Identificar e proteger dados comerciais confidenciais
Como parte das diretrizes de adoção do Zero Trust, este artigo descreve o cenário de negócios para proteger seus ativos de dados mais críticos. Este cenário se concentra em como identificar e proteger dados corporativos confidenciais.
A transformação digital levou as organizações a lidar com volumes crescentes de dados. No entanto, colaboradores externos, como parceiros, fornecedores e clientes, acessam grande parte desses dados compartilhados fora da rede corporativa. Essa mudança criou um cenário de dados complexo, especialmente quando você considera a proliferação de forças de trabalho híbridas e migrações para a nuvem, ameaças cibernéticas crescentes, segurança em evolução e requisitos regulatórios em mudança sobre como os dados são governados e protegidos.
Com modelos de trabalho híbridos, os ativos e dados corporativos estão em movimento. Sua organização precisa controlar onde quer que os dados sejam armazenados e transferidos em dispositivos, dentro de aplicativos e com parceiros. Para a segurança moderna, no entanto, você não pode mais confiar nos controles tradicionais de proteção de rede.
| Proteção de dados tradicional com controles de rede | Proteção de dados moderna com Zero Trust |
|---|---|
| Nas redes tradicionais, o controle de perímetro de rede controla o acesso a dados críticos, não a sensibilidade aos dados. Normalmente, você aplica rótulos em dados confidenciais manualmente, o que pode resultar em classificação de dados inconsistente. | Um modelo Zero Trust aplica autenticação forte a solicitações de acesso a dados, usando políticas para verificar todas as identidades e garantindo que as identidades tenham acesso a aplicativos e dados. Um modelo Zero Trust envolve a identificação de dados confidenciais e a aplicação de classificação e proteção, incluindo prevenção contra perda de dados (DLP). O Zero Trust inclui defesas que protegem os seus dados mesmo depois de terem saído do seu ambiente controlado. Também inclui proteção adaptativa para reduzir o risco interno. Além dessas proteções, o Zero Trust inclui monitoramento contínuo e proteção contra ameaças para prevenir e limitar o escopo de uma violação de dados. |
O diagrama a seguir ilustra a mudança da proteção tradicional com controles de rede à esquerda (de locais conhecidos limitados) para a proteção moderna com Zero Trust à direita (para locais desconhecidos), na qual a proteção é aplicada independentemente de onde os usuários e dispositivos estão localizados.
As orientações neste artigo explicam como começar e progredir na sua estratégia de identificação e proteção de dados confidenciais. Se sua organização estiver sujeita a regulamentações que protegem dados, use o artigo Atender aos requisitos regulatórios e de conformidade desta série para saber como aplicar o que você aprendeu neste artigo à proteção de dados regulamentados.
Como os líderes empresariais pensam sobre a proteção de dados confidenciais
Antes de iniciar qualquer trabalho técnico, é importante entender as diferentes motivações para investir na proteção de dados de negócios, pois elas ajudam a informar a estratégia, os objetivos e as medidas para o sucesso.
A tabela a seguir fornece os motivos pelos quais os líderes de negócios de uma organização devem investir na proteção de dados baseada em Zero Trust.
| Role | Por que proteger dados confidenciais é importante |
|---|---|
| Diretor Executivo (CEO) | A propriedade intelectual é a espinha dorsal dos modelos de negócios de muitas organizações. Evitar que ele vaze, permitindo a colaboração perfeita com partes autorizadas, é essencial para o negócio. Em organizações que lidam com informações de identificação pessoal (PII) dos clientes, o risco de vazamento pode resultar não apenas em penalidades financeiras, mas também prejudicar a reputação da empresa. Finalmente, conversas comerciais sensíveis (como fusões e aquisições, reestruturação de negócios, estratégia e assuntos legais) podem prejudicar seriamente uma organização se vazadas. |
| Diretor de Marketing (CMO) | O planejamento de produtos, as mensagens, a marca e os próximos anúncios de produtos devem ser lançados no momento certo e da maneira certa para maximizar o impacto. Vazamentos intempestivos podem reduzir os retornos do investimento e afastar os concorrentes para planos futuros. |
| Diretor de Informação (CIO) | Enquanto as abordagens tradicionais para proteger as informações dependiam da limitação do acesso a elas, a proteção adequada de dados confidenciais usando tecnologias modernas permite uma colaboração mais flexível com partes externas, conforme necessário, sem aumentar o risco. Seus departamentos de TI podem cumprir seu mandato para garantir a produtividade e, ao mesmo tempo, minimizar os riscos. |
| Diretor de Segurança da Informação (CISO) | Como função principal dessa função, proteger dados corporativos confidenciais é parte integrante da segurança da informação. Esse resultado afeta diretamente a estratégia de segurança cibernética maior da organização. A tecnologia e as ferramentas de segurança avançadas fornecem a capacidade de monitorar dados e evitar vazamentos e perdas. |
| Diretor de Tecnologia (CTO) | A propriedade intelectual pode diferenciar um negócio bem-sucedido de um falido. Proteger esses dados contra compartilhamento excessivo, acesso não autorizado e roubo é fundamental para garantir o crescimento futuro da organização. |
| Diretor de Operações (COO) | Dados operacionais, procedimentos e planos de produção são uma vantagem estratégica fundamental para uma organização. Esses planos também podem revelar vulnerabilidades estratégicas que podem ser exploradas pelos concorrentes. Proteger esses dados contra roubo, compartilhamento excessivo e uso indevido é fundamental para o sucesso contínuo do negócio. |
| Diretor Financeiro (CFO) | As empresas de capital aberto têm o dever de proteger dados financeiros específicos antes que eles sejam tornados públicos. Outros dados financeiros podem revelar planos e pontos fortes ou fracos estratégicos. Todos esses dados devem ser protegidos para garantir a conformidade com as regulamentações existentes e manter as vantagens estratégicas. |
| Diretor de Conformidade (CCO) | Regulamentações em todo o mundo exigem a proteção de PII de clientes ou funcionários e outros dados confidenciais. O CCO é responsável por garantir que a organização cumpra tais regulamentos. Uma estratégia abrangente de proteção da informação é fundamental para alcançar esse objetivo. |
| Diretor de Privacidade (CPO) | Um CPO é normalmente responsável por garantir a proteção de dados pessoais. Em organizações que lidam com grandes quantidades de dados pessoais de clientes e organizações que operam em regiões com regulamentos de privacidade rigorosos, a falha na proteção de dados confidenciais pode resultar em multas pesadas. Essas organizações também correm o risco de perder a confiança do cliente como consequência. Os CPOs também devem evitar que os dados pessoais sejam usados indevidamente de maneiras que violem acordos ou leis do cliente, o que pode incluir o compartilhamento indevido dos dados dentro da organização e com parceiros. |
O ciclo de adoção para proteger dados críticos de negócios
Este artigo apresenta este cenário de negócios usando as mesmas fases do ciclo de vida do Cloud Adoption Framework for Azure — Definir estratégia, Planejar, Preparar, Adotar e Governar e gerenciar — mas adaptado para Zero Trust.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Planear | Pronta | Adotar | Governar e gerir |
|---|---|---|---|---|
| Resultados Alinhamento organizacional Objetivos estratégicos |
Equipa de stakeholders Planos técnicos Preparação das competências |
Avaliar Teste Programa Piloto |
Implemente incrementalmente em todo o seu patrimônio digital | Rastrear e medir Monitorar e detetar Iterar para vencimento |
Leia mais sobre o ciclo de adoção do Zero Trust na visão geral da estrutura de adoção do Zero Trust.
Definir a fase da estratégia
A fase Definir estratégia é fundamental para definir e formalizar os nossos esforços – formaliza o "Porquê?" deste cenário. Nesta fase, você entende o cenário através de perspetivas de negócios, TI, operacionais e estratégicas. Você define os resultados em relação aos quais medir o sucesso no cenário, entendendo que a segurança é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados que são relevantes para muitas organizações. Use estas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Motivações em matéria de proteção de dados
As motivações para identificar e proteger dados corporativos confidenciais são simples, mas diferentes partes da sua organização têm incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações.
| Área | Motivações |
|---|---|
| Necessidades do negócio | Proteger dados empresariais sensíveis, especialmente quando partilhados com parceiros. |
| Necessidades de TI | Um esquema de classificação de dados padronizado que pode ser aplicado de forma consistente em todo o patrimônio digital. |
| Necessidades operacionais | Implementar a proteção de dados de forma consistente e padrão, usando automação sempre que possível. |
| Necessidades estratégicas | Reduza os danos que um insider pode causar (intencionalmente ou não) ou por um agente mal-intencionado que obtém acesso ao meio ambiente. |
Observe que atender aos requisitos regulatórios pode ser a principal motivação para algumas organizações. Se isso for verdade para você, vá em frente e adicione isso à estratégia da sua organização e use esse cenário de negócios junto com o artigo Atender aos requisitos regulatórios e de conformidade desta série.
Resultados da proteção de dados
Aplicar o objetivo geral do Zero Trust de "nunca confiar, sempre verificar" aos seus dados adiciona uma camada significativa de proteção ao seu ambiente. É importante ser claro sobre os resultados que você espera alcançar para que você possa encontrar o equilíbrio certo de proteção e usabilidade para todas as equipes envolvidas, incluindo seus usuários. A tabela a seguir fornece objetivos e resultados sugeridos.
| Objetivo | Resultado |
|---|---|
| Produtividade | Os usuários podem colaborar facilmente na criação de dados corporativos ou executar suas funções de trabalho usando dados corporativos. |
| Acesso seguro | O acesso aos dados e às aplicações é assegurado ao nível adequado. Dados altamente confidenciais exigem salvaguardas mais rigorosas, mas essas proteções não devem sobrecarregar os usuários que devem contribuir ou usar esses dados. Os dados corporativos confidenciais são limitados àqueles que precisam usá-los e você implementou controles para limitar ou desencorajar os usuários de compartilhar ou replicar esses dados fora do grupo de uso pretendido. |
| Suporte a usuários finais | Os controles para proteger os dados foram integrados à arquitetura geral do Zero Trust. Esses controles incluem logon único, autenticação multifator (MFA) e acesso condicional do Microsoft Entra, para que os usuários não sejam continuamente desafiados com solicitações de autenticação e autorização. Os usuários recebem treinamento sobre como classificar e compartilhar dados de forma segura. Os usuários podem assumir o controle de seus dados importantes, permitindo que revoguem o acesso em caso de necessidade, ou rastreiem o uso das informações depois que elas forem compartilhadas. As políticas de proteção de dados são automatizadas sempre que possível para diminuir a carga sobre os usuários. |
| Aumente a segurança | A adição de proteção de dados em todo o patrimônio digital protege esses ativos críticos de negócios e ajuda a reduzir os danos potenciais de uma violação de dados. As proteções de dados incluem salvaguardas para proteção contra violações de dados intencionais, não intencionais ou negligentes por funcionários e parceiros atuais ou antigos. |
| Capacite a TI | Sua equipe de TI está capacitada com uma compreensão clara do que se qualifica como dados comerciais confidenciais. Eles têm um esquema bem fundamentado para alinhar e as ferramentas e capacidades de tecnologia para implementar os planos e monitorar o status e o sucesso. |
Fase de planeamento
Os planos de adoção convertem os princípios da estratégia Zero Trust em um plano acionável. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los com a estratégia de negócios da sua organização.
As motivações e resultados que você define, juntamente com seus líderes de negócios e equipes, apoiam o "Por quê?" para a sua organização e torne-se a Estrela Polar para a sua estratégia. Em seguida, vem o planejamento técnico para atingir os objetivos.
A adoção técnica para identificar e proteger dados comerciais confidenciais envolve:
- Descobrir e identificar dados confidenciais em todo o seu patrimônio digital.
- Curadoria de um esquema de classificação e proteção, incluindo DLP.
- Implementando o esquema em todo o seu patrimônio digital, começando com dados no Microsoft 365 e estendendo a proteção a todos os aplicativos SaaS, sua infraestrutura de nuvem e dados em repositórios locais. Os aplicativos SaaS são aplicativos que estão fora da sua assinatura do Microsoft 365, mas estão integrados ao seu locatário do Microsoft Entra.
Proteger seus dados corporativos confidenciais também envolve algumas atividades relacionadas, incluindo:
- Encriptação da comunicação de rede.
- Gerenciar o acesso externo a equipes e projetos onde dados confidenciais são compartilhados.
- Configurar e usar equipes dedicadas e isoladas no Microsoft Teams para projetos que incluam dados corporativos altamente confidenciais, o que deve ser raro. A maioria das organizações não exige esse nível de segurança e isolamento de dados.
Muitas organizações podem adotar uma abordagem de quatro estágios para esses objetivos de implantação, resumidos na tabela a seguir.
| Stage 1 | Fase 2 | Fase 3 | Fase 4 |
|---|---|---|---|
| Descobrir e identificar dados comerciais confidenciais Descubra aplicativos SaaS não sancionados Criptografar comunicação de rede |
Desenvolver e testar um esquema de classificação Aplicar etiquetas a dados no Microsoft 365 Introduzir políticas básicas de DLP Configure o Microsoft Teams seguro para compartilhar dados interna e externamente com parceiros de negócios |
Adicionar proteção a etiquetas específicas (encriptação e outras definições de proteção) Introduzir etiquetagem automática e recomendada nas aplicações e serviços do Office Estenda as políticas de DLP nos serviços do Microsoft 365 Implementar as principais políticas de gestão de riscos internos |
Estenda rótulos e proteção a dados em aplicativos SaaS, incluindo DLP Estenda a classificação automatizada a todos os serviços Estenda os rótulos e a proteção aos dados em repouso em repositórios locais Proteja os dados da organização em sua infraestrutura de nuvem |
Se essa abordagem em estágios funcionar para sua organização, você poderá usar:
Este conjunto de diapositivos PowerPoint transferível para apresentar e acompanhar o seu progresso através destas etapas e objetivos para líderes empresariais e outras partes interessadas. Aqui está o slide para este cenário de negócios.
Esta pasta de trabalho do Excel para atribuir proprietários e acompanhar seu progresso para esses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
Compreender a sua organização
Essa abordagem em estágios recomendada para implementação técnica pode ajudar a contextualizar o exercício de compreensão da sua organização. As necessidades de cada organização para proteger dados corporativos confidenciais e a composição e o volume de dados são diferentes.
Uma etapa fundamental no ciclo de vida de adoção do Zero Trust para cada cenário de negócios inclui fazer inventário. Para esse cenário de negócios, você faz um inventário dos dados da sua organização.
Aplicam-se as seguintes ações:
Inventarie os seus dados.
Primeiro, faça um balanço de onde residem todos os seus dados, o que pode ser tão simples quanto listar os aplicativos e repositórios com seus dados. Depois que tecnologias como rotulagem de sensibilidade forem implantadas, você poderá descobrir outros locais onde dados confidenciais estão sendo armazenados. Esses locais às vezes são chamados de TI escura ou cinza.
Também é útil estimar a quantidade de dados que você planeja inventariar (o volume). Durante todo o processo técnico recomendado, você usa o conjunto de ferramentas para descobrir e identificar dados corporativos. Você aprenderá que tipos de dados você tem e onde esses dados residem em serviços e aplicativos de nuvem, permitindo que você correlacione a sensibilidade dos dados com o nível de exposição dos locais em que eles estão presentes.
Por exemplo, o Microsoft Defender for Cloud Apps ajuda você a identificar aplicativos SaaS que talvez você não conhecesse. O trabalho de descobrir onde seus dados confidenciais residem começa no Estágio 1 da implementação técnica e se estende em cascata por todos os quatro estágios.
Documente as metas e planeje a adoção incremental com base nas prioridades.
As quatro etapas recomendadas representam um plano de adoção incremental. Ajuste este plano com base nas prioridades da sua organização e na composição do seu património digital. Certifique-se de ter em conta quaisquer marcos do calendário ou obrigações para a conclusão deste trabalho.
Inventarie todos os conjuntos de dados ou projetos dedicados que exijam proteção compartimentada (por exemplo, projetos tendas ou especiais).
Nem todas as organizações necessitam de proteção compartimentada.
Planeamento e alinhamento organizacional
O trabalho técnico de proteção de dados corporativos confidenciais cruza várias áreas e funções sobrepostas:
- Dados
- Aplicações
- Pontos finais
- Rede
- Identidades
Esta tabela resume as funções recomendadas ao criar um programa de patrocínio e uma hierarquia de gerenciamento de projetos para determinar e gerar resultados.
| Líderes de programa e proprietários técnicos | Responsabilidade |
|---|---|
| CISO, CIO ou Diretor de Segurança de Dados | Patrocínio executivo |
| Líder do programa de Segurança de Dados | Impulsione resultados e colaboração entre equipes |
| Arquiteto de Segurança | Aconselhar sobre configuração e padrões, especialmente em relação à criptografia, gerenciamento de chaves e outras tecnologias fundamentais |
| Responsáveis pela conformidade | Mapear requisitos de conformidade e riscos para controles específicos e tecnologias disponíveis |
| Administradores do Microsoft 365 | Implementar alterações ao seu inquilino do Microsoft 365 para OneDrive e Pastas Protegidas |
| Proprietários de Aplicações | Identifique ativos críticos de negócios e garanta a compatibilidade dos aplicativos com dados rotulados, protegidos e criptografados |
| Administrador de Segurança de Dados | Implementar alterações de configuração |
| Administrador de TI | Atualizar normas e documentos políticos |
| Governança de Segurança e/ou Administração de TI | Monitorar para garantir a conformidade |
| Equipa de Formação de Utilizadores | Garantir que as diretrizes para os usuários reflitam as atualizações da política e forneçam informações sobre a aceitação do usuário da taxonomia de rotulagem |
O conjunto de recursos do PowerPoint para este conteúdo de adoção inclui o slide a seguir com uma exibição de partes interessadas que você pode personalizar para sua própria organização.
Planeamento técnico e prontidão de competências
Antes de iniciar o trabalho técnico, a Microsoft recomenda conhecer os recursos, como eles funcionam juntos e as práticas recomendadas para abordar esse trabalho. A tabela a seguir inclui vários recursos para ajudar suas equipes a ganhar habilidades.
| Recurso | Description |
|---|---|
| Guia de aceleração de implantação - Proteção de informações e prevenção de perda de dados | Aprenda as práticas recomendadas das equipes do Microsoft Customer Engagement. Essa orientação leva as organizações à maturidade por meio de um modelo de rastreamento, caminhada e execução, que se alinha com as etapas recomendadas nesta orientação de adoção. |
Lista de verificação RaMP: Proteção de dados  |
Outro recurso para listar e priorizar o trabalho recomendado, incluindo as partes interessadas. |
| Introdução ao Microsoft Purview Data Loss Prevention (iniciante) | Neste recurso, você aprenderá sobre DLP no Microsoft Purview Information Protection. |
Aprenda módulo-ícone para a Introdução à proteção de informações e gerenciamento do ciclo de vida de dados no módulo Microsoft Purview Microsoft Learn. (Intermediário) |
Saiba como as soluções de proteção de informações e gerenciamento do ciclo de vida de dados do Microsoft 365 ajudam você a proteger e controlar seus dados, durante todo o seu ciclo de vida – onde quer que eles vivam e viajem. |
Ícone de certificações para a certificação Microsoft Certified: Information Protection Administrator Associate |
Caminhos de aprendizagem recomendados para se tornar um Associado Administrador Certificado de Proteção de Informações. |
Stage 1
Os objetivos de implantação do Estágio 1 incluem o processo de inventário de seus dados. Isso inclui identificar aplicativos SaaS não autorizados que sua organização usa para armazenar, processar e compartilhar dados. Você pode trazer esses aplicativos não autorizados para seu processo de gerenciamento de aplicativos e aplicar proteções, ou pode impedir que seus dados corporativos sejam usados com esses aplicativos.
Descobrir e identificar dados comerciais confidenciais
A partir do Microsoft 365, algumas das principais ferramentas usadas para identificar informações confidenciais que precisam ser protegidas são tipos de informações confidenciais (SITs) e outros classificadores, incluindo classificadores treináveis e impressões digitais. Esses identificadores ajudam a encontrar tipos de dados confidenciais comuns, como números de cartão de crédito ou números de identificação governamental, e a identificar documentos e e-mails confidenciais usando aprendizado de máquina e outros métodos. Você também pode criar SITs personalizados para identificar dados exclusivos do seu ambiente, incluindo o uso de correspondência de dados exata para diferenciar dados pertencentes a pessoas específicas, por exemplo, PII do cliente, que precisam de proteção especial.
Quando os dados são adicionados ao seu ambiente Microsoft 365 ou modificados, eles são automaticamente analisados para conteúdo confidencial usando quaisquer SITs atualmente definidos em seu locatário.
Você pode usar o explorador de conteúdo no portal de conformidade do Microsoft Purview para ver quaisquer ocorrências de dados confidenciais detetados em todo o ambiente. Os resultados permitem que você saiba se precisa personalizar ou ajustar os SITs para seu ambiente para maior precisão. Os resultados também lhe dão uma primeira imagem do seu stock de dados e do seu estado de proteção de informações. Por exemplo, se você estiver recebendo muitos falsos positivos para um SIT ou não encontrar dados conhecidos, poderá criar cópias personalizadas dos SITs padrão e modificá-los para que funcionem melhor para seu ambiente. Você também pode refiná-los usando a correspondência exata de dados.
Além disso, você pode usar classificadores treináveis integrados para identificar documentos que pertencem a determinadas categorias, como contratos ou documentos de frete. Se você tiver classes específicas de documentos que sabe que precisa identificar e potencialmente proteger, poderá usar exemplos no portal de conformidade do Microsoft Purview para treinar seus próprios classificadores. Esses exemplos podem ser usados para descobrir a presença de outros documentos com padrões semelhantes de conteúdo.
Além do explorador de conteúdo, as organizações têm acesso ao recurso de pesquisa de conteúdo para produzir pesquisas personalizadas para dados no ambiente, incluindo o uso de critérios de pesquisa avançados e filtros personalizados.
A tabela a seguir lista recursos para descobrir dados corporativos confidenciais.
| Recurso | Description |
|---|---|
| Implante uma solução de proteção de informações com o Microsoft 365 Purview | Apresenta uma estrutura, um processo e os recursos que você pode usar para atingir seus objetivos de negócios específicos para a proteção das informações. |
| Tipos de informações confidenciais | Comece aqui para começar com os tipos de informações confidenciais. Esta biblioteca inclui muitos artigos para experimentar e otimizar SITs. |
| Explorador de conteúdos | Analise seu ambiente Microsoft 365 para a ocorrência de SITs e exiba os resultados na ferramenta explorador de conteúdo. |
| Classificadores treináveis | Os classificadores treináveis permitem que você traga amostras do tipo de conteúdo que você deseja descobrir (semeadura) e, em seguida, deixe o mecanismo de aprendizado de máquina aprender a descobrir mais desses dados. Você participa do treinamento do classificador validando os resultados até que a precisão seja melhorada. |
| Correspondência exata de dados | A correspondência exata de dados permite que você encontre dados confidenciais que correspondam aos registros existentes, por exemplo, as PII de seus clientes registradas em seus aplicativos de linha de negócios, o que permite direcionar esses dados com precisão com políticas de proteção de informações, eliminando virtualmente os falsos positivos. |
| Pesquisa de conteúdo | Use a pesquisa de conteúdo para pesquisas avançadas, incluindo filtros personalizados. Você pode usar palavras-chave e operadores de pesquisa booleana. Você também pode criar consultas de pesquisa usando a linguagem de consulta de palavra-chave (KQL). |
| Lista de verificação RaMP: Proteção de dados: conheça os seus dados | Uma lista de verificação das etapas de implementação com proprietários de etapas e links para a documentação. |
Descubra aplicativos SaaS não sancionados
Sua organização provavelmente assina muitos aplicativos SaaS, como o Salesforce ou aplicativos específicos do seu setor. Os aplicativos SaaS que você conhece e gerencia são considerados sancionados. Em estágios posteriores, você estende o esquema de proteção de dados e as políticas de DLP criadas com o Microsoft 365 para proteger os dados nesses aplicativos SaaS sancionados.
No entanto, neste estágio, é importante descobrir aplicativos SaaS não sancionados que sua organização está usando. Isso permite que você monitore o tráfego de e para esses aplicativos para determinar se os dados corporativos da sua organização estão sendo compartilhados com esses aplicativos. Nesse caso, você pode trazer esses aplicativos para o gerenciamento e aplicar proteção a esses dados, começando com a habilitação do logon único com o Microsoft Entra ID.
A ferramenta para descobrir aplicativos SaaS que sua organização usa é o Microsoft Defender for Cloud Apps.
| Recurso | Description |
|---|---|
| Integre aplicativos SaaS para Zero Trust com o Microsoft 365 | Este guia de solução descreve o processo de proteção de aplicativos SaaS com os princípios Zero Trust. A primeira etapa desta solução inclui adicionar seus aplicativos SaaS ao Microsoft Entra ID e aos escopos das políticas. Esta deve ser uma prioridade. |
| Avaliar o Microsoft Defender for Cloud Apps | Este guia ajuda você a colocar o Microsoft Defender for Cloud Apps em funcionamento o mais rápido possível. Você pode descobrir aplicativos SaaS não autorizados logo nas fases de teste e piloto. |
Criptografar comunicação de rede
Esse objetivo é mais uma verificação para ter certeza de que seu tráfego de rede está criptografado. Verifique com sua equipe de rede para se certificar de que essas recomendações estão satisfeitas.
| Recurso | Description |
|---|---|
| Redes seguras com Zero Trust-Objetivo 3: O tráfego interno de usuário para aplicativo é criptografado | Verifique se o tráfego interno de usuário para aplicativo está criptografado:
|
| Redes seguras com Zero Trust-Objective 6: Todo o tráfego é criptografado | Criptografe o tráfego de back-end do aplicativo entre redes virtuais. Criptografe o tráfego entre o local e a nuvem. |
| Networking up (para a nuvem)-O ponto de vista de um arquiteto | Para arquitetos de rede, este artigo ajuda a colocar os conceitos de rede recomendados em perspetiva. Ed Fisher, arquiteto de segurança e conformidade da Microsoft, descreve como otimizar sua rede para conectividade na nuvem, evitando as armadilhas mais comuns. |
Fase 2
Depois de fazer o inventário e descobrir onde residem seus dados confidenciais, passe para o Estágio 2, no qual você desenvolve um esquema de classificação e começa a testá-lo com os dados da organização. Esta etapa inclui também a identificação dos domínios em que os dados ou projetos requerem uma maior proteção.
Ao desenvolver um esquema de classificação, é tentador criar muitas categorias e níveis. No entanto, as organizações mais bem-sucedidas limitam o número de níveis de classificação a um pequeno número, como de 3 a 5. Menos é melhor.
Antes de traduzir o esquema de classificação da sua organização para rótulos e adicionar proteção aos rótulos, é útil pensar no panorama geral. É melhor ser o mais uniforme possível ao aplicar qualquer tipo de proteção em uma organização e, especialmente, em um grande patrimônio digital. Isto também se aplica aos dados.
Assim, por exemplo, muitas organizações são bem servidas por um modelo de três camadas de proteção de dados, dispositivos e identidades. Neste modelo, a maioria dos dados pode ser protegida em um nível de linha de base. Uma quantidade menor de dados pode exigir maior proteção. Algumas organizações têm uma quantidade muito pequena de dados que requer proteção em níveis muito mais altos. Os exemplos incluem dados secretos comerciais ou dados altamente regulamentados devido à natureza extremamente sensível dos dados ou projetos.
Se três níveis de proteção funcionarem para sua organização, isso ajudará a simplificar a forma como você traduz isso para rótulos e a proteção que você aplica a rótulos.
Para esta etapa, desenvolva seus rótulos de sensibilidade e comece a usá-los em dados no Microsoft 365. Não se preocupe em adicionar proteção aos rótulos ainda, isso é feito de preferência em um estágio posterior, uma vez que os usuários se familiarizaram com os rótulos e os aplicaram sem preocupações em relação às suas restrições por algum tempo. Adicionar proteção aos rótulos está incluído na próxima etapa. No entanto, é recomendável também começar com políticas básicas de DLP. Finalmente, nesta etapa, você aplica proteção específica a projetos ou conjuntos de dados que exigem proteção altamente sensível.
Desenvolver e testar um esquema de classificação
| Recurso | Description |
|---|---|
| Rótulos de sensibilidade | Conheça e comece a usar os rótulos de sensibilidade. A consideração mais crítica nesta fase é garantir que os rótulos reflitam tanto as necessidades da empresa quanto a linguagem usada pelos usuários. Se os nomes dos rótulos não ressoarem intuitivamente com os usuários ou seus significados não forem mapeados de forma consistente para o uso pretendido, a adoção da rotulagem pode acabar sendo prejudicada, e a precisão da aplicação do rótulo provavelmente será prejudicada. |
Aplicar etiquetas a dados no Microsoft 365
| Recurso | Description |
|---|---|
| Habilitar rótulos de sensibilidade para arquivos do Office no SharePoint e no OneDrive | Habilite a rotulagem interna para arquivos do Office suportados no SharePoint e no OneDrive para que os usuários possam aplicar seus rótulos de sensibilidade no Office para a Web. |
| Gerir etiquetas de sensibilidade nas aplicações do Office | Em seguida, comece a apresentar rótulos aos usuários onde eles podem vê-los e aplicá-los. Quando você publica rótulos de sensibilidade do portal de conformidade do Microsoft Purview, eles começam a aparecer nos aplicativos do Office para que os usuários classifiquem e protejam os dados à medida que são criados ou editados. |
| Aplicar rótulos a grupos do Microsoft Teams e do Microsoft 365 | Quando estiver pronto, inclua os grupos do Microsoft Teams e do Microsoft 365 no escopo da implantação da rotulagem. |
Introduzir políticas básicas de DLP
| Recurso | Description |
|---|---|
| Evite a perda de dados | Introdução às políticas de DLP. Recomenda-se começar com políticas DLP "suaves", que fornecem avisos, mas não bloqueiam ações, ou, no máximo, bloqueiam ações, permitindo que os usuários substituam a política. Isso permite avaliar o impacto dessas políticas sem prejudicar a produtividade. Você pode ajustar as políticas para se tornarem mais rigorosas à medida que ganha confiança em sua precisão e compatibilidade com as necessidades de negócios. |
Configure equipes seguras para compartilhar dados interna e externamente com parceiros de negócios
Se você identificou projetos ou dados que exigem proteção altamente confidencial, esses recursos descrevem como configurar isso no Microsoft Teams. Se os dados forem armazenados no SharePoint sem uma equipe associada, use as instruções nestes recursos para configurações do SharePoint.
| Recurso | Description |
|---|---|
| Configure equipes com proteção para dados altamente confidenciais | Fornece recomendações prescritivas para proteger projetos com dados altamente confidenciais, incluindo proteger e gerenciar o acesso de convidados (seus parceiros que podem estar colaborando com você nesses projetos). |
Fase 3
Nesta etapa, você continua a implantar o esquema de classificação de dados refinado. Você também aplica as proteções que planejou.
Depois de adicionar proteção a um rótulo (como criptografia e gerenciamento de direitos):
- Todos os documentos que recebem recentemente a etiqueta incluem a proteção.
- Qualquer documento armazenado no SharePoint Online ou no OneDrive que tenha recebido o rótulo antes de a proteção ser adicionada tem a proteção aplicada quando o documento é aberto ou transferido.
Os arquivos em repouso no serviço ou que residem no computador de um usuário não recebem a proteção que foi adicionada ao rótulo DEPOIS que esses arquivos receberam o rótulo. Em outras palavras, se o arquivo foi rotulado anteriormente e, posteriormente, você adiciona proteção ao rótulo, a proteção não é aplicada a esses arquivos.
Adicionar proteção aos rótulos
| Recurso | Description |
|---|---|
| Saiba mais sobre as etiquetas de confidencialidade | Consulte este artigo para obter várias maneiras de configurar rótulos específicos para aplicar proteção. É recomendável que você comece com políticas básicas como "criptografar apenas" para e-mails e "todos os funcionários – controle total" para documentos. Essas políticas fornecem altos níveis de proteção, ao mesmo tempo em que fornecem saídas fáceis para os usuários quando encontram situações em que a introdução da criptografia causa problemas de compatibilidade ou conflitos com os requisitos de negócios. Você pode aumentar gradualmente as restrições mais tarde, à medida que ganha confiança e compreensão sobre a maneira como os usuários precisam consumir os dados confidenciais. |
| Cenários comuns para rótulos de sensibilidade | Consulte esta lista de cenários suportados por rótulos de sensibilidade. |
Introduzir a etiquetagem automática nas aplicações do Office
| Recurso | Description |
|---|---|
| Aplicar um rótulo de sensibilidade ao conteúdo automaticamente | Atribua automaticamente uma etiqueta a ficheiros e e-mails quando corresponder às condições que especificar. É recomendável configurar inicialmente os rótulos para fornecer uma recomendação de rotulagem interativa aos usuários. Depois de confirmar que estes são geralmente aceites, mude-os para a aplicação automática do rótulo. |
Estenda as políticas de DLP no Microsoft 365
| Recurso | Description |
|---|---|
| Evite a perda de dados | Continue a usar estas etapas para aplicar DLP em seu ambiente Microsoft 365, estendendo as políticas para mais locais e serviços e restringindo as ações da regra removendo exceções desnecessárias. |
Implementar políticas básicas de gestão de risco de iniciados
| Recurso | Description |
|---|---|
| Gestão de risco de iniciados | Comece com as ações recomendadas. Você pode começar usando modelos de política para começar rapidamente, incluindo roubo de dados por usuários que saem. |
Fase 4
Nesta etapa, você estende as proteções desenvolvidas no Microsoft 365 aos dados em seus aplicativos SaaS. Você também faz a transição para a automação do máximo possível da classificação e governança de dados.
Estenda rótulos e proteção a dados em aplicativos SaaS, incluindo DLP
| Recurso | Description |
|---|---|
| Implantar proteção de informações para aplicativos SaaS | Usando o Microsoft Defender for Cloud Apps, você estende o esquema de classificação desenvolvido com os recursos do Microsoft 365 para proteger os dados em seus aplicativos SaaS. |
Estenda a classificação automatizada
| Recurso | Description |
|---|---|
| Aplicar um rótulo de sensibilidade ao conteúdo automaticamente | Continue a implementar os métodos automatizados para aplicar etiquetas aos seus dados. Estenda-os a documentos em repouso no SharePoint, OneDrive e Teams, e a emails enviados ou recebidos por usuários. |
Estenda os rótulos e a proteção aos dados em repositórios locais
| Recurso | Description |
|---|---|
| Scanner de proteção de informações do Microsoft 365 Purview | Analise dados em repositórios locais, incluindo compartilhamentos de arquivos do Microsoft Windows e do SharePoint Server. O mecanismo de varredura de proteção de informações pode inspecionar todos os arquivos que o Windows pode indexar. Se você configurou rótulos de sensibilidade para aplicar a classificação automática, o mecanismo de varredura pode rotular arquivos descobertos para aplicar essa classificação e, opcionalmente, aplicar ou remover proteção. |
Proteja os dados da organização em sua infraestrutura de nuvem
| Recurso | Description |
|---|---|
| Documentação de governança de dados do Microsoft Purview | Saiba como usar o portal de governança do Microsoft Purview para que sua organização possa encontrar, entender, governar e consumir fontes de dados. Tutoriais, referência da API REST e outra documentação mostram como planejar e configurar seu repositório de dados onde você pode descobrir fontes de dados disponíveis e gerenciar o uso de direitos. |
Plano de adoção da cloud
Um plano de adoção é um requisito essencial para uma adoção bem-sucedida da nuvem. Os principais atributos de um plano de adoção bem-sucedido para proteger dados incluem:
- Estratégia e planejamento estão alinhados: ao elaborar seus planos para testar, pilotar e implantar recursos de classificação e proteção de dados em todo o seu patrimônio digital, certifique-se de rever sua estratégia e objetivos para garantir que seus planos estejam alinhados. Isso inclui prioridade de conjuntos de dados, metas para proteção de dados e marcos de metas.
- O plano é iterativo: à medida que você começa a implementar seu plano, aprenderá muitas coisas sobre seu ambiente e o conjunto de recursos que está usando. Em cada etapa de sua implantação, reveja seus resultados em comparação com os objetivos e ajuste os planos. Isso pode incluir, por exemplo, revisitar trabalhos anteriores para ajustar políticas.
- O treinamento de sua equipe e usuários é bem planejado: desde sua equipe administrativa até o helpdesk e seus usuários, todos são treinados para serem bem-sucedidos com suas responsabilidades de identificação e proteção de dados.
Para obter mais informações do Cloud Adoption Framework for Azure, consulte Plan for cloud adoption.
Fase pronta
Use os recursos listados anteriormente para priorizar seu plano de identificação e proteção de dados confidenciais. O trabalho de proteção de dados corporativos confidenciais representa uma das camadas em sua estratégia de implantação de Zero Trust multicamadas.
A abordagem por etapas recomendada neste artigo inclui a cascata do trabalho de forma metódica em todo o seu patrimônio digital. Nesta fase Ready, revisite estes elementos do plano para ter certeza de que tudo está pronto para ir:
- Os dados confidenciais para a sua organização estão bem definidos. Você provavelmente ajustará essas definições à medida que pesquisar dados e analisar os resultados.
- Você tem um mapa claro de quais conjuntos de dados e aplicativos começar e um plano priorizado para aumentar o escopo do seu trabalho até que ele abranja todo o seu patrimônio digital.
- Os ajustes nas orientações técnicas prescritas que são apropriados para sua organização e ambiente foram identificados e documentados.
Esta lista resume o processo metódico de alto nível para fazer este trabalho:
- Conheça os recursos de classificação de dados, como tipos de informações confidenciais, classificadores treináveis, rótulos de sensibilidade e políticas de DLP.
- Comece a usar esses recursos com dados nos serviços do Microsoft 365. Essa experiência ajuda você a refinar seu esquema.
- Introduza a classificação nas aplicações do Office.
- Passe para a proteção de dados em dispositivos experimentando e, em seguida, implementando o DLP de ponto final.
- Estenda os recursos que você refinou em seu conjunto do Microsoft 365 para dados em aplicativos na nuvem usando o Defender for Cloud Apps.
- Descubra e aplique proteção a dados locais usando o mecanismo de varredura de proteção de informações Microsoft Purview
- Use a governança de dados do Microsoft Purview para descobrir e proteger dados em serviços de armazenamento de dados em nuvem, incluindo Blobs do Azure, Cosmos DB, bancos de dados SQL e repositórios do Amazon Web Services S3.
Este diagrama mostra o processo.
Suas prioridades de descoberta e proteção de dados podem ser diferentes.
Observe as seguintes dependências em outros cenários de negócios:
- Estender a proteção de informações para dispositivos de ponto de extremidade requer coordenação com o Intune (incluído no artigo Trabalho remoto e híbrido seguro).
- Estender a proteção de informações para dados em aplicativos SaaS requer o Microsoft Defender for Cloud Apps. O piloto e a implantação do Defender for Cloud Apps estão incluídos na seção Prevenir ou reduzir danos aos negócios causados por um cenário de negócios de violação .
Ao finalizar seus planos de adoção, certifique-se de visitar novamente o Guia de aceleração de implantação de proteção de informações e prevenção de perda de dados para revisar as recomendações e ajustar sua estratégia.
Fase de adoção
A Microsoft recomenda uma abordagem iterativa em cascata para descobrir e proteger dados confidenciais. Isso permite que você refine sua estratégia e políticas à medida que avança para aumentar a precisão dos resultados. Por exemplo, comece a trabalhar em um esquema de classificação e proteção à medida que descobre e identifica dados confidenciais. Os dados descobertos informam o esquema e o esquema ajuda a melhorar as ferramentas e os métodos usados para descobrir dados confidenciais. Da mesma forma, à medida que você testa e pilota o esquema, os resultados ajudam a melhorar as políticas de proteção criadas anteriormente. Não há necessidade de esperar até que uma fase esteja concluída antes de começar a próxima. Seus resultados são mais eficazes se você iterar ao longo do caminho.
Governar e gerenciar fases
A governança dos dados da sua organização é um processo iterativo. Ao criar cuidadosamente seu esquema de classificação e implementá-lo em todo o seu patrimônio digital, você criou uma base. Use os seguintes exercícios para ajudá-lo a começar a construir seu plano de governança inicial para essa base:
- Estabeleça sua metodologia: estabeleça uma metodologia básica para revisar seu esquema, como ele é aplicado em seu patrimônio digital e o sucesso dos resultados. Decida como você monitorará e avaliará o sucesso do seu protocolo de proteção de informações, incluindo seu estado atual e futuro.
- Estabeleça uma base inicial de governança: comece sua jornada de governança com um pequeno conjunto de ferramentas de governança de fácil implementação. Esta base de governação inicial é denominada produto mínimo viável (MVP).
- Melhore sua base inicial de governança: adicione controles de governança para lidar com riscos tangíveis à medida que você avança em direção ao estado final.
O Microsoft Purview fornece vários recursos para ajudá-lo a controlar seus dados, incluindo:
- Políticas de retenção
- Recursos de retenção e arquivamento de caixas de correio
- Gerenciamento de registros para políticas e agendas de retenção e exclusão mais sofisticadas
Consulte Governar seus dados com o Microsoft Purview. Além disso, o explorador de atividades oferece visibilidade sobre qual conteúdo foi descoberto e rotulado e onde esse conteúdo está. Para aplicativos SaaS, o Microsoft Defender for Cloud Apps fornece relatórios avançados para dados confidenciais que estão entrando e saindo de aplicativos SaaS. Consulte os muitos tutoriais na biblioteca de conteúdo do Microsoft Defender for Cloud Apps.
Passos Seguintes
- Visão geral da estrutura de adoção do Zero Trust
- Modernize rapidamente a sua postura de segurança
- Trabalho remoto e híbrido seguro
- Prevenir ou reduzir os danos comerciais causados por uma violação
- Atender aos requisitos normativos e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários de negócios do Zero Trust, você pode usar os seguintes recursos de controle de progresso.
| Recurso de acompanhamento do progresso | Isso ajuda-o... | Projetado para... |
|---|---|---|
Cenário de adoção Plano Fase Grade arquivo Visio ou PDF baixável 
|
Compreenda facilmente os aprimoramentos de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Rastreador de adoção Zero Trust para download Apresentação de slides do PowerPoint 
|
Acompanhe o seu progresso através das etapas e objetivos da fase Plano. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Objetivos do cenário de negócios e tarefas para download da pasta de trabalho do Excel 
|
Atribua propriedade e acompanhe seu progresso através dos estágios, objetivos e tarefas da fase Plano. | Líderes de projetos de cenário de negócios, líderes de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação Zero Trust e recursos de acompanhamento de progresso.