral. Em uma observação mais operacional, você pode aproveitar o Microsoft Sentinel criando um espaço de trabalho do Log Analytics para dados de registros de auditoria unificados. Esse workspace pode ser conectado aos dados do Microsoft 365 e fornecer insights sobre a atividade do usuário. Aqui está um exemplo.
Esses dados são personalizáveis e podem ser usados em conjunto com os outros painéis para contextualizar o requisito regulatório especificamente alinhado à estratégia, ao perfil de risco, às metas e aos objetivos da sua organização.
Próximas etapas
- Visão geral da estrutura de adoção de Confiança Zero
- Modernizar rapidamente sua postura de segurança
- Trabalho remoto e híbrido seguro
- Identificar e proteger dados comerciais confidenciais
- Impedir ou reduzir danos comerciais de uma violação
Recursos de monitoramento de progresso
Para qualquer um dos cenários de negócios de Confiança Zero, você pode usar os seguintes recursos de acompanhamento de progresso.
| Recurso de rastreamento de progresso | Isso ajuda você a... | Projetado para... |
|---|---|---|
Para download: Grade de Fases do Plano de Cenário de Adoção em arquivo Visio ou PDF 
|
Compreenda facilmente os aprimoramentos de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase de planejamento. | Lideranças de projetos de cenários de negócios, líderes de negócios e outras partes interessadas. |
Rastreador de Adoção de Confiança Zero apresentação em PowerPoint para download 
|
Acompanhe seu progresso pelos estágios e objetivos da fase de planejamento. | Lideranças de projetos de cenários de negócios, líderes de negócios e outras partes interessadas. |
Objetivos e tarefas do cenário de negócios na pasta de trabalho do Excel para download 
|
Atribua a responsabilidade e acompanhe seu progresso por meio dos estágios, objetivos e tarefas da fase de Planejamento. | Líderes de projeto de cenário de negócios, líderes de TI e implementadores de TI. |
Para obter recursos adicionais, consulte a avaliação de Confiança Zero e os recursos de acompanhamento de progresso.