Pianificare l'implementazione di Microsoft Purview Data Loss Protection
- 10 minuti
Prevenzione della perdita dei dati Microsoft Purview (DLP) consente alle organizzazioni di mantenere la conformità ai requisiti normativi. Consente inoltre di proteggere i dati sensibili da potenziali violazioni dei dati, indipendentemente dal fatto che archivino i dati in locale, nel cloud o li condividano con fornitori di terze parti.
Per aiutare le organizzazioni a raggiungere questi obiettivi, Microsoft Purview DLP offre una gamma di funzionalità, tra cui:
- Individuazione e classificazione automatizzate dei dati sensibili.
- Monitoraggio e rilevamento continui dei dati sensibili.
- Integrazione con altri servizi Microsoft, ad esempio protezione Microsoft Entra e Microsoft Cloud App Security.
- Creazione di criteri personalizzabili per applicare misure di protezione dei dati.
- Avvisi e report in tempo reale su potenziali violazioni dei dati.
Nota
Azure Active Directory (Azure AD) è ora Microsoft Entra ID. Altre informazioni.
L'implementazione di queste funzionalità richiede un impegno di pianificazione coordinato. Questa unità di formazione è incentrata sul modo in cui le organizzazioni devono pianificare l'implementazione della prevenzione della perdita dei dati di Microsoft Purview.
Più punti di partenza
Ogni organizzazione pianifica e implementa microsoft Purview DLP in modo diverso. Perché? Poiché le esigenze aziendali, gli obiettivi, le risorse e la situazione di ogni organizzazione sono specifici di ogni organizzazione. Tuttavia, esistono elementi comuni a tutte le implementazioni DLP riuscite. Questa unità presenta le procedure consigliate usate dalle organizzazioni nella pianificazione della prevenzione della perdita dei dati.
Molte organizzazioni scelgono di implementare la prevenzione della perdita dei dati per rispettare varie normative governative o di settore. Le organizzazioni implementano anche la prevenzione della perdita di dati per proteggere la proprietà intellettuale. Ma il luogo di partenza e la destinazione finale nel percorso di prevenzione della perdita dei dati variano da un'organizzazione all'altra.
Le organizzazioni possono iniziare i loro percorsi di prevenzione della perdita dei dati in vari modi. Ad esempio:
- Da uno stato attivo della piattaforma, vogliono proteggere le informazioni nei messaggi di Chat e canale di Teams o nei dispositivi Windows.
- Sanno quali informazioni sensibili vogliono dare la priorità alla protezione, come i registri sanitari. Date queste informazioni, possono passare direttamente alla definizione di criteri per proteggerle.
- Potrebbero non sapere quali sono le loro informazioni sensibili, dove si trovano e chi sta facendo cosa con esso. Di conseguenza, iniziano con l'individuazione e la categorizzazione e hanno un approccio più metodico.
- Potrebbero non sapere quali sono le loro informazioni sensibili, dove si trovano o chi sta facendo cosa con esso. Anche senza queste informazioni, possono comunque passare direttamente alla definizione dei criteri. Da lì, usano questi risultati come punto di partenza e quindi affinano i loro criteri da lì.
- Vogliono implementare lo stack di Microsoft Purview Information Protection completo. Di conseguenza, intendono adottare un approccio più lungo e metodico all'implementazione della prevenzione della perdita dei dati.
Questi esempi sono solo alcuni modi in cui i clienti possono affrontare la prevenzione della perdita dei dati. Non importa da dove inizia un'organizzazione. Microsoft Purview DLP è sufficientemente flessibile da supportare vari tipi di percorsi di protezione delle informazioni, dall'inizio a una strategia di prevenzione della perdita dei dati completamente realizzata.
Panoramica del processo di pianificazione della prevenzione della perdita dei dati di Microsoft Purview
Esistono diversi aspetti del processo di pianificazione della prevenzione della perdita dei dati di Microsoft Purview. Le sezioni seguenti esaminano ognuna di queste considerazioni.
Identificare le parti interessate
Quando un'organizzazione implementa i criteri di prevenzione della perdita dei dati, può applicarli in grandi parti dell'azienda. In questo modo, è essenziale che il reparto IT non sviluppi autonomamente un piano di ampio respiro. In caso contrario, si verificano sempre conseguenze negative. Un'organizzazione deve invece identificare gli stakeholder tra i reparti che possono:
- Descrivere le normative, le leggi e gli standard di settore a cui l'organizzazione è soggetta.
- Determinare le categorie di elementi sensibili che richiedono protezione.
- Identificare i processi aziendali che richiedono un criterio DLP.
- Identificare il comportamento rischioso che l'azienda vuole limitare.
- Assegnare priorità ai dati da proteggere prima in base alla sensibilità degli elementi e al rischio coinvolti.
- Delineare ogni processo di verifica e correzione degli eventi di corrispondenza dei criteri DLP.
In generale, queste esigenze tendono a essere l'85% di protezione normativa e conformità e il 15% di protezione della proprietà intellettuale. Ecco alcuni suggerimenti sui ruoli da includere nel processo di pianificazione di un'organizzazione:
- Responsabili delle normative e della conformità
- Chief Risk Officer
- Ufficiali legali
- Responsabili della sicurezza e della conformità
- Proprietari di aziende per gli elementi di dati
- Utenti aziendali
- IT
Descrivere le categorie di informazioni riservate da proteggere
Una volta che un'organizzazione identifica gli stakeholder DLP, deve quindi descrivere:
- Categorie di informazioni riservate da proteggere.
- Processi aziendali che usano i dati trovati in queste categorie.
Ad esempio, la prevenzione della perdita dei dati può definire le categorie seguenti:
- Finanza
- Informazioni mediche e sanitarie
- Privacy
- Personalizzato
Impostare gli obiettivi e creare un piano di implementazione
Una volta che gli stakeholder definiscono quali informazioni sensibili necessitano di protezione e la posizione dei dati:
- Gli stakeholder possono definire gli obiettivi di protezione.
- Il reparto IT può sviluppare un piano di implementazione.
Il piano di implementazione di un'organizzazione deve includere:
- Mapping dello stato iniziale e dello stato finale desiderato e dei passaggi per ottenere da uno all'altro.
- Come risolve l'individuazione di elementi sensibili.
- Pianificazione dei criteri.
- Passaggi necessari per implementare il piano.
- Come vengono soddisfatti i prerequisiti.
- Come testa i criteri prima di passare all'imposizione.
- Come esegue il training degli utenti finali.
- Come testa e ottimizza i criteri.
- Il modo in cui esamina e aggiorna la strategia di prevenzione della perdita dei dati in base alle mutevoli esigenze normative, legali, di settore o di protezione della proprietà intellettuale e alle esigenze aziendali.
Eseguire il mapping del percorso dall'inizio allo stato finale desiderato
Perché è essenziale per un'organizzazione documentare come si passa dallo stato iniziale allo stato finale desiderato? Poiché la documentazione è fondamentale per comunicare con gli stakeholder e impostare l'ambito del progetto.
Il diagramma seguente mostra un set di passaggi che le organizzazioni usano comunemente per distribuire Microsoft Purview DLP. È possibile usare questa struttura per creare un frame del percorso di adozione della prevenzione della perdita dei dati e quindi compilare i dettagli.
Individuazione di elementi sensibili
Esistono diversi modi per scoprire quali sono gli elementi sensibili di un'organizzazione e la relativa posizione. Un'organizzazione potrebbe avere etichette di riservatezza già distribuite. In alternativa, ha deciso di distribuire un ampio criterio DLP in tutte le posizioni che individua e controlla solo gli elementi. Per altre informazioni, vedere Conoscere i dati.
Pianificazione dei criteri
Quando le organizzazioni iniziano l'adozione della prevenzione della perdita dei dati, possono usare le domande seguenti per concentrare le attività di progettazione e implementazione dei criteri.
| Domanda | Risposta | Esempio |
|---|---|---|
| Quali leggi, normative e standard di settore devono essere conformi all'organizzazione? | Poiché molte organizzazioni arrivano alla prevenzione della perdita dei dati con l'obiettivo della conformità alle normative, rispondere a questa domanda è un punto di partenza naturale per pianificare l'implementazione della prevenzione della perdita dei dati. Tuttavia, come implementatore IT, probabilmente non è possibile rispondere. Al contrario, il team legale e i dirigenti aziendali devono fornire la risposta. | L'organizzazione è soggetta alle normative finanziarie del Regno Unito. |
| Quali elementi sensibili l'organizzazione vuole proteggere dalla perdita? | Una volta che un'organizzazione sa dove si trova in termini di esigenze di conformità alle normative, può determinare: - Elementi sensibili da proteggere dalla perdita. - Come vuole assegnare priorità all'implementazione dei criteri per proteggerli. Queste informazioni consentono di scegliere i modelli di criteri DLP più appropriati. Microsoft Purview include modelli DLP preconfigurati per Financial, Medical and Health e Privacy. Un'organizzazione può anche creare un proprio modello usando la funzionalità Modello personalizzato. Quando un'organizzazione progetta e crea i propri criteri DLP effettivi, conoscere la risposta a questa domanda consente anche di scegliere il tipo di informazioni sensibili corretto. |
Per iniziare rapidamente, si sceglie il modello di criteri per i dati finanziari nel Regno Unito. Questo modello include il numero di carta di credito, il numero di carta di debito DELL'UE e i tipi di informazioni sensibili al codice SWIFT. |
| Dove sono gli elementi sensibili e quali processi aziendali li usano? | Un'organizzazione usa elementi che contengono informazioni riservate ogni giorno durante l'attività aziendale. Un'organizzazione deve sapere dove archivia le istanze di tali informazioni riservate. Deve anche sapere quali processi aziendali usano questi dati. Conoscere queste informazioni consente all'organizzazione di scegliere le posizioni corrette in cui applicare i criteri di prevenzione della perdita dei dati. È possibile applicare i criteri DLP alle posizioni seguenti: - Posta elettronica di Exchange - Siti di SharePoint - Account di OneDrive - Messaggi di chat e canali di Teams - Windows 10 e 11 dispositivi - Microsoft Defender for Cloud Apps - Repository locali |
I revisori interni delle organizzazioni monitorano un set di numeri di carta di credito. Mantengono un foglio di calcolo in un sito di SharePoint sicuro. Molti dipendenti fanno copie e le salvano nel loro lavoro OneDrive for Business sito. Sincronizzano questo sito con i dispositivi Windows 10 e 11. Uno di essi incolla un elenco di 14 numeri di carta di credito in un messaggio di posta elettronica e prova a inviarlo ai revisori esterni per la revisione. Si vuole applicare i criteri al sito di SharePoint sicuro, a tutti gli account OneDrive for Business dei revisori interni, ai Windows 10 e agli 11 dispositivi e alla posta elettronica di Exchange. |
| Qual è la tolleranza dell'organizzazione per la perdita? | Gruppi diversi nell'organizzazione possono avere visualizzazioni diverse sul livello accettabile di perdita di elementi sensibili e su ciò che non lo è. Raggiungere la perfezione della perdita zero può avere un costo troppo elevato per l'azienda. | Il gruppo di sicurezza delle organizzazioni, insieme al team legale, ritiene che non ci debba essere alcuna condivisione dei numeri di carta di credito con nessuno all'esterno dell'organizzazione. Insiste sulla perdita di zero. Tuttavia, nell'ambito della revisione regolare dell'attività relativa ai numeri di carta di credito, i revisori interni devono condividere alcuni numeri di carta di credito con revisori di terze parti. Se i criteri di prevenzione della perdita dei dati proibiscono la condivisione di tutti i numeri di carta di credito all'esterno dell'organizzazione, ne consegue un'interruzione significativa del processo aziendale. L'organizzazione deve inoltre sostenere un costo aggiuntivo per attenuare l'interruzione in modo che i revisori interni possano completare il monitoraggio. Tuttavia, questo costo aggiuntivo è inaccettabile per la leadership esecutiva. Per risolvere questa situazione, deve essere presente una conversazione interna per determinare un livello accettabile di perdita. Una volta che un'organizzazione accetta tale livello, i criteri possono fornire eccezioni per determinati utenti per condividere le informazioni. In alternativa, l'organizzazione può applicarla solo in modalità di controllo. |
Pianificazione dei prerequisiti
Prima che un'organizzazione possa monitorare le posizioni DLP, deve prima soddisfare i prerequisiti della prevenzione della perdita dei dati. Per altre informazioni, vedere la sezione Prima di iniziare negli articoli seguenti:
- Introduzione allo scanner locale per la prevenzione della perdita dei dati.
- Introduzione alla prevenzione della perdita di dati degli endpoint.
- Introduzione all'estensione di conformità Microsoft.
- Usare i criteri di prevenzione della perdita dei dati per le app cloud non Microsoft.
Distribuzione dei criteri
Quando un'organizzazione crea i propri criteri di prevenzione della perdita dei dati, è consigliabile distribuirli gradualmente per valutarne l'effetto. Dovrebbe anche testarne l'efficacia prima di applicarle completamente. Ad esempio, un'organizzazione non vuole che un nuovo criterio DLP blocchi involontariamente l'accesso a migliaia di documenti o interrompa un processo aziendale esistente.
Alcune organizzazioni creano criteri di prevenzione della perdita dei dati che possono influire in modo significativo sui processi aziendali. In queste situazioni, Microsoft consiglia alle organizzazioni di seguire questa sequenza:
Iniziare in modalità test senza suggerimenti per i criteri. In questo modo, l'organizzazione può valutare l'effetto usando i report DLP e i report sugli eventi imprevisti. Può usare i report DLP per visualizzare il numero, la posizione, il tipo e la gravità delle corrispondenze dei criteri. In base ai risultati, può ottimizzare i criteri in base alle esigenze. In modalità test. I criteri di prevenzione della perdita dei dati non influiscono sulla produttività delle persone che lavorano nell'organizzazione. Questa fase dovrebbe anche testare il flusso di lavoro dell'organizzazione per la revisione degli eventi DLP e la correzione dei problemi.
Passare alla modalità test con notifiche e suggerimenti per i criteri. In questo modo, un'organizzazione può iniziare a insegnare agli utenti i criteri di conformità. Li prepara anche per i criteri che verranno applicati. È utile avere un collegamento a una pagina dei criteri dell'organizzazione che fornisce altri dettagli sui criteri nel suggerimento per i criteri. In questa fase, l'organizzazione può anche chiedere agli utenti di segnalare falsi positivi in modo che possa perfezionare ulteriormente i criteri. Un'organizzazione deve passare a questa fase quando ha la certezza che i risultati dell'applicazione dei criteri corrispondano a quanto previsto dagli stakeholder.
Avviare l'applicazione completa dei criteri. In questo modo, il sistema applica le azioni nelle regole per proteggere il contenuto. Continuare a monitorare i report DLP e tutti i report o le notifiche degli eventi imprevisti. In questo caso, assicurarsi di visualizzare i risultati previsti.
Un'organizzazione può disattivare un criterio DLP in qualsiasi momento, che influisce su tutte le regole nei criteri. Tuttavia, è possibile disattivare ogni regola singolarmente attivandone lo stato nell'editor delle regole.
Un'organizzazione può anche modificare la priorità di più regole in un criterio. Per farlo, aprire un criterio per modificarlo. Nella riga di una regola selezionare la freccia su o giù appropriata per riorganizzare l'ordine delle regole.
Formazione per gli utenti finali
Un'organizzazione può configurare i criteri di prevenzione della perdita dei dati per inviare notifiche tramite posta elettronica e mostrare suggerimenti per i criteri di prevenzione della perdita dei dati agli amministratori e agli utenti finali. I criteri possono inviare notifiche e visualizzare suggerimenti sui criteri quando un'attività utente attiva un criterio DLP. I suggerimenti per i criteri sono modi utili per aumentare la consapevolezza dei comportamenti rischiosi sugli elementi sensibili e formare gli utenti per evitare tali comportamenti in futuro. Questa progettazione è particolarmente valida quando i criteri di un'organizzazione sono ancora in modalità di test e prima di applicare azioni di blocco.
Esaminare i requisiti di prevenzione della perdita dei dati e la strategia di aggiornamento
Le normative, le leggi e gli standard di settore che un'organizzazione è soggetta a modifiche nel tempo. Anche gli obiettivi aziendali di un'organizzazione per la prevenzione della perdita dei dati possono cambiare. Un'organizzazione deve includere revisioni regolari di tutte queste aree in modo che rimanga conforme e l'implementazione della prevenzione della perdita dei dati continui a soddisfare le proprie esigenze aziendali.
Approcci alla distribuzione
La tabella seguente identifica gli scenari di esempio per tre società fittizie. Gli scenari descrivono le esigenze aziendali per ogni azienda. Queste esigenze aziendali sono requisiti reali tratti da implementazioni reali. Per ogni azienda, la tabella identifica anche l'approccio che deve prendere in considerazione quando si implementa la prevenzione della perdita dei dati per soddisfare le proprie esigenze aziendali.
| Descrizione delle esigenze aziendali del cliente | Approccio di implementazione DLP |
|---|---|
|
Woodgrove Bank è in un settore altamente regolamentato e ha molti tipi diversi di articoli sensibili in molte posizioni diverse. La società: - Sa quali tipi di informazioni riservate sono prioritari. - Deve ridurre al minimo le interruzioni aziendali durante l'esecuzione dei criteri. - Dispone di risorse IT e può assumere esperti per pianificare, progettare e distribuire. - Ha un contratto di supporto premier con Microsoft. |
- Prenditi il tempo necessario per capire quali normative devono essere conformi e come sarà conforme. -Prendere il tempo necessario per comprendere il valore migliore dello stack di Microsoft Purview Information Protection. - Sviluppare uno schema di etichettatura di riservatezza per gli elementi con priorità e applicarli. - Coinvolgere i proprietari dei processi aziendali. - Progettare/codificare i criteri, distribuire in modalità test ed eseguire il training degli utenti. -Ripetere. |
| Lucerne Publishing non sa cosa ha o dove si trova. Ha anche poca o nessuna profondità delle risorse. Usa ampiamente Teams, OneDrive for Business ed Exchange. | - Iniziare con criteri semplici nelle posizioni con priorità. - Monitorare ciò che viene identificato. - Applicare le etichette di riservatezza di conseguenza. - Perfezionare i criteri e formare gli utenti. |
|
Fabrikam è un avvio di piccole dimensioni. Vuole proteggere la sua proprietà intellettuale, ma deve muoversi rapidamente. È disposto a dedicare alcune risorse all'implementazione della prevenzione della perdita dei dati, ma non può permettersi di assumere esperti esterni. Fabrikam sta attualmente riscontrando i problemi seguenti: - Gli elementi sensibili sono tutti in Microsoft 365 OneDrive for Business/SharePoint. - L'adozione di OneDrive for Business e SharePoint è lenta, i dipendenti/shadow IT usano e DropBox e Google drive per condividere/archiviare gli elementi. - I dipendenti apprezzano la velocità di lavoro rispetto alla disciplina di protezione dei dati. - Ha splurged e comprato tutti i 18 dipendenti nuovi dispositivi Windows 11. |
- Sfruttare i vantaggi dei criteri DLP predefiniti in Microsoft Teams. - Usare l'impostazione Con restrizioni per impostazione predefinita per gli elementi di SharePoint. - Distribuire criteri che impediscono la condivisione esterna. - Distribuire i criteri in posizioni con priorità. - Distribuire i criteri ai dispositivi Windows 11. - Blocca i caricamenti nell'archiviazione cloud non OneDrive for Business. |
Verifica delle conoscenze
Scegliere la risposta migliore per ognuna di queste domande.