Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como identificar e proteger ativos comerciais críticos usando princípios Confiança Zero, como parte do Microsoft modelo de adoção de segurança.
Esse cenário de negócios ajuda você a obter o seguinte resultado:
Identificar e proteger ativos comerciais críticos
Como líder de negócios, você deve garantir que os sistemas, os dados e as operações que conduzem sua organização estejam protegidos contra ameaças direcionadas e de alto impacto. Nem todos os ativos têm igual importância, alguns representam o risco concentrado e exigem proteção mais forte e focada.
Um resultado fundamental da proteção de ativos comerciais críticos é proteger o acesso privilegiado que os controla. Identidades privilegiadas e caminhos de acesso representam risco concentrado porque fornecem controle administrativo sobre dados e sistemas críticos. Se comprometidos, eles podem permitir um impacto generalizado em toda a organização.
Esse cenário se concentra em garantir que os ativos críticos sejam protegidos e que o acesso a esses ativos seja fortemente controlado e consistentemente controlado, de modo que apenas o acesso confiável e autorizado seja permitido.
Isso permite que sua organização reduza o risco de ataques de alto impacto, protegendo operações comerciais, receitas e reputação contra interrupções ou comprometimentos.
Como essa orientação funciona
Este artigo faz parte de um modelo de adoção estruturado que conecta a estratégia de segurança à implementação:
Comece com cenários de negócios como este para definir o resultado que você deseja alcançar.
Identifique as disciplinas de segurança que se aplicam a esse cenário.
Use essas disciplinas para definir a estratégia, a arquitetura, os processos e os controles necessários para o cenário. Trabalhe em cada disciplina para entender o que precisa ser planejado, projetado e implementado em toda a organização.
Use soluções técnicas para implementar esses requisitos usando tecnologias Microsoft, aplicando controles em pilares tecnológicos, como identidade e dados.
Essa abordagem garante que os investimentos em segurança estejam focados nos ativos mais importantes para os negócios, enquanto o acesso a esses ativos é regido consistentemente, reduzindo o risco de comprometimento de alto impacto e fortalecendo a resiliência organizacional geral.
Por que a proteção crítica de ativos requer uma nova abordagem
As organizações dependem da disponibilidade, integridade e confidencialidade de seus sistemas de negócios e dados para executar suas operações de negócios, aceitar a receita do cliente, cumprir sua missão e muito mais. Quando atores de ameaças (invasores de segurança cibernética) comprometem as garantias desses ativos de sistema e dados, as organizações enfrentam custos diretos, bem como riscos à vida, segurança, missão, receita, reputação, participação de mercado e muito mais.
Este diagrama ilustra como esses ativos comercialmente críticos devem ser protegidos em um nível maior que outros.
Nem todos os sistemas e dados têm impacto comercial igual. Os ativos comercialmente críticos se enquadram em duas categorias:
- Ativos de alto valor - Ativos de alto valor são sistemas e dados cujo comprometimento pode causar graves danos financeiros ou operacionais, até e incluindo falência ou insolvência. Esses ativos são frequentemente alvo de roubo, extorsão ou destruição.
- Acesso privilegiado – O acesso privilegiado representa risco concentrado: identidades, contas e ferramentas que controlam ativos de alto valor. O comprometimento do acesso privilegiado (por meio de contas de administrador de TI, estações de trabalho e outros sistemas) permite um impacto generalizado e deve ser protegido no mesmo nível ou acima do nível de ativos de alto valor.
Valor comercial
O valor da proteção de ativos críticos beneficia toda a organização, mas difere por função.
| Funções | Valor |
|---|---|
| Liderança empresarial | Proteja os ativos organizacionais mais valiosos que impulsionam a receita, o sucesso da missão e a vantagem competitiva. Minimize o impacto nos negócios contra ataques direcionados a dados e sistemas de alto valor. Verifique se o acesso privilegiado é protegido para impedir o controle não autorizado de ativos críticos. |
| Funções de tecnologia | Concentre os investimentos em segurança nos ativos mais importantes para o negócio. Reduza o raio de explosão de violações protegendo caminhos de acesso privilegiados. Implemente proteções padronizadas para ativos críticos identificados em todo o estado técnico. |
| Direitos de acesso | Priorize os esforços de segurança com base no impacto nos negócios e não na complexidade técnica. Estabeleça uma visibilidade clara dos ativos críticos e dos caminhos de acesso privilegiados. Implemente controles de defesa em profundidade para destinos de alto valor com maior probabilidade de serem atacados. |
Alinhar disciplinas de segurança
As disciplinas de segurança representam as áreas estruturadas de responsabilidade necessárias para entregar esse cenário de negócios.
- As disciplinas de planejamento e supervisão definem a estratégia, a governança e a coordenação entre organizações necessárias.
- As disciplinas de estratégia técnica definem as funcionalidades de arquitetura, operacional e controle necessárias.
- As disciplinas operacionais garantem que os controles de segurança permaneçam eficazes ao longo do tempo por meio do monitoramento, resposta e melhoria contínua. Eles detectam uso indevido, respondem a ameaças e impulsionam melhorias contínuas na postura de segurança.
Disciplinas de planejamento e supervisão
| Discipline | Ação |
|---|---|
| Estratégia, integração e governança | Estabeleça uma estratégia clara, governança, política e processos para orientar as equipes sobre como identificar e priorizar ativos comercialmente críticos e acesso privilegiado. Impulsione uma abordagem de aprendizado contínuo para melhorar continuamente sua capacidade de identificar, proteger, detectar, responder, recuperar e governar ativos comercialmente críticos e acesso privilegiado. Verifique se a governança impulsiona e monitora os processos entre equipes para garantir uma abordagem coordenada entre equipes de segurança, tecnologia e negócios. |
| Arquitetura de segurança de ponta a ponta | Verifique se as arquiteturas de segurança exigem, incluem e priorizam explicitamente a segurança de acesso privilegiado e ativos comercialmente críticos de alto valor. Verifique se os controles técnicos e os recursos são suficientes para reduzir o risco em todo o ciclo de vida de segurança (identificar, proteger, detectar, responder, recuperar e governar). Conduza uma abordagem integrada entre as equipes de tecnologia para priorizar ativos críticos aos negócios e aplicar rapidamente aprendizados para acompanhar a evolução do invasor. |
Disciplinas de estratégia técnica
| Discipline | Ação |
|---|---|
| Acesso e identidades | Implemente o gerenciamento de acesso privilegiado com os princípios de acesso sob demanda e acesso mínimo necessário. Proteger contas administrativas com credenciais resistentes a phishing e monitoramento aprimorado Verifique se os sistemas críticos exigem autenticação forte e imponham acesso de privilégios mínimos. Estabeleça uma visibilidade clara de quem tem acesso privilegiado a ativos críticos. |
| Segurança de infraestrutura | Proteja e monitore de perto a infraestrutura que hospeda dados e aplicativos comerciais críticos. Implemente a segmentação de rede para isolar ativos de alto valor. Implante o registro em log aprimorado e a detecção de anomalias para acesso privilegiado à infraestrutura crítica. Estabeleça linhas de base seguras e gerenciamento de configuração para sistemas críticos. |
| Segurança de desenvolvimento | Priorize o teste de segurança e a modelagem de ameaças para aplicativos que processam ou acessam dados comerciais críticos. Implemente práticas de desenvolvimento seguras e segurança da cadeia de suprimentos para aplicativos críticos aos negócios. Estabeleça controles no nível do aplicativo para proteger dados confidenciais e impedir o acesso não autorizado. |
| Segurança de dados | Classifique e rotule dados comerciais críticos para habilitar os controles de proteção apropriados. Implemente prevenção contra perda de dados, criptografia e controles de acesso de acordo com a criticidade dos dados. 3. Monitore padrões de acesso a dados incomuns e possível exfiltração de informações de alto valor. |
| Segurança de OT e IoT | Identifique sistemas de IoT e OT que são comercialmente críticos ou que podem afetar a segurança física. Implemente a segmentação de rede e o monitoramento aprimorado para esses sistemas. Proteger o acesso privilegiado a plataformas de gerenciamento de tecnologia operacional. |
Disciplinas operacionais
| Discipline | Ação |
|---|---|
| SecOps | Priorize o monitoramento e a resposta para ativos críticos e acesso privilegiado. Implemente a busca e a detecção de ameaças aprimoradas para ataques direcionados a sistemas de alto valor. Estabeleça procedimentos de resposta a incidentes acelerados para violações envolvendo ativos críticos. Use a inteligência contra ameaças para prever ataques a alvos valiosos. |
| Gerenciamento de postura de segurança | Avalie continuamente a postura de segurança de ativos críticos e caminhos de acesso privilegiados. Priorize a correção de vulnerabilidades com base na criticidade do ativo e no impacto nos negócios. Monitore a conformidade com linhas de base de segurança para sistemas de alto valor. Acompanhe e relate o status de segurança dos ativos críticos aos negócios para a liderança. |
Pilares de tecnologia necessários
Os pilares de tecnologia representam os principais recursos de segurança Microsoft que dão suporte a esse cenário de negócios.
| Pilar | Purview | Entra |
|---|---|---|
| Identity | Microsoft Purview integra-se ao Acesso Condicional para impor controles de acesso baseados em identidade em dados confidenciais por meio de rótulos de confidencialidade e políticas de prevenção contra perda de dados. | Microsoft Entra fornece acesso condicional e governança de identidade para garantir que somente usuários e serviços autorizados possam acessar dados confidenciais. |
| Pontos de extremidade | O Microsoft Purview Endpoint DLP estende as políticas de proteção de dados aos endpoints, impedindo transferências não autorizadas de dados e garantindo que informações confidenciais permaneçam protegidas nos dispositivos. | Microsoft Entra impõe controles de acesso baseados em dispositivo, garantindo que apenas dispositivos compatíveis e confiáveis possam acessar dados protegidos. |
| Redes | Microsoft Purview monitora a movimentação de dados entre limites de rede e integra-se às ferramentas de segurança de rede para detectar e impedir a exfiltração de dados. | Microsoft Entra aplica condições de acesso baseado em rede e localização por meio de políticas de Acesso Condicional. |
| Aplicativos | Microsoft Purview aplica rótulos de confidencialidade e políticas DLP em aplicativos Microsoft 365, aplicativos SaaS e compartilhamentos de arquivos locais para garantir uma proteção de dados consistente. | Microsoft Entra controla o acesso a aplicativos usando SSO (logon único), registro de aplicativo e políticas de acesso. |
| Dados | Microsoft Purview fornece os principais recursos de segurança de dados, incluindo rotulagem de confidencialidade, classificação de dados, prevenção contra perda de dados, barreiras de informações e gerenciamento de registros. | O Microsoft Entra aplica decisões de acesso por meio de RBAC, Privileged Identity Management (PIM) e acesso sob demanda para operações sensíveis. |
| Infraestrutura | Microsoft Purview estende a governança e a proteção de dados à infraestrutura de nuvem por meio da integração com serviços Azure, ambientes multinuvem e armazenamentos de dados locais. | Microsoft Entra rege o acesso administrativo aos recursos de nuvem por meio de atribuições de função, revisões de acesso e proteções de função com privilégios. |
| IA | Microsoft Purview fornece recursos de segurança e governança de IA, incluindo o Hub de IA para visibilidade do uso de IA, rótulos de confidencialidade para conteúdo gerado por IA e controles de conformidade para Copilot e outros serviços de IA. | Microsoft Entra protege o acesso aos serviços de IA impondo a verificação de identidade, as políticas de acesso e a governança sobre quem pode acessar e configurar cargas de trabalho de IA. |