Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Como parte das diretrizes de adoção da Confiança Zero, este artigo descreve o cenário de negócios de proteção de seus ativos de dados mais críticos. Esse cenário se concentra em como identificar e proteger dados comerciais confidenciais.
A transformação digital levou as organizações a lidar com volumes crescentes de dados. No entanto, colaboradores externos, como parceiros, fornecedores e clientes, acessam grande parte desses dados compartilhados fora da rede corporativa. Essa mudança criou um cenário de dados complexo, especialmente quando você considera a proliferação de forças de trabalho híbridas e migrações de nuvem, o crescimento das ameaças cibernéticas, a evolução da segurança e a mudança dos requisitos regulatórios em torno de como os dados são regidos e protegidos.
Com modelos de trabalho híbridos, ativos corporativos e dados estão em movimento. Sua organização precisa controlar onde quer que os dados sejam armazenados e transferidos em dispositivos, dentro de aplicativos e com parceiros. Para a segurança moderna, no entanto, você não pode mais contar com controles tradicionais de proteção de rede.
| Proteção de dados tradicional com controles de rede | Proteção de dados moderna com Confiança Zero |
|---|---|
| Em redes tradicionais, o controle de perímetro de rede rege o acesso a dados críticos, não a confidencialidade de dados. Normalmente, você aplica rótulos em dados confidenciais manualmente, o que pode resultar em classificação de dados inconsistentes. | Um modelo de Confiança Zero aplica autenticação forte a solicitações de acesso a dados, usando políticas para verificar cada identidade e garantindo que as identidades tenham acesso a aplicativos e dados. Um modelo de Confiança Zero envolve a identificação de dados confidenciais e a aplicação de classificação e proteção, incluindo a DLP (prevenção contra perda de dados). A Confiança Zero inclui defesas que protegem seus dados mesmo depois de deixarem seu ambiente controlado. Ele também inclui proteção adaptável para reduzir o risco interno. Além dessas proteções, a Confiança Zero inclui monitoramento contínuo e proteção contra ameaças para impedir e limitar o escopo de uma violação de dados. |
O diagrama a seguir ilustra a mudança da proteção tradicional com controles de rede à esquerda (de locais conhecidos limitados) para proteção moderna com Confiança Zero à direita (para locais desconhecidos) em que a proteção é aplicada independentemente de onde os usuários e dispositivos estão localizados.
As diretrizes neste artigo explicam como começar a usar e progredir sua estratégia para identificar e proteger dados confidenciais. Se sua organização estiver sujeita a regulamentos que protegem os dados, use o artigo Atender aos requisitos regulatórios e de conformidade nesta série para saber como aplicar o que você aprende neste artigo para proteger os dados regulamentados.
Como os líderes empresariais pensam em proteger dados confidenciais
Antes de iniciar qualquer trabalho técnico, é importante entender as diferentes motivações para investir na proteção de dados empresariais, pois elas ajudam a informar a estratégia, os objetivos e as medidas para o sucesso.
A tabela a seguir fornece motivos pelos quais os líderes empresariais de uma organização devem investir na proteção de dados baseada em Confiança Zero.
| Função | Por que proteger dados confidenciais é importante |
|---|---|
| Diretor executivo (CEO) | A propriedade intelectual é a espinha dorsal dos modelos de negócios de muitas organizações. Impedir que ele vaze, permitindo a colaboração perfeita com as partes autorizadas, é essencial para a empresa. Em organizações que lidam com informações de identificação pessoal (PII) dos clientes, o risco de vazamento pode resultar não apenas em penalidades financeiras, mas também prejudicar a reputação da empresa. Por fim, conversas comerciais confidenciais (como fusões e aquisições, reestruturação de negócios, estratégia e questões legais) podem prejudicar seriamente uma organização se vazadas. |
| Diretor de Marketing (CMO) | O planejamento de produtos, mensagens, identidade visual e anúncios de produtos futuros devem ser lançados no momento certo e da maneira certa para maximizar o impacto. O vazamento inoportuno pode reduzir os retornos de investimento e alertar os concorrentes sobre os planos futuros. |
| Diretor de Informações (CIO) | Embora as abordagens tradicionais para proteger as informações dependam de limitar o acesso a elas, proteger dados confidenciais adequadamente usando tecnologias modernas permite uma colaboração mais flexível com partes externas, conforme necessário, sem aumentar o risco. Seus departamentos de TI podem cumprir seu mandato para garantir a produtividade, minimizando o risco. |
| Diretor de Segurança da Informação (CISO) | Como a função principal dessa função, proteger dados comerciais confidenciais é parte integrante da segurança das informações. Esse resultado afeta diretamente a maior estratégia de segurança cibernética da organização. As ferramentas e a tecnologia de segurança avançada fornecem a capacidade de monitorar dados e evitar vazamentos e perdas. |
| Diretor de tecnologia (CTO) | A propriedade intelectual pode diferenciar um negócio bem-sucedido de um com falha. Proteger esses dados contra compartilhamento excessivo, acesso não autorizado e roubo é fundamental para garantir o crescimento futuro da organização. |
| Diretor de Operações (COO) | Dados de operações, procedimentos e planos de produção são uma vantagem estratégica fundamental para uma organização. Esses planos também podem revelar vulnerabilidades estratégicas que podem ser exploradas por concorrentes. Proteger esses dados contra roubo, compartilhamento excessivo e uso indevido é fundamental para o sucesso contínuo da empresa. |
| Diretor Financeiro (CFO) | As empresas de comércio público têm o dever de proteger dados financeiros específicos antes de serem tornados públicos. Outros dados financeiros podem revelar planos e pontos fortes estratégicos ou pontos fracos. Todos esses dados devem ser protegidos para garantir a conformidade com as regulamentações existentes e manter vantagens estratégicas. |
| Diretor de Conformidade (CCO) | Os regulamentos em todo o mundo exigem a proteção da PII de clientes ou funcionários e outros dados confidenciais. O CCO é responsável por garantir que a organização cumpra essas regulamentações. Uma estratégia abrangente de proteção de informações é fundamental para atingir essa meta. |
| Diretor de Privacidade (CPO) | Um CPO normalmente é responsável por garantir a proteção de dados pessoais. Em organizações que lidam com grandes quantidades de dados pessoais do cliente e organizações que operam em regiões com regulamentações rigorosas de privacidade, a falha na proteção de dados confidenciais pode resultar em multas acentuadas. Essas organizações também correm o risco de perder a confiança do cliente como consequência. Os CPOs também devem impedir que dados pessoais sejam usados indevidamente de maneiras que violem contratos ou leis de clientes, o que pode incluir o compartilhamento inadequado dos dados dentro da organização e com parceiros. |
O ciclo de adoção para proteger dados comerciais críticos
Este artigo aborda este cenário de negócios usando as mesmas fases de ciclo de vida que o Cloud Adoption Framework para Azure — Definir estratégia, Planejar, Preparar, Adotar, e Governar e gerenciar — mas adaptado para Zero Trust.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Plano | Pronto | Adotar | Governar e gerenciar |
|---|---|---|---|---|
| Resultados Alinhamento organizacional Metas estratégicas |
Equipe de stakeholders Planos técnicos Preparação de habilidades |
Avaliar Teste Piloto |
Implementar incrementalmente ao longo de seu ambiente digital | Acompanhar e medir Monitorar e detectar Iterar para maturidade |
Leia mais sobre o ciclo de adoção de Confiança Zero na visão geral da estrutura de adoção de Confiança Zero.
Definir fase de estratégia
A fase definir estratégia é fundamental para definir e formalizar nossos esforços – formaliza o "Por quê?" deste cenário. Nesta fase, você entende o cenário por meio de perspectivas comerciais, de TI, operacionais e estratégicas. Você define os resultados nos quais medir o êxito no cenário, entendendo que a segurança é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados relevantes para muitas organizações. Use essas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Motivações de proteção de dados
As motivações para identificar e proteger dados comerciais confidenciais são simples, mas diferentes partes da sua organização têm incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações.
| Área | Motivações |
|---|---|
| Necessidades comerciais | Para proteger dados comerciais confidenciais, especialmente quando compartilhados com parceiros. |
| Necessidades de TI | Um esquema de classificação de dados padronizado que pode ser aplicado consistentemente em toda a propriedade digital. |
| Necessidades operacionais | Implemente a proteção de dados de maneira consistente e padrão, usando a automação sempre que possível. |
| Necessidades estratégicas | Reduza os danos que um funcionário interno pode causar (intencionalmente ou não) ou por um agente mal-intencionado que obtém acesso ao ambiente. |
Observe que atender aos requisitos regulatórios pode ser a principal motivação para algumas organizações. Se isso for verdadeiro para você, vá em frente e adicione isso à sua estratégia de organização e use esse cenário de negócios junto com o artigo Atender aos requisitos regulatórios e de conformidade nesta série.
Resultados da proteção de dados
Aplicar a meta geral de Confiança Zero a "nunca confiar, sempre verificar" aos seus dados adiciona uma camada significativa de proteção ao seu ambiente. É importante ser claro sobre os resultados que você espera alcançar para que você possa atingir o equilíbrio certo de proteção e usabilidade para todas as equipes envolvidas, incluindo seus usuários. A tabela a seguir fornece objetivos e resultados sugeridos.
| Objetivo | Resultado |
|---|---|
| Produtividade | Os usuários podem colaborar facilmente na criação de dados comerciais ou executar suas funções de trabalho usando dados corporativos. |
| Acesso seguro | O acesso a dados e aplicativos é protegido no nível apropriado. Dados altamente confidenciais exigem proteções mais rigorosas, mas essas proteções não devem sobrecarregar os usuários que devem contribuir ou usar esses dados. Dados comerciais confidenciais são limitados àqueles que precisam usá-los e você colocou controles em prática para limitar ou desencorajar os usuários de compartilhar ou replicar esses dados fora do grupo de uso pretendido. |
| Dar suporte aos usuários finais | Os controles para proteger dados foram integrados à arquitetura geral de Confiança Zero. Esses controles incluem logon único, MFA (autenticação multifator) e Acesso Condicional do Microsoft Entra, para que os usuários não sejam continuamente desafiados com solicitações de autenticação e autorização. Os usuários recebem treinamento sobre como classificar e compartilhar dados com segurança. Os usuários estão habilitados a assumir o controle de seus dados importantes, permitindo que eles revoguem o acesso em caso de necessidade ou acompanhem o uso das informações depois que elas forem compartilhadas. As políticas de proteção de dados são automatizadas sempre que possível para diminuir a carga sobre os usuários. |
| Aumentar a segurança | A adição da proteção de dados em toda a propriedade digital protege esses ativos comerciais críticos e ajuda a reduzir os danos potenciais de uma violação de dados. As proteções de dados incluem proteções para proteger contra violações de dados intencionais, não intencionais ou negligentes por funcionários e parceiros atuais ou antigos. |
| Capacitar a TI | Sua equipe de TI é capacitada com uma compreensão clara do que se qualifica como dados comerciais confidenciais. Eles têm um esquema bem fundamentado com o qual se alinhar e as ferramentas tecnológicas e capacidades para implementar os planos e monitorar o andamento e o sucesso. |
Fase do plano
Os planos de adoção convertem os princípios da estratégia de Confiança Zero em um plano acionável. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los com a estratégia de negócios da sua organização.
As motivações e os resultados que você define, juntamente com seus líderes de negócios e equipes, apoiam o "Por quê?" para sua organização e torne-se a Estrela do Norte para sua estratégia. Em seguida, vem o planejamento técnico para alcançar os objetivos.
A adoção técnica para identificar e proteger dados comerciais confidenciais envolve:
- Descobrindo e identificando dados confidenciais em seu ambiente digital.
- Curadoria de um esquema de classificação e proteção, incluindo DLP.
- Distribuindo o esquema em sua propriedade digital, começando com dados no Microsoft 365 e estendendo a proteção para todos os aplicativos SaaS, sua infraestrutura de nuvem e dados em repositórios locais. Aplicativos SaaS são aplicativos que estão fora de sua assinatura do Microsoft 365, mas estão integrados ao seu locatário do Microsoft Entra.
Proteger seus dados comerciais confidenciais também envolve algumas atividades relacionadas, incluindo:
- Criptografando a comunicação de rede.
- Gerenciando o acesso externo ao Teams e projetos em que dados confidenciais são compartilhados.
- Configurar e usar equipes dedicadas e isoladas no Microsoft Teams para projetos que incluem dados comerciais altamente confidenciais, o que deve ser raro. A maioria das organizações não exige esse nível de segurança e isolamento de dados.
Muitas organizações podem adotar uma abordagem de quatro etapas para esses objetivos de implantação, resumidas na tabela a seguir.
| Estágio 1 | Estágio 2 | Estágio 3 | Estágio 4 |
|---|---|---|---|
| Descobrir e identificar dados comerciais confidenciais Descobrir aplicativos SaaS não sancionados Criptografar comunicação de rede |
Desenvolver e testar um esquema de classificação Aplicar rótulos a dados no Microsoft 365 Introduzir políticas DLP básicas Configurar o Microsoft Teams seguro para compartilhar dados internamente e externamente com parceiros de negócios |
Adicionar proteção a rótulos específicos (criptografia e outras configurações de proteção) Introduzir rotulagem automática e recomendada em aplicativos e serviços do Office Estender políticas DLP em todos os serviços do Microsoft 365 Implementar as principais políticas de gerenciamento de risco interno |
Estender rótulos e proteção aos dados em aplicativos SaaS, incluindo DLP Estender a classificação automatizada a todos os serviços Estender rótulos e proteção a dados armazenados em repositórios locais Proteger dados da organização em sua infraestrutura de nuvem |
Se essa abordagem em etapas funcionar para sua organização, você poderá usar:
Este slide deck do PowerPoint para download destina-se a apresentar e acompanhar seu progresso por meio desses estágios e objetivos para líderes de negócios e outras partes interessadas. Este é o slide para este cenário de negócios.
Esta pasta de trabalho do Excel é usada para designar responsáveis e acompanhar o progresso desses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
Entender sua organização
Essa abordagem em etapas recomendada para implementação técnica pode ajudar a dar contexto ao exercício de compreensão da sua organização. As necessidades de cada organização para proteger dados comerciais confidenciais e a composição e o volume de dados são diferentes.
Uma etapa fundamental no ciclo de vida de adoção da Confiança Zero para cada cenário de negócios inclui fazer inventário. Para esse cenário de negócios, você faz o inventário dos dados da sua organização.
Veja as ações abaixo:
Inventariar seus dados.
Primeiro, faça um balanço de onde todos os seus dados residem, o que pode ser tão simples quanto listar os aplicativos e repositórios com seus dados. Depois que tecnologias como rotulagem de confidencialidade tiverem sido implantadas, você poderá descobrir outros locais onde os dados confidenciais estão sendo armazenados. Essas localizações às vezes são conhecidas como TI escura ou cinza.
Também é útil estimar quantos dados você planeja inventariar (o volume). Durante o processo técnico recomendado, você usa o conjunto de ferramentas para descobrir e identificar dados comerciais. Você aprenderá quais tipos de dados você tem e onde esses dados residem entre serviços e aplicativos de nuvem, permitindo correlacionar a confidencialidade dos dados com o nível de exposição dos locais nos quais eles estão presentes.
Por exemplo, o Microsoft Defender para Aplicativos de Nuvem ajuda a identificar aplicativos SaaS que talvez você não tenha conhecimento. O trabalho de descobrir onde seus dados confidenciais residem começa na Fase 1 da implementação técnica e em cascata em todos os quatro estágios.
Documente as metas e o plano de adoção incremental com base nas prioridades.
Os quatro estágios recomendados representam um plano de adoção incremental. Ajuste esse plano com base nas prioridades da sua organização e na composição do seu patrimônio digital. Lembre-se de levar em conta quaisquer marcos ou obrigações da linha do tempo para concluir este trabalho.
Inventariar quaisquer conjuntos de dados ou projetos dedicados que exijam proteção compartimentalizada (por exemplo, projetos especiais ou em tendas).
Nem todas as organizações exigem proteção compartimentalizada.
Planejamento organizacional e alinhamento
O trabalho técnico de proteção de dados comerciais confidenciais cruza várias áreas e funções sobrepostas:
- Dados
- Aplicativos
- Pontos de extremidade
- Rede
- Identidades
Esta tabela resume as funções recomendadas ao criar um programa de patrocínio e uma hierarquia de gerenciamento de projetos para determinar e impulsionar os resultados.
| Líderes de programas e proprietários técnicos | Responsabilidade |
|---|---|
| CISO, CIO ou Diretor de Segurança de Dados | Patrocínio executivo |
| Líder de programa da Segurança de Dados | Impulsionar resultados e colaboração entre equipes |
| Arquiteto de segurança | Aconselhar sobre configuração e padrões, especialmente em relação à criptografia, gerenciamento de chaves e outras tecnologias fundamentais |
| Responsáveis pela conformidade | Mapear requisitos de conformidade e riscos para controles específicos e tecnologias disponíveis |
| Administradores do Microsoft 365 | Implementar alterações na instância do Microsoft 365 para o OneDrive e pastas protegidas do sistema |
| Proprietários de aplicativo | Identificar ativos comerciais críticos e garantir a compatibilidade de aplicativos com dados rotulados, protegidos e criptografados |
| Administrador de Segurança de Dados | Implementar alterações de configuração |
| Administração de TI | Atualizar documentos de política e padrões |
| Governança de Segurança e/ou Administrador de TI | Monitorar para garantir a conformidade |
| Equipe de Formação do Usuário | Verifique se as diretrizes para os usuários refletem as atualizações de política e forneçam insights sobre a aceitação do usuário da taxonomia de rotulagem |
O deck de recursos do PowerPoint para a adoção desse conteúdo inclui o slide a seguir com uma visão de stakeholders que você pode desenvolver para sua própria organização.
Planejamento técnico e preparação de habilidades
Antes de embarcar no trabalho técnico, a Microsoft recomenda conhecer os recursos, como eles funcionam juntos e as práticas recomendadas para abordar esse trabalho. A tabela a seguir inclui vários recursos para ajudar suas equipes a obter habilidades.
| Recurso | Descrição |
|---|---|
| Guia de Aceleração de Implantação- Proteção de Informações e Prevenção contra Perda de Dados | Conheça as melhores práticas das equipes do Microsoft Customer Engagement. Essa diretriz leva as organizações à maturidade por meio de um modelo de engatinhar, caminhar, correr, que se alinha aos estágios recomendados nesta diretriz de adoção. |
Lista de verificação do RaMP: Proteção de dados 
|
Outro recurso para listar e priorizar o trabalho recomendado, incluindo as partes interessadas. |
| Introdução à Prevenção contra Perda de Dados do Microsoft Purview (iniciante) | Neste recurso, você aprenderá sobre o DLP na Proteção de Informações do Microsoft Purview. |
Conheça o ícone de módulo para a introdução à proteção de informações e ao gerenciamento do ciclo de vida de dados no módulo Microsoft Purview Microsoft Learn. (Intermediário) |
Saiba como as soluções de gerenciamento de ciclo de vida de dados e proteção de informações do Microsoft 365 ajudam você a proteger e controlar seus dados, durante todo o ciclo de vida , onde quer que eles morem e viajem. |
Ícone de certificações para a certificação Microsoft Certified: Information Protection Administrator Associate |
Roteiros de aprendizagem recomendados para se tornar um Associado Certificado Administrador de Proteção de Informações. |
Estágio 1
Os objetivos de implantação do Estágio 1 incluem o processo de fazer inventário de seus dados. Isso inclui a identificação de aplicativos SaaS não sancionados que sua organização usa para armazenar, processar e compartilhar dados. Você pode trazer esses aplicativos não sancionados para o processo de gerenciamento de aplicativos e aplicar proteções ou impedir que seus dados comerciais sejam usados com esses aplicativos.
Descobrir e identificar dados comerciais confidenciais
A partir do Microsoft 365, algumas das principais ferramentas usadas para identificar informações confidenciais que precisam ser protegidas são SITs (tipos de informações confidenciais) e outros classificadores, incluindo classificadores treináveis e impressões digitais. Esses identificadores ajudam a encontrar tipos de dados confidenciais comuns, como números de cartão de crédito ou números de identificação governamental, além de identificar documentos confidenciais e emails usando machine learning e outros métodos. Você também pode criar SITs personalizados para identificar dados exclusivos do seu ambiente, incluindo o uso da correspondência exata de dados para diferenciar dados relativos a pessoas específicas, por exemplo, PII do cliente, que precisam de proteção especial.
Quando os dados são adicionados ao seu ambiente do Microsoft 365 ou modificados, eles são analisados automaticamente para conteúdo confidencial usando os SITs atualmente definidos em seu locatário.
Você pode usar o gerenciador de conteúdo no portal do Microsoft Purview para ver quaisquer ocorrências de dados confidenciais detectados em todo o ambiente. Os resultados informam se você precisa personalizar ou ajustar os SITs para seu ambiente para obter maior precisão. Os resultados também fornecem uma primeira imagem do seu estoque de dados e do status de proteção de informações. Por exemplo, se você estiver recebendo muitos resultados falsos positivos para um SIT ou não encontrando dados conhecidos, poderá criar versões personalizadas dos SITs padrão e modificá-las para que funcionem melhor no seu ambiente. Você também pode refiná-los usando a correspondência exata de dados.
Além disso, você pode usar classificadores treináveis internos para identificar documentos que pertencem a determinadas categorias, como contratos ou documentos de frete. Se você tiver classes específicas de documentos que sabe que precisa identificar e potencialmente proteger, poderá usar exemplos no portal do Microsoft Purview para treinar seus próprios classificadores. Esses exemplos podem ser usados para descobrir a presença de outros documentos com padrões semelhantes de conteúdo.
Além do gerenciador de conteúdo, as organizações têm acesso ao recurso de pesquisa de conteúdo para produzir pesquisas personalizadas de dados no ambiente, incluindo o uso de critérios de pesquisa avançados e filtros personalizados.
A tabela a seguir lista os recursos para descobrir dados comerciais confidenciais.
| Recurso | Descrição |
|---|---|
| Implantar uma solução de proteção de informações com o Microsoft 365 Purview | Apresenta uma estrutura, um processo e recursos que você pode usar para alcançar seus objetivos de negócios específicos para proteção de informações. |
| Tipos de informações confidenciais | Comece aqui para se familiarizar com tipos de informações confidenciais. Essa biblioteca inclui muitos artigos para experimentar e otimizar SITs. |
| Explorador de conteúdo | Verifique seu ambiente do Microsoft 365 para a ocorrência de SITs e visualize os resultados na ferramenta explorador de conteúdo. |
| Classificadores treináveis | Classificadores treináveis permitem que você forneça amostras do tipo de conteúdo que deseja descobrir (semear) e, em seguida, deixe o mecanismo de aprendizado de máquina aprender a descobrir mais desses dados. Você participa do treinamento do classificador validando os resultados até que a precisão seja melhorada. |
| Correspondência exata de dados | A correspondência exata de dados permite que você encontre dados confidenciais que correspondam aos registros existentes, por exemplo, a PII de seus clientes, conforme registrado em seus aplicativos de linha de negócios, o que permite que você direcione precisamente esses dados com políticas de proteção de informações, praticamente eliminando falsos positivos. |
| Pesquisa de conteúdo | Use a pesquisa de conteúdo para pesquisas avançadas, incluindo filtros personalizados. Você pode usar palavras-chave e operadores de pesquisa boolianos. Você também pode criar consultas de pesquisa usando KQL (Linguagem de Consulta de Palavra-Chave). |
| Lista de verificação do RaMP: Proteção de dados: conheça seus dados | Um checklist das etapas de implementação com responsáveis pelas etapas e links para a documentação. |
Descobrir aplicativos SaaS não sancionados
Sua organização provavelmente assina muitos aplicativos SaaS, como Salesforce ou aplicativos específicos do seu setor. Os aplicativos SaaS que você conhece e gerencia são considerados sancionados. Em estágios posteriores, você estende o esquema de proteção de dados e as políticas de DLP criadas com o Microsoft 365 para proteger dados nesses aplicativos SaaS sancionados.
No entanto, nesta fase, é importante descobrir aplicativos SaaS não sancionados que sua organização está usando. Isso permite que você monitore o tráfego de e para esses aplicativos para determinar se os dados comerciais da sua organização estão sendo compartilhados com esses aplicativos. Nesse caso, você pode colocar esses aplicativos no gerenciamento e aplicar proteção a esses dados, começando com a habilitação do logon único com a ID do Microsoft Entra.
A ferramenta para descobrir aplicativos SaaS que sua organização usa é o Microsoft Defender para Aplicativos de Nuvem.
| Recurso | Descrição |
|---|---|
| Integrar aplicativos SaaS para Zero Trust com Microsoft 365 | Este guia de solução explica o processo de proteção de aplicativos SaaS com princípios de Confiança Zero. A primeira etapa dessa solução inclui adicionar seus aplicativos SaaS à ID do Microsoft Entra e aos escopos das políticas. Isso deve ser uma prioridade. |
| Avaliar o Microsoft Defender para Aplicativos de Nuvem | Este guia ajuda você a colocar o Microsoft Defender para Aplicativos de Nuvem funcionando o mais rápido possível. Você pode descobrir aplicativos SaaS não sancionados já nas fases de avaliação e piloto. |
Criptografar comunicação de rede
Esse objetivo é mais uma verificação para ter certeza de que o tráfego de rede está criptografado. Entre em contato com sua equipe de rede para garantir que essas recomendações sejam atendidas.
| Recurso | Descrição |
|---|---|
| Redes seguras com Zero Trust-Objective 3: o tráfego interno de usuário para aplicativo é criptografado | Verifique se o tráfego interno do usuário para o aplicativo está criptografado:
|
| Redes seguras com Zero Trust-Objective 6: todo o tráfego é criptografado | Criptografar o tráfego de back-end do aplicativo entre redes virtuais. Criptografar o tráfego entre o local e a nuvem. |
| Subindo em rede (para a nuvem) - O ponto de vista de um arquiteto | Para arquitetos de rede, este artigo ajuda a colocar conceitos de rede recomendados em perspectiva. Ed Fisher, Arquiteto de Segurança e Conformidade da Microsoft, descreve como otimizar sua rede para conectividade de nuvem, evitando as armadilhas mais comuns. |
Estágio 2
Depois de fazer inventário e descobrir onde residem seus dados confidenciais, vá para o Estágio 2 no qual você desenvolve um esquema de classificação e comece a testar isso com os dados da sua organização. Esse estágio também inclui a identificação de onde os dados ou projetos exigem maior proteção.
Ao desenvolver um esquema de classificação, é tentador criar muitas categorias e níveis. No entanto, as organizações que são mais bem-sucedidas limitam o número de camadas de classificação a um número pequeno, como 3 a 5. Menos é melhor.
Antes de traduzir o esquema de classificação da sua organização para rótulos e adicionar proteção aos rótulos, é útil pensar no quadro geral. É melhor ser o mais uniforme possível ao aplicar qualquer tipo de proteção em uma organização e, especialmente, em uma grande propriedade digital. Isso também se aplica aos dados.
Portanto, por exemplo, muitas organizações são bem atendidas por um modelo de proteção de três camadas entre dados, dispositivos e identidades. Nesse modelo, a maioria dos dados pode ser protegida em um nível de linha de base. Uma quantidade menor de dados pode exigir maior proteção. Algumas organizações têm uma quantidade muito pequena de dados que exige proteção em níveis muito mais altos. Exemplos incluem dados de segredo comercial ou dados altamente regulamentados devido à natureza extremamente sensível dos dados ou projetos.
Se três camadas de proteção funcionarem para sua organização, isso ajudará a simplificar a forma como você converte isso em rótulos e na proteção que você aplica aos rótulos.
Para este estágio, desenvolva seus rótulos de confidencialidade e comece a usá-los entre os dados no Microsoft 365. Não se preocupe em adicionar proteção aos rótulos ainda, o que é preferencialmente feito em um estágio posterior, uma vez que os usuários se familiarizaram com os rótulos e os têm aplicado sem preocupações com suas restrições há algum tempo. A adição de proteção aos rótulos está incluída no próximo estágio. No entanto, é recomendável também começar a usar políticas DLP básicas. Por fim, neste estágio, você aplica proteção específica a projetos ou conjuntos de dados que exigem proteção altamente confidencial.
Desenvolver e testar um esquema de classificação
| Recurso | Descrição |
|---|---|
| Rótulos de confidencialidade | Saiba mais e comece a usar rótulos de confidencialidade. A consideração mais crítica nesta fase é garantir que os rótulos reflitam as necessidades da empresa e do idioma usado pelos usuários. Se os nomes dos rótulos não ressoam intuitivamente com os usuários ou seus significados não são mapeados consistentemente para o uso pretendido, a adoção da rotulagem pode acabar sendo dificultada e a precisão do aplicativo de rótulo provavelmente sofrerá. |
Aplicar rótulos a dados no Microsoft 365
| Recurso | Descrição |
|---|---|
| Habilitar rótulos de confidencialidade para arquivos do Office no Microsoft Office SharePoint Online e no OneDrive | Habilite a rotulagem interna para arquivos do Office com suporte no SharePoint e no OneDrive para que os usuários possam aplicar seus rótulos de confidencialidade no Office para a Web. |
| Gerenciar rótulos de confidencialidade em aplicativos do Office | Em seguida, comece a introduzir rótulos aos usuários onde eles podem vê-los e aplicá-los. Quando você publica rótulos de confidencialidade no portal do Microsoft Purview, eles começam a aparecer em aplicativos do Office para que os usuários classifiquem e protejam os dados conforme eles são criados ou editados. |
| Aplicar rótulos aos grupos do Microsoft Teams e do Microsoft 365 | Quando estiver pronto, inclua os grupos do Microsoft Teams e do Microsoft 365 no escopo da implantação de rotulagem. |
Introduzir políticas DLP básicas
| Recurso | Descrição |
|---|---|
| Evitar perda de dados | Introdução às políticas DLP. É recomendável começar com políticas DLP "suaves", que fornecem avisos, mas não bloqueiam ações ou, no máximo, bloqueiam ações, permitindo que os usuários substituam a política. Isso permite que você avalie o impacto dessas políticas sem prejudicar a produtividade. Você pode ajustar as políticas para se tornarem mais rigorosas à medida que você ganha confiança em sua precisão e compatibilidade com as necessidades de negócios. |
Configurar equipes seguras para compartilhar dados internamente e externamente com parceiros de negócios
Se você identificou projetos ou dados que exigem proteção altamente confidencial, esses recursos descrevem como configurar isso no Microsoft Teams. Se os dados forem armazenados no SharePoint sem uma equipe associada, use as instruções nesses recursos para as configurações do SharePoint.
| Recurso | Descrição |
|---|---|
| Configurar equipes com proteção para dados altamente confidenciais | Fornece recomendações prescritivas para proteger projetos com dados altamente confidenciais, incluindo proteger e gerenciar o acesso de convidados (seus parceiros que podem estar colaborando com você nesses projetos). |
Estágio 3
Nesta fase, você continua a distribuir o esquema de classificação de dados refinado. Você também aplica as proteções que você planejou.
Depois de adicionar proteção a um rótulo (como criptografia e gerenciamento de direitos):
- Todos os documentos que recentemente recebem o rótulo incluem a proteção.
- Qualquer documento armazenado no SharePoint Online ou no OneDrive que recebeu o rótulo antes de a proteção ser adicionada tem a proteção aplicada quando o documento é aberto ou baixado.
Os arquivos em repouso no serviço ou que residem no computador de um usuário não recebem a proteção que foi adicionada ao rótulo DEPOIS que esses arquivos receberam o rótulo. Em outras palavras, se o arquivo tiver sido rotulado anteriormente e, posteriormente, você adicionar proteção ao rótulo, a proteção não será aplicada a esses arquivos.
Adicionar proteção aos rótulos
| Recurso | Descrição |
|---|---|
| Saiba mais sobre rótulos de confidencialidade | Consulte este artigo para obter várias maneiras de configurar rótulos específicos para aplicar a proteção. É recomendável que você comece com políticas básicas como "criptografar somente" para emails e "todos os funcionários – controle total" para documentos. Essas políticas fornecem níveis fortes de proteção, fornecendo saídas fáceis para os usuários quando encontram situações em que a introdução da criptografia causa problemas de compatibilidade ou conflitos com os requisitos de negócios. Você pode restringir as restrições incrementalmente mais tarde à medida que ganha confiança e compreensão da maneira como os usuários precisam consumir os dados confidenciais. |
| Cenários comuns para rótulos de confidencialidade | Confira esta lista de cenários compatíveis com rótulos de confidencialidade. |
Introduzir rotulagem automática em aplicativos do Office
| Recurso | Descrição |
|---|---|
| Aplicar um rótulo de confidencialidade automaticamente ao conteúdo | Atribua automaticamente um rótulo a arquivos e emails quando ele corresponde às condições especificadas. É recomendável que você inicialmente configure os rótulos para fornecer uma recomendação de rotulagem interativa aos usuários. Depois de confirmar que eles são geralmente aceitos, configure-os para aplicar automaticamente o rótulo. |
Estender as políticas DLP para o Microsoft 365
| Recurso | Descrição |
|---|---|
| Evitar perda de dados | Continue a usar essas etapas para aplicar DLP em seu ambiente do Microsoft 365, estendendo as políticas para mais locais e serviços e apertando as ações de regra removendo exceções desnecessárias. |
Implementar políticas básicas de gerenciamento de risco interno
| Recurso | Descrição |
|---|---|
| Gerenciamento de risco interno | Comece com as ações recomendadas. Você pode começar usando modelos de política para começar rapidamente, incluindo o roubo de dados por usuários que partem. |
Estágio 4
Nesta fase, você estende as proteções desenvolvidas no Microsoft 365 para dados em seus aplicativos SaaS. Você também faz a transição para a automação do máximo possível de classificação e governança de dados.
Estender rótulos e proteção aos dados em aplicativos SaaS, incluindo DLP
| Recurso | Descrição |
|---|---|
| Implantar a proteção de informações para aplicativos SaaS | Usando o Microsoft Defender para Aplicativos de Nuvem, você estende o esquema de classificação desenvolvido com os recursos do Microsoft 365 para proteger dados em seus aplicativos SaaS. |
Estender a classificação automatizada
| Recurso | Descrição |
|---|---|
| Aplicar um rótulo de confidencialidade automaticamente ao conteúdo | Continue distribuindo os métodos automatizados para aplicar rótulos aos seus dados. Estenda-os para documentos em repouso no SharePoint, OneDrive e Teams e para emails que estão sendo enviados ou recebidos pelos usuários. |
Estender rótulos e proteção aos dados em repositórios locais
| Recurso | Descrição |
|---|---|
| Verificador de Proteção de Informações do Microsoft 365 Purview | Examine dados em repositórios locais, incluindo compartilhamentos de arquivos do Microsoft Windows e SharePoint Server. O analisador de proteção de informações pode inspecionar quaisquer ficheiros que o Windows possa indexar. Se você configurou rótulos de confidencialidade para aplicar a classificação automática, o verificador poderá rotular arquivos descobertos para aplicar essa classificação e, opcionalmente, aplicar ou remover a proteção. |
Proteger dados da organização em sua infraestrutura de nuvem
| Recurso | Descrição |
|---|---|
| Documentação de governança de dados do Microsoft Purview | Saiba como usar o portal de governança do Microsoft Purview para que sua organização possa encontrar, entender, governar e consumir fontes de dados. Tutoriais, referência da API REST e outras documentações mostram como planejar e configurar seu repositório de dados em que você pode descobrir fontes de dados disponíveis e gerenciar o uso de direitos. |
Plano de adoção da nuvem
Um plano de adoção é um requisito essencial para uma adoção bem-sucedida da nuvem. Os principais atributos de um plano de adoção bem-sucedido para proteger dados incluem:
- A estratégia e o planejamento estão alinhados: Ao elaborar seus planos para testar, pilotar e distribuir recursos de classificação e proteção de dados em sua propriedade digital, lembre-se de revisitar sua estratégia e objetivos para garantir que seus planos estejam alinhados. Isso inclui prioridade de conjuntos de dados, metas para proteção de dados e marcos de destino.
- O plano é iterativo: Ao começar a implementar seu plano, você aprenderá muitas coisas sobre seu ambiente e o conjunto de funcionalidades que você está usando. Em cada fase da sua distribuição, reveja seus resultados em comparação com os objetivos e ajuste os planos. Isso pode incluir a revisitação de trabalhos anteriores para ajustar políticas, por exemplo.
- O treinamento de sua equipe e usuários é bem planejado: Da sua equipe de administração para assistência técnica e seus usuários, todos são treinados para serem bem-sucedidos com suas responsabilidades de identificação e proteção de dados.
Para obter mais informações do Cloud Adoption Framework para Azure, consulte Plan for cloud adoption.
Fase pronta
Use os recursos listados anteriormente para priorizar seu plano para identificar e proteger dados confidenciais. O trabalho de proteção de dados comerciais confidenciais representa uma das camadas em sua estratégia de implantação de Confiança Zero de várias camadas.
A abordagem em etapas recomendada neste artigo inclui a distribuição do trabalho de forma metódica em seu ambiente digital. Nesta fase Pronta, reveja estes elementos do plano para ter certeza de que tudo está pronto para ir:
- Os dados que são confidenciais para sua organização estão bem definidos. Você provavelmente ajustará essas definições à medida que pesquisar dados e analisar os resultados.
- Você tem um mapa claro de quais conjuntos de dados e aplicativos iniciar e um plano prioritário para aumentar o escopo do seu trabalho até que ele englobe todo o seu patrimônio digital.
- Ajustes nas diretrizes técnicas prescritas que são apropriadas para sua organização e ambiente foram identificados e documentados.
Esta lista resume o processo metódico de alto nível para fazer este trabalho:
- Conheça os recursos de classificação de dados, como tipos de informações confidenciais, classificadores treináveis, rótulos de confidencialidade e políticas DLP.
- Comece a usar esses recursos com dados nos serviços do Microsoft 365. Essa experiência ajuda você a refinar seu esquema.
- Introduza a classificação em aplicativos do Office.
- Proceda com a proteção de dados em dispositivos, começando por experimentar e, em seguida, implementando o DLP de endpoint.
- Estenda as capacidades que você refinou em seu ambiente do Microsoft 365 para dados em aplicativos de nuvem usando o Defender para Nuvem.
- Descobrir e aplicar proteção a dados locais usando o verificador da Proteção de Informações do Microsoft Purview
- Use a governança de dados do Microsoft Purview para descobrir e proteger dados em serviços de armazenamento de dados na nuvem, incluindo blobs do Azure, Cosmos DB, bancos de dados SQL e repositórios do Amazon Web Services S3.
Este diagrama mostra o processo.
Suas prioridades para descoberta e proteção de dados podem ser diferentes.
Observe as seguintes dependências em outros cenários de negócios:
- Estender a proteção de informações para dispositivos endpoint requer coordenação com o Intune (incluído no artigo Trabalho Remoto e Híbrido Seguro).
- Estender a proteção de informações aos dados em aplicativos SaaS requer o Microsoft Defender para Aplicativos de Nuvem. O piloto e a implantação do Defender para Aplicativos de Nuvem estão incluídos no cenário de negócios Prevenir ou reduzir danos aos negócios de uma violação.
Ao finalizar seus planos de adoção, reveja o Guia de Aceleração de Implantação de Prevenção contra Perda de Dados e Proteção de Informações para examinar as recomendações e ajustar sua estratégia.
Fase de adoção
A Microsoft recomenda uma abordagem iterativa e em cascata para descobrir e proteger dados confidenciais. Isso permite que você refine suas estratégias e políticas enquanto avança, para aumentar a precisão dos resultados. Por exemplo, comece a trabalhar em um esquema de classificação e proteção conforme você descobre e identifica dados confidenciais. Os dados descobertos informam o esquema e o esquema ajuda você a melhorar as ferramentas e os métodos usados para descobrir dados confidenciais. Da mesma forma, à medida que você testa e pilota o esquema, os resultados ajudam você a melhorar as políticas de proteção criadas anteriormente. Não é necessário aguardar até que uma fase seja concluída antes de começar a próxima. Seus resultados serão mais eficazes se você iterar ao longo do caminho.
Controlar e gerenciar fases
A governança dos dados da sua organização é um processo iterativo. Criando cuidadosamente seu esquema de classificação e distribuindo-o em sua propriedade digital, você criou uma base. Use os exercícios a seguir para ajudá-lo a começar a criar seu plano de governança inicial para esta base:
- Estabeleça sua metodologia: Estabeleça uma metodologia básica para revisar seu esquema, como ele é aplicado em sua propriedade digital e o sucesso dos resultados. Decida como você monitorará e avaliará o sucesso do protocolo de proteção de informações, incluindo o estado atual e o estado futuro.
- Estabelecer uma base de governança inicial: Comece seu percurso de governança com um conjunto pequeno e facilmente implementado de ferramentas de governança. Essa base de governança inicial é chamada de MVP (produto mínimo viável).
- Aprimore sua base de governança inicial: Adicione iterativamente controles de governança para resolver riscos tangíveis à medida que você avança em direção ao estado final.
O Microsoft Purview fornece vários recursos para ajudá-lo a controlar seus dados, incluindo:
- Políticas de retenção
- Recursos de retenção e arquivamento da caixa de correio
- Gerenciamento de registros para políticas e agendamentos de retenção e exclusão mais sofisticados
Consulte Gerencie seus dados com Microsoft Purview. Além disso, o Gerenciador de atividades fornece visibilidade sobre qual conteúdo foi descoberto e rotulado e onde está esse conteúdo. Para aplicativos SaaS, o Microsoft Defender para Aplicativos de Nuvem fornece relatórios avançados para dados confidenciais que estão entrando e saindo de aplicativos SaaS. Confira os muitos tutoriais na biblioteca de conteúdo do Microsoft Defender para Aplicativos de Nuvem.
Próximas etapas
- Visão geral da estrutura de adoção de Confiança Zero
- Modernizar rapidamente sua postura de segurança
- Trabalho remoto e híbrido seguro
- Impedir ou reduzir danos comerciais de uma violação
- Atender aos requisitos regulatórios e de conformidade
Recursos de monitoramento de progresso
Para qualquer um dos cenários de negócios de Confiança Zero, você pode usar os seguintes recursos de acompanhamento de progresso.
| Recurso de rastreamento de progresso | Isso ajuda você a... | Projetado para... |
|---|---|---|
Para download: Grade de Fases do Plano de Cenário de Adoção em arquivo Visio ou PDF 
|
Compreenda facilmente os aprimoramentos de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase de planejamento. | Lideranças de projetos de cenários de negócios, líderes de negócios e outras partes interessadas. |
Rastreador de Adoção de Confiança Zero apresentação em PowerPoint para download 
|
Acompanhe seu progresso pelos estágios e objetivos da fase de planejamento. | Lideranças de projetos de cenários de negócios, líderes de negócios e outras partes interessadas. |
Objetivos e tarefas do cenário de negócios na pasta de trabalho do Excel para download 
|
Atribua a responsabilidade e acompanhe seu progresso por meio dos estágios, objetivos e tarefas da fase de Planejamento. | Líderes de projeto de cenário de negócios, líderes de TI e implementadores de TI. |
Para obter recursos adicionais, consulte a avaliação de Confiança Zero e os recursos de acompanhamento de progresso.