Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Como parte da orientação de adoção do Confiança Zero, este artigo descreve o cenário empresarial de proteção dos seus ativos de dados mais críticos. Este cenário se concentra em como identificar e proteger dados corporativos confidenciais.
A transformação digital levou as organizações a lidar com volumes crescentes de dados. No entanto, colaboradores externos, como parceiros, fornecedores e clientes, acessam grande parte desses dados compartilhados fora da rede corporativa. Essa mudança criou um cenário de dados complexo, especialmente quando você considera a proliferação de forças de trabalho híbridas e migrações para a nuvem, ameaças cibernéticas crescentes, segurança em evolução e requisitos regulatórios em mudança sobre como os dados são governados e protegidos.
Com modelos de trabalho híbridos, os ativos e dados corporativos estão em movimento. Sua organização precisa controlar onde quer que os dados sejam armazenados e transferidos em dispositivos, dentro de aplicativos e com parceiros. Para a segurança moderna, no entanto, você não pode mais confiar nos controles tradicionais de proteção de rede.
| Proteção de dados tradicional com controles de rede | Proteção moderna de dados com Confiança Zero |
|---|---|
| Nas redes tradicionais, o controle de perímetro de rede controla o acesso a dados críticos, não a sensibilidade aos dados. Normalmente, você aplica rótulos em dados confidenciais manualmente, o que pode resultar em classificação de dados inconsistente. | Um modelo Confiança Zero aplica autenticação forte a pedidos de acesso a dados, utilizando políticas para verificar todas as identidades e garantindo que as identidades tenham acesso a aplicações e dados. Um modelo Confiança Zero envolve a identificação de dados sensíveis e a aplicação de classificação e proteção, incluindo prevenção de perda de dados (DLP). Confiança Zero inclui defesas que protegem os seus dados mesmo depois de saírem do seu ambiente controlado. Também inclui proteção adaptativa para reduzir o risco interno. Para além destas proteções, o Confiança Zero inclui monitorização contínua e proteção contra ameaças para prevenir e limitar o alcance de uma violação de dados. |
O diagrama seguinte ilustra a transição da proteção tradicional com controlos de rede à esquerda (de localizações limitadas conhecidas) para a proteção moderna com Confiança Zero à direita (para locais desconhecidos), onde a proteção é aplicada independentemente de onde os utilizadores e dispositivos estejam localizados.
As orientações neste artigo explicam como começar e progredir na sua estratégia de identificação e proteção de dados confidenciais. Se sua organização estiver sujeita a regulamentações que protegem dados, use o artigo Atender aos requisitos regulatórios e de conformidade desta série para saber como aplicar o que você aprendeu neste artigo à proteção de dados regulamentados.
Como os líderes empresariais pensam sobre a proteção de dados confidenciais
Antes de iniciar qualquer trabalho técnico, é importante entender as diferentes motivações para investir na proteção de dados de negócios, pois elas ajudam a informar a estratégia, os objetivos e as medidas para o sucesso.
A tabela seguinte apresenta razões pelas quais os líderes empresariais de uma organização devem investir na proteção de dados baseada em Confiança Zero.
| Funções | Por que proteger dados confidenciais é importante |
|---|---|
| Diretor Executivo (CEO) | A propriedade intelectual é a espinha dorsal dos modelos de negócios de muitas organizações. Evitar que ele vaze, permitindo a colaboração perfeita com partes autorizadas, é essencial para o negócio. Em organizações que lidam com informações de identificação pessoal (PII) dos clientes, o risco de vazamento pode resultar não apenas em penalidades financeiras, mas também prejudicar a reputação da empresa. Finalmente, conversas comerciais sensíveis (como fusões e aquisições, reestruturação de negócios, estratégia e assuntos legais) podem prejudicar seriamente uma organização se vazadas. |
| Diretor de Marketing (CMO) | O planejamento de produtos, as mensagens, a marca e os próximos anúncios de produtos devem ser lançados no momento certo e da maneira certa para maximizar o impacto. Vazamentos intempestivos podem reduzir os retornos dos investimentos e alertar os concorrentes sobre planos iminentes. |
| Diretor de Informação (CIO) | Enquanto as abordagens tradicionais para proteger as informações dependiam da limitação do acesso a elas, a proteção adequada de dados confidenciais usando tecnologias modernas permite uma colaboração mais flexível com partes externas, conforme necessário, sem aumentar o risco. Seus departamentos de TI podem cumprir seu mandato para garantir a produtividade e, ao mesmo tempo, minimizar os riscos. |
| Diretor de Segurança da Informação (CISO) | Como função principal dessa função, proteger dados corporativos confidenciais é parte integrante da segurança da informação. Esse resultado afeta diretamente a estratégia de segurança cibernética maior da organização. A tecnologia e as ferramentas de segurança avançadas fornecem a capacidade de monitorar dados e evitar vazamentos e perdas. |
| Diretor de Tecnologia (CTO) | A propriedade intelectual pode diferenciar um negócio bem-sucedido de um falido. Proteger esses dados contra compartilhamento excessivo, acesso não autorizado e roubo é fundamental para garantir o crescimento futuro da organização. |
| Diretor de Operações (COO) | Dados operacionais, procedimentos e planos de produção são uma vantagem estratégica fundamental para uma organização. Esses planos também podem revelar vulnerabilidades estratégicas que podem ser exploradas pelos concorrentes. Proteger esses dados contra roubo, compartilhamento excessivo e uso indevido é fundamental para o sucesso contínuo do negócio. |
| Diretor Financeiro (CFO) | As empresas de capital aberto têm o dever de proteger dados financeiros específicos antes que eles sejam tornados públicos. Outros dados financeiros podem revelar planos e pontos fortes ou fracos estratégicos. Todos esses dados devem ser protegidos para garantir a conformidade com as regulamentações existentes e manter as vantagens estratégicas. |
| Diretor de Conformidade (CCO) | Regulamentações em todo o mundo exigem a proteção de PII de clientes ou funcionários e outros dados confidenciais. O CCO é responsável por garantir que a organização cumpra tais regulamentos. Uma estratégia abrangente de proteção da informação é fundamental para alcançar esse objetivo. |
| Diretor de Privacidade (CPO) | Um CPO é normalmente responsável por garantir a proteção de dados pessoais. Em organizações que lidam com grandes quantidades de dados pessoais de clientes e organizações que operam em regiões com regulamentos de privacidade rigorosos, a falha na proteção de dados confidenciais pode resultar em multas pesadas. Essas organizações também correm o risco de perder a confiança do cliente como consequência. Os CPOs também devem evitar que os dados pessoais sejam usados indevidamente de maneiras que violem acordos ou leis do cliente, o que pode incluir o compartilhamento indevido dos dados dentro da organização e com parceiros. |
O ciclo de adoção para proteger dados críticos de negócios
Este artigo percorre este cenário de negócio utilizando as mesmas fases do ciclo de vida do Cloud Adoption Framework para Azure — Definir estratégia, Planear, Preparar, Adotar, Governar e gerir — mas adaptado para Confiança Zero.
Diagrama do processo de adoção de um objetivo ou de um conjunto de objetivos.
A tabela a seguir é uma versão acessível da ilustração.
| Definir estratégia | Plano | Pronto | Adotar | Governar e gerir |
|---|---|---|---|---|
| Resultados Alinhamento organizacional Objetivos estratégicos |
Equipa de stakeholders Planos técnicos Prontidão de Competências |
Avaliar Teste Piloto |
Implemente incrementalmente em todo o seu patrimônio digital | Rastrear e medir Monitorar e detetar Iterar para a maturidade |
Leia mais sobre o ciclo de adoção do Confiança Zero na visão geral do framework de adoção Confiança Zero.
Definir a fase da estratégia
Diagrama do processo de adoção para um único objetivo ou um conjunto de objetivos com a fase Definir estratégia realçada.
A fase Definir estratégia é fundamental para definir e formalizar os nossos esforços – formaliza o "Porquê?" deste cenário. Nesta fase, você entende o cenário através de perspetivas de negócios, TI, operacionais e estratégicas. Você define os resultados em relação aos quais medir o sucesso no cenário, entendendo que a segurança é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados que são relevantes para muitas organizações. Use estas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Motivações em matéria de proteção de dados
As motivações para identificar e proteger dados corporativos confidenciais são simples, mas diferentes partes da sua organização têm incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações.
| Área | Motivações |
|---|---|
| Necessidades do negócio | Proteger dados empresariais sensíveis, especialmente quando partilhados com parceiros. |
| Necessidades de TI | Um esquema de classificação de dados padronizado que pode ser aplicado de forma consistente em todo o patrimônio digital. |
| Necessidades operacionais | Implementar a proteção de dados de forma consistente e padrão, usando automação sempre que possível. |
| Necessidades estratégicas | Reduza os danos que um insider pode causar (intencionalmente ou não) ou por um agente mal-intencionado que obtém acesso ao meio ambiente. |
Observe que atender aos requisitos regulatórios pode ser a principal motivação para algumas organizações. Se isso for verdade para você, vá em frente e adicione isso à estratégia da sua organização e use esse cenário de negócios junto com o artigo Atender aos requisitos regulatórios e de conformidade desta série.
Resultados da proteção de dados
Aplicar o objetivo geral do Confiança Zero de "nunca confiar, verificar sempre" aos seus dados acrescenta uma camada significativa de proteção ao seu ambiente. É importante ser claro sobre os resultados que você espera alcançar para que você possa encontrar o equilíbrio certo de proteção e usabilidade para todas as equipes envolvidas, incluindo seus usuários. A tabela a seguir fornece objetivos e resultados sugeridos.
| Objetivo | Resultado |
|---|---|
| Produtividade | Os usuários podem colaborar facilmente na criação de dados corporativos ou executar suas funções de trabalho usando dados corporativos. |
| Acesso seguro | O acesso aos dados e às aplicações é assegurado ao nível adequado. Dados altamente confidenciais exigem salvaguardas mais rigorosas, mas essas proteções não devem sobrecarregar os usuários que devem contribuir ou usar esses dados. Os dados corporativos confidenciais são limitados àqueles que precisam usá-los e você implementou controles para limitar ou desencorajar os usuários de compartilhar ou replicar esses dados fora do grupo de uso pretendido. |
| Suporte a usuários finais | Os controlos para a segurança dos dados foram integrados na arquitetura global do Confiança Zero. Estes controlos incluem login único, autenticação multifator (MFA) e Microsoft Entra Conditional Access, para que os utilizadores não sejam continuamente desafiados com pedidos de autenticação e autorização. Os usuários recebem treinamento sobre como classificar e compartilhar dados de forma segura. Os usuários podem assumir o controle de seus dados importantes, permitindo que revoguem o acesso em caso de necessidade, ou rastreiem o uso das informações depois que elas forem compartilhadas. As políticas de proteção de dados são automatizadas sempre que possível para diminuir a carga sobre os usuários. |
| Aumente a segurança | A adição de proteção de dados em todo o patrimônio digital protege esses ativos críticos de negócios e ajuda a reduzir os danos potenciais de uma violação de dados. As proteções de dados incluem salvaguardas para proteção contra violações de dados intencionais, não intencionais ou negligentes por funcionários e parceiros atuais ou antigos. |
| Capacite a TI | Sua equipe de TI está capacitada com uma compreensão clara do que se qualifica como dados comerciais confidenciais. Eles têm um esquema bem fundamentado para se alinhar com as ferramentas e capacidades tecnológicas necessárias para implementar os planos e monitorizar o estado e o sucesso. |
Fase de planeamento
Diagrama do processo de adoção de um único objetivo ou de um conjunto de objetivos com a fase do Plano realçada.
Os planos de adoção convertem os princípios da estratégia Confiança Zero num plano prático. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los com a estratégia de negócios da sua organização.
As motivações e resultados que você define, juntamente com seus líderes de negócios e equipes, apoiam o "Por quê?" para a sua organização e torne-se a Estrela Polar para a sua estratégia. Em seguida, vem o planejamento técnico para atingir os objetivos.
A adoção técnica para identificar e proteger dados comerciais confidenciais envolve:
- Descobrir e identificar dados confidenciais em todo o seu patrimônio digital.
- Curadoria de um esquema de classificação e proteção, incluindo DLP.
- Implementar o esquema em todo o seu espaço digital, começando pelos dados no Microsoft 365 e estendendo a proteção a todas as aplicações SaaS, à sua infraestrutura cloud e aos dados em repositórios locais. As aplicações SaaS são aplicações que estão fora da sua subscrição Microsoft 365, mas que estão integradas com o seu inquilino Microsoft Entra.
Proteger seus dados corporativos confidenciais também envolve algumas atividades relacionadas, incluindo:
- Encriptação da comunicação de rede.
- Gerenciar o acesso externo a equipes e projetos onde dados confidenciais são compartilhados.
- Configurar e usar equipas dedicadas e isoladas no Microsoft Teams para projetos que incluam dados empresariais altamente sensíveis, o que deverá ser raro. A maioria das organizações não exige esse nível de segurança e isolamento de dados.
Muitas organizações podem adotar uma abordagem de quatro estágios para esses objetivos de implantação, resumidos na tabela a seguir.
| Estágio 1 | Estágio 2 | Estágio 3 | Estágio 4 |
|---|---|---|---|
| Descobrir e identificar dados comerciais confidenciais Descubra aplicativos SaaS não sancionados Criptografar comunicação de rede |
Desenvolver e testar um esquema de classificação Aplique etiquetas aos dados em todo o Microsoft 365 Introduzir políticas básicas de DLP Configure um Microsoft Teams seguro para partilhar dados interna e externamente com parceiros empresariais |
Adicionar proteção a etiquetas específicas (encriptação e outras definições de proteção) Introduzir etiquetagem automática e recomendada nas aplicações e serviços do Office Estender as políticas DLP entre os serviços Microsoft 365 Implementar as principais políticas de gestão de riscos internos |
Estenda rótulos e proteção a dados em aplicativos SaaS, incluindo DLP Estenda a classificação automatizada a todos os serviços Estenda os rótulos e a proteção aos dados em repouso em repositórios locais Proteja os dados da organização em sua infraestrutura de nuvem |
Se essa abordagem em estágios funcionar para sua organização, você poderá usar:
Este conjunto de slides do PowerPoint descarregável é usado para apresentar e acompanhar o seu progresso nestas fases e objetivos para líderes empresariais e outras partes interessadas. Aqui está o slide para este cenário de negócios.
Esta pasta de trabalho do Excel destina-se a designar proprietários e acompanhar o progresso para esses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
A planilha de acompanhamento de progresso para identificar e proteger a implantação de dados corporativos confidenciais.
Compreender a sua organização
Essa abordagem em estágios recomendada para implementação técnica pode ajudar a contextualizar o exercício de compreensão da sua organização. As necessidades de cada organização para proteger dados corporativos confidenciais e a composição e o volume de dados são diferentes.
Um passo fundamental no ciclo de adoção do Confiança Zero para qualquer cenário de negócio inclui fazer um inventário. Para esse cenário de negócios, você faz um inventário dos dados da sua organização.
Aplicam-se as seguintes ações:
Inventarie os seus dados.
Primeiro, faça um balanço de onde residem todos os seus dados, o que pode ser tão simples quanto listar os aplicativos e repositórios com seus dados. Depois que tecnologias como rotulagem de sensibilidade forem implantadas, você poderá descobrir outros locais onde dados confidenciais estão sendo armazenados. Esses locais às vezes são chamados de TI escura ou cinza.
Também é útil estimar a quantidade de dados que você planeja inventariar (o volume). Durante todo o processo técnico recomendado, você usa o conjunto de ferramentas para descobrir e identificar dados corporativos. Você aprenderá que tipos de dados você tem e onde esses dados residem em serviços e aplicativos de nuvem, permitindo que você correlacione a sensibilidade dos dados com o nível de exposição dos locais em que eles estão presentes.
Por exemplo, o Microsoft Defender for Cloud Apps ajuda-o a identificar aplicações SaaS que talvez não conhecesse. O trabalho de descobrir onde seus dados confidenciais residem começa no Estágio 1 da implementação técnica e se estende em cascata por todos os quatro estágios.
Documente as metas e planeje a adoção incremental com base nas prioridades.
As quatro etapas recomendadas representam um plano de adoção incremental. Ajuste este plano com base nas prioridades da sua organização e na composição do seu património digital. Certifique-se de ter em conta quaisquer marcos do calendário ou obrigações para a conclusão deste trabalho.
Inventarie todos os conjuntos de dados ou projetos dedicados que exijam proteção compartimentada (por exemplo, projetos tendas ou especiais).
Nem todas as organizações necessitam de proteção compartimentada.
Planeamento e alinhamento organizacional
O trabalho técnico de proteção de dados corporativos confidenciais cruza várias áreas e funções sobrepostas:
- Dados
- Aplicações
- Pontos finais
- Rede
- Identidades
Esta tabela resume as funções recomendadas ao criar um programa de patrocínio e uma hierarquia de gerenciamento de projetos para determinar e gerar resultados.
| Líderes de programa e proprietários técnicos | Prestação de contas |
|---|---|
| CISO, CIO ou Diretor de Segurança de Dados | Patrocínio executivo |
| Líder do programa de Segurança de Dados | Impulsione resultados e colaboração entre equipes |
| Arquiteto de Segurança | Aconselhar sobre configuração e padrões, especialmente em relação à criptografia, gerenciamento de chaves e outras tecnologias fundamentais |
| Responsáveis pela conformidade | Mapear requisitos de conformidade e riscos para controles específicos e tecnologias disponíveis |
| Administradores do Microsoft 365 | Implemente alterações ao seu tenant Microsoft 365 para OneDrive e Pastas Protegidas |
| Proprietários de Aplicações | Identifique ativos críticos de negócios e garanta a compatibilidade dos aplicativos com dados rotulados, protegidos e criptografados |
| Administrador de Segurança de Dados | Implementar alterações de configuração |
| Administrador de TI | Atualizar normas e documentos políticos |
| Governança de Segurança e/ou Administração de TI | Monitorar para garantir a conformidade |
| Equipa de Formação de Utilizadores | Garantir que as diretrizes para os usuários reflitam as atualizações da política e forneçam informações sobre a aceitação do usuário da taxonomia de rotulagem |
O PowerPoint conjunto de recursos para este conteúdo de adoção inclui o seguinte slide com uma vista das partes interessadas que pode personalizar para a sua própria organização.
O slide PowerPoint para identificar as principais partes interessadas para a sua implementação de identificação e proteção de dados empresariais sensíveis.
Planeamento técnico e prontidão de competências
Antes de iniciar o trabalho técnico, a Microsoft recomenda conhecer os recursos, como eles funcionam juntos e as práticas recomendadas para abordar esse trabalho. A tabela a seguir inclui vários recursos para ajudar suas equipes a ganhar habilidades.
| Recurso | Descrição |
|---|---|
| Implementar uma solução de proteção de informação com Microsoft Purview | Aprenda as práticas recomendadas das equipes do Microsoft Customer Engagement. Esta orientação leva as organizações à maturidade por meio de um modelo de rastejar, caminhar e correr, que se alinha com as etapas recomendadas nesta orientação para adoção. |
| Lista de verificação RaMP: Proteção de dados Miniatura do conjunto de documentação do Plano de Modernização Rápida. |
Outro recurso para listar e priorizar o trabalho recomendado, incluindo as partes interessadas. |
| Introdução à Microsoft Purview Prevenção da Perda de Dados (iniciante) | Neste recurso, aprende sobre DLP em Microsoft Purview Information Protection. |
Learn module-Ícone para a Introdução à proteção da informação e gestão do ciclo de vida de dados no módulo Microsoft Learn do Microsoft Purview. (Intermédio) |
Saiba como as soluções de proteção da informação e gestão do ciclo de vida dos dados do Microsoft 365 o ajudam a proteger e governar os seus dados, ao longo do seu ciclo de vida – onde quer que vivam e viajem. |
Certificações-Ícone da certificação Microsoft Certified: Information Protection Administrator Associate |
Percursos de aprendizagem recomendados para se tornar um Certified Information Protection Administrator Associate. |
Estágio 1
Os objetivos de implantação do Estágio 1 incluem o processo de inventário de seus dados. Isso inclui identificar aplicativos SaaS não autorizados que sua organização usa para armazenar, processar e compartilhar dados. Você pode trazer esses aplicativos não autorizados para seu processo de gerenciamento de aplicativos e aplicar proteções, ou pode impedir que seus dados corporativos sejam usados com esses aplicativos.
Descobrir e identificar dados comerciais confidenciais
A partir do Microsoft 365, algumas das principais ferramentas que utiliza para identificar informações sensíveis que precisam de ser protegidas são os tipos de informação sensível (SITs) e outros classificadores, incluindo classificadores treináveis e impressões digitais. Esses identificadores ajudam a encontrar tipos de dados confidenciais comuns, como números de cartão de crédito ou números de identificação governamental, e a identificar documentos e e-mails confidenciais usando aprendizado de máquina e outros métodos. Você também pode criar SITs personalizados para identificar dados exclusivos do seu ambiente, incluindo o uso de correspondência de dados exata para diferenciar dados pertencentes a pessoas específicas, por exemplo, PII do cliente, que precisam de proteção especial.
Quando os dados são adicionados ao seu ambiente Microsoft 365 ou modificados, são automaticamente analisados para conteúdos sensíveis usando quaisquer SITs atualmente definidos no seu tenant.
Pode usar o explorador de conteúdos no portal Microsoft Purview para ver quaisquer ocorrências de dados sensíveis detetados no ambiente. Os resultados permitem que você saiba se precisa personalizar ou ajustar os SITs para seu ambiente para maior precisão. Os resultados também lhe dão uma primeira imagem do seu stock de dados e do seu estado de proteção de informações. Por exemplo, se estiveres a receber muitos falsos positivos para um SIT ou não encontrares dados conhecidos, poderás criar cópias personalizadas dos SITs padrão e modificá-los para que funcionem melhor para o teu ambiente. Você também pode refiná-los usando a correspondência exata de dados.
Além disso, você pode usar classificadores treináveis integrados para identificar documentos que pertencem a determinadas categorias, como contratos ou documentos de frete. Se tiver classes específicas de documentos que sabe que tem de identificar e potencialmente proteger, pode usar exemplos no portal Microsoft Purview para treinar os seus próprios classificadores. Esses exemplos podem ser usados para descobrir a presença de outros documentos com padrões semelhantes de conteúdo.
Além do explorador de conteúdo, as organizações têm acesso ao recurso de pesquisa de conteúdo para produzir pesquisas personalizadas para dados no ambiente, incluindo o uso de critérios de pesquisa avançados e filtros personalizados.
A tabela a seguir lista recursos para descobrir dados corporativos confidenciais.
| Recurso | Descrição |
|---|---|
| Implementar uma solução de proteção de informação usando Microsoft 365 Purview | Apresenta uma estrutura, um processo e os recursos que você pode usar para atingir seus objetivos de negócios específicos para a proteção das informações. |
| Tipos de informações confidenciais | Comece aqui para começar com os tipos de informações confidenciais. Esta biblioteca inclui muitos artigos para experimentar e otimizar SITs. |
| Explorador de conteúdos | Analise o seu ambiente Microsoft 365 à procura da ocorrência de SITs e veja os resultados na ferramenta de explorador de conteúdos. |
| Classificadores treináveis | Os classificadores treináveis permitem trazer amostras do tipo de conteúdo que pretende identificar (inicialização) e depois permite que o motor de aprendizagem automática aprenda a identificar mais desses dados. Você participa do treinamento do classificador validando os resultados até que a precisão seja melhorada. |
| Correspondência exata de dados | A correspondência exata de dados permite que você encontre dados confidenciais que correspondam aos registros existentes, por exemplo, as PII de seus clientes registradas em seus aplicativos de linha de negócios, o que permite direcionar esses dados com precisão com políticas de proteção de informações, eliminando virtualmente os falsos positivos. |
| Pesquisa de conteúdo | Use a pesquisa de conteúdo para pesquisas avançadas, incluindo filtros personalizados. Você pode usar palavras-chave e operadores de pesquisa booleana. Você também pode criar consultas de pesquisa usando a linguagem de consulta de palavra-chave (KQL). |
| Lista de verificação RaMP: Proteção de dados: conheça os seus dados | Um checklist das etapas de implementação com responsáveis pelas etapas e links para a documentação. |
Descubra aplicativos SaaS não sancionados
Sua organização provavelmente assina muitos aplicativos SaaS, como o Salesforce ou aplicativos específicos do seu setor. Os aplicativos SaaS que você conhece e gerencia são considerados sancionados. Nas fases seguintes, estende o esquema de proteção de dados e as políticas DLP que cria com o Microsoft 365 para proteger os dados nestas aplicações SaaS autorizadas.
No entanto, neste estágio, é importante descobrir aplicativos SaaS não sancionados que sua organização está usando. Isso permite que você monitore o tráfego de e para esses aplicativos para determinar se os dados corporativos da sua organização estão sendo compartilhados com esses aplicativos. Se sim, pode colocar estas aplicações na gestão e aplicar proteção a estes dados, começando por ativar o single logon com o Microsoft Entra ID.
A ferramenta para descobrir aplicações SaaS que a sua organização utiliza é o Microsoft Defender for Cloud Apps.
| Recurso | Descrição |
|---|---|
| Integrar aplicações SaaS para Confiança Zero com Microsoft 365 | Este guia de soluções percorre o processo de proteção de aplicações SaaS segundo os princípios Confiança Zero. O primeiro passo nesta solução inclui adicionar as suas aplicações SaaS ao Microsoft Entra ID e ao âmbito das políticas. Esta deve ser uma prioridade. |
| Avaliar Microsoft Defender for Cloud Apps | Este guia ajuda-o a pôr o Microsoft Defender for Cloud Apps a funcionar o mais rapidamente possível. Você pode descobrir aplicativos SaaS não autorizados logo nas fases de teste e piloto. |
Criptografar comunicação de rede
Esse objetivo é mais uma verificação para ter certeza de que seu tráfego de rede está criptografado. Verifique com sua equipe de rede para se certificar de que essas recomendações estão satisfeitas.
| Recurso | Descrição |
|---|---|
| Redes seguras com Confiança Zero-Objetivo 3: O tráfego interno utilizador-aplicação é encriptado | Verifique se o tráfego interno de usuário para aplicativo está criptografado:
|
| Redes seguras com Confiança Zero-Objetivo 6: Todo o tráfego é encriptado | Criptografe o tráfego de back-end do aplicativo entre redes virtuais. Criptografe o tráfego entre o local e a nuvem. |
| Evolução da rede (para a nuvem) - A perspetiva de um arquiteto | Para arquitetos de rede, este artigo ajuda a colocar os conceitos de rede recomendados em perspetiva. Ed Fisher, arquiteto de segurança e conformidade da Microsoft, descreve como otimizar sua rede para conectividade na nuvem, evitando as armadilhas mais comuns. |
Estágio 2
Depois de fazer o inventário e descobrir onde residem seus dados confidenciais, passe para o Estágio 2, no qual você desenvolve um esquema de classificação e começa a testá-lo com os dados da organização. Esta etapa inclui também a identificação dos domínios em que os dados ou projetos requerem uma maior proteção.
Ao desenvolver um esquema de classificação, é tentador criar muitas categorias e níveis. No entanto, as organizações mais bem-sucedidas limitam o número de níveis de classificação a um pequeno número, como de 3 a 5. Menos é melhor.
Antes de traduzir o esquema de classificação da sua organização para rótulos e adicionar proteção aos rótulos, é útil pensar no panorama geral. É melhor ser o mais uniforme possível ao aplicar qualquer tipo de proteção em uma organização e, especialmente, em um grande patrimônio digital. Isto também se aplica aos dados.
Assim, por exemplo, muitas organizações são bem servidas por um modelo de três camadas de proteção de dados, dispositivos e identidades. Neste modelo, a maioria dos dados pode ser protegida em um nível de linha de base. Uma quantidade menor de dados pode exigir maior proteção. Algumas organizações têm uma quantidade muito pequena de dados que requer proteção em níveis muito mais altos. Os exemplos incluem dados secretos comerciais ou dados altamente regulamentados devido à natureza extremamente sensível dos dados ou projetos.
Diagrama dos três níveis de proteção de dados.
Se três níveis de proteção funcionarem para sua organização, isso ajudará a simplificar a forma como você traduz isso para rótulos e a proteção que você aplica a rótulos.
Para esta fase, desenvolva os seus rótulos de sensibilidade e comece a usá-los entre dados no Microsoft 365. Não se preocupe em adicionar proteção aos rótulos ainda, isso é feito de preferência em um estágio posterior, uma vez que os usuários se familiarizaram com os rótulos e os aplicaram sem preocupações em relação às suas restrições por algum tempo. Adicionar proteção aos rótulos está incluído na próxima etapa. No entanto, é recomendável também começar com políticas básicas de DLP. Finalmente, nesta etapa, você aplica proteção específica a projetos ou conjuntos de dados que exigem proteção altamente sensível.
Desenvolver e testar um esquema de classificação
| Recurso | Descrição |
|---|---|
| Rótulos de sensibilidade | Conheça e comece a usar os rótulos de sensibilidade. A consideração mais crítica nesta fase é garantir que os rótulos reflitam tanto as necessidades da empresa quanto a linguagem usada pelos usuários. Se os nomes dos rótulos não ressoarem intuitivamente com os usuários ou seus significados não forem mapeados de forma consistente para o uso pretendido, a adoção da rotulagem pode acabar sendo prejudicada, e a precisão da aplicação do rótulo provavelmente será prejudicada. |
Aplique etiquetas aos dados em todo o Microsoft 365
| Recurso | Descrição |
|---|---|
| Ativar etiquetas de sensibilidade para ficheiros Office em SharePoint e OneDrive | Ative a rotulagem integrada para ficheiros Office suportados no SharePoint e OneDrive, para que os utilizadores possam aplicar as suas etiquetas de sensibilidade no Office para a web. |
| Gerir etiquetas de sensibilidade nas aplicações do Office | Em seguida, comece a apresentar rótulos aos usuários onde eles podem vê-los e aplicá-los. Quando publicas etiquetas de sensibilidade do portal Microsoft Purview, elas começam a aparecer nas aplicações do Office para que os utilizadores possam classificar e proteger os dados à medida que são criados ou editados. |
| Aplique etiquetas aos grupos Microsoft Teams e Microsoft 365 | Quando estiver pronto, inclua os grupos Microsoft Teams e Microsoft 365 no âmbito da sua implementação de rotulagem. |
Introduzir políticas básicas de DLP
| Recurso | Descrição |
|---|---|
| Evite a perda de dados | Introdução às políticas de DLP. Recomenda-se começar com políticas DLP "suaves", que fornecem avisos, mas não bloqueiam ações, ou, no máximo, bloqueiam ações, permitindo que os usuários substituam a política. Isso permite avaliar o impacto dessas políticas sem prejudicar a produtividade. Você pode ajustar as políticas para se tornarem mais rigorosas à medida que ganha confiança em sua precisão e compatibilidade com as necessidades de negócios. |
Configure equipes seguras para compartilhar dados interna e externamente com parceiros de negócios
Se identificou projetos ou dados que requerem proteção altamente sensível, estes recursos descrevem como configurar isto no Microsoft Teams. Se os dados estiverem armazenados no SharePoint sem uma equipa associada, use as instruções nestes recursos para as definições do SharePoint.
| Recurso | Descrição |
|---|---|
| Configurar equipas com proteção para dados altamente confidenciais | Fornece recomendações prescritivas para proteger projetos com dados altamente confidenciais, incluindo proteger e gerenciar o acesso de convidados (seus parceiros que podem estar colaborando com você nesses projetos). |
Estágio 3
Nesta etapa, você continua a implantar o esquema de classificação de dados refinado. Você também aplica as proteções que planejou.
Depois de adicionar proteção a um rótulo (como criptografia e gerenciamento de direitos):
- Todos os documentos que recebem recentemente a etiqueta incluem a proteção.
- Qualquer documento armazenado no SharePoint Online ou OneDrive que tenha recebido a etiqueta antes da proteção ser adicionada tem a proteção aplicada quando o documento é aberto ou descarregado.
Os arquivos em repouso no serviço ou que residem no computador de um usuário não recebem a proteção que foi adicionada ao rótulo DEPOIS que esses arquivos receberam o rótulo. Em outras palavras, se o arquivo foi rotulado anteriormente e, posteriormente, você adiciona proteção ao rótulo, a proteção não é aplicada a esses arquivos.
Adicionar proteção aos rótulos
| Recurso | Descrição |
|---|---|
| Saiba mais sobre rótulos de sensibilidade | Consulte este artigo para obter várias maneiras de configurar rótulos específicos para aplicar proteção. É recomendável que você comece com políticas básicas como "criptografar apenas" para e-mails e "todos os funcionários – controle total" para documentos. Essas políticas fornecem altos níveis de proteção, ao mesmo tempo em que fornecem saídas fáceis para os usuários quando encontram situações em que a introdução da criptografia causa problemas de compatibilidade ou conflitos com os requisitos de negócios. Você pode aumentar gradualmente as restrições mais tarde, à medida que ganha confiança e compreensão sobre a maneira como os usuários precisam consumir os dados confidenciais. |
| Cenários comuns para etiquetas de confidencialidade | Consulte esta lista de cenários suportados por rótulos de sensibilidade. |
Introduzir a etiquetagem automática nas aplicações do Office
| Recurso | Descrição |
|---|---|
| Aplicar um rótulo de sensibilidade ao conteúdo automaticamente | Atribua automaticamente uma etiqueta a ficheiros e e-mails quando corresponder às condições que especificar. É recomendável configurar inicialmente os rótulos para fornecer uma recomendação de rotulagem interativa aos usuários. Depois de confirmar que estes são geralmente aceites, mude-os para a aplicação automática do rótulo. |
Estender as políticas DLP ao Microsoft 365
| Recurso | Descrição |
|---|---|
| Evite a perda de dados | Continue a usar estes passos para aplicar DLP em todo o seu ambiente Microsoft 365, estendendo as políticas a mais locais e serviços e apertando as ações das regras ao remover exceções desnecessárias. |
Implementar políticas básicas de gestão de risco de colaboradores internos
| Recurso | Descrição |
|---|---|
| Gestão de riscos internos | Comece com as ações recomendadas. Você pode começar usando modelos de política para começar rapidamente, incluindo roubo de dados por usuários que saem. |
Estágio 4
Nesta fase, estende as proteções que desenvolveu no Microsoft 365 aos dados das suas aplicações SaaS. Você também faz a transição para a automação do máximo possível da classificação e governança de dados.
Estenda rótulos e proteção a dados em aplicativos SaaS, incluindo DLP
| Recurso | Descrição |
|---|---|
| Implantar proteção de informações para aplicativos SaaS | Usando o Microsoft Defender for Cloud Apps, estende o esquema de classificação que desenvolveu com as capacidades do Microsoft 365 para proteger os dados nas suas aplicações SaaS. |
Estenda a classificação automatizada
| Recurso | Descrição |
|---|---|
| Aplicar um rótulo de sensibilidade ao conteúdo automaticamente | Continue a implementar os métodos automatizados para aplicar etiquetas aos seus dados. Estenda-os a documentos em repouso no SharePoint, OneDrive e Teams, e aos emails enviados ou recebidos pelos utilizadores. |
Estenda os rótulos e a proteção aos dados em repositórios locais
| Recurso | Descrição |
|---|---|
| Scanner de Proteção de Informações do Microsoft 365 Purview | Verificar dados em repositórios locais, incluindo partilhas de ficheiros em Microsoft Windows e SharePoint Server. O scanner de proteção de informação pode inspecionar quaisquer ficheiros que o Windows consiga indexar. Se você configurou rótulos de sensibilidade para aplicar a classificação automática, o mecanismo de varredura pode rotular arquivos descobertos para aplicar essa classificação e, opcionalmente, aplicar ou remover proteção. |
Proteja os dados da organização em sua infraestrutura de nuvem
| Recurso | Descrição |
|---|---|
| documentação de governação de dados do Microsoft Purview | Saiba como utilizar o portal de governação Microsoft Purview para que a sua organização possa encontrar, compreender, governar e consumir fontes de dados. Tutoriais, referência da API REST e outra documentação mostram como planejar e configurar seu repositório de dados onde você pode descobrir fontes de dados disponíveis e gerenciar o uso de direitos. |
Plano de adoção da cloud
Um plano de adoção é um requisito essencial para uma adoção bem-sucedida da nuvem. Os principais atributos de um plano de adoção bem-sucedido para proteger dados incluem:
- A estratégia e o planeamento estão alinhados: Ao elaborar seus planos para testar, pilotar e implantar recursos de classificação e proteção de dados em seu patrimônio digital, certifique-se de rever sua estratégia e objetivos para garantir que seus planos estejam alinhados. Isso inclui prioridade de conjuntos de dados, metas para proteção de dados e marcos de metas.
- O plano é iterativo: Ao começar a implementar seu plano, você aprenderá muitas coisas sobre seu ambiente e o conjunto de recursos que está usando. Em cada etapa de sua implantação, reveja seus resultados em comparação com os objetivos e ajuste os planos. Isso pode incluir, por exemplo, revisitar trabalhos anteriores para ajustar políticas.
- O treinamento de sua equipe e usuários é bem planejado: Da sua equipe de administração ao helpdesk e seus usuários, todos são treinados para serem bem-sucedidos com suas responsabilidades de identificação e proteção de dados.
Para mais informações do Cloud Adoption Framework para Azure, consulte Plan for cloud adoption.
Fase pronta
Diagrama do processo de adoção para um único objetivo ou um conjunto de objetivos com a fase Ready realçada.
Use os recursos listados anteriormente para priorizar seu plano de identificação e proteção de dados confidenciais. O trabalho de proteger dados empresariais sensíveis representa uma das camadas da sua estratégia de implementação Confiança Zero em múltiplas camadas.
A abordagem por etapas recomendada neste artigo inclui o desdobramento do trabalho de forma metódica em toda a sua propriedade digital. Nesta fase Ready, revisite estes elementos do plano para ter certeza de que tudo está pronto para ir:
- Os dados confidenciais para a sua organização estão bem definidos. Você provavelmente ajustará essas definições à medida que pesquisar dados e analisar os resultados.
- Você tem um mapa claro de quais conjuntos de dados e aplicativos começar e um plano priorizado para aumentar o escopo do seu trabalho até que ele abranja todo o seu patrimônio digital.
- Os ajustes nas orientações técnicas prescritas que são apropriados para sua organização e ambiente foram identificados e documentados.
Esta lista resume o processo metódico de alto nível para fazer este trabalho:
- Conheça os recursos de classificação de dados, como tipos de informações confidenciais, classificadores treináveis, rótulos de sensibilidade e políticas de DLP.
- Comece a usar estas capacidades com dados nos serviços Microsoft 365. Essa experiência ajuda você a refinar seu esquema.
- Introduza a classificação nas aplicações do Office.
- Avance para a proteção de dados em dispositivos, experimentando e, em seguida, implementando o DLP de endpoint.
- Estenda as capacidades que aperfeiçoou no seu ambiente Microsoft 365 aos dados em aplicações na cloud com o Defender for Cloud Apps.
- Descubra e aplique proteção aos dados nas instalações usando Microsoft Purview Information Protection scanner
- Use a governação de dados da Microsoft Purview para descobrir e proteger dados em serviços de armazenamento de dados na cloud, incluindo Azure Blobs, Cosmos DB, bases de dados SQL e repositórios Amazon Web Services S3.
Este diagrama mostra o processo.
Diagrama do processo para identificar e proteger seus dados confidenciais.
Suas prioridades de descoberta e proteção de dados podem ser diferentes.
Observe as seguintes dependências em outros cenários de negócios:
- A extensão da proteção de informações para dispositivos terminais requer coordenação com o Intune (incluído no artigo Trabalho remoto e híbrido seguro ).
- Estender a proteção da informação aos dados em aplicações SaaS requer o Microsoft Defender for Cloud Apps. O piloto e a implementação do Defender for Cloud Apps estão incluídos no cenário de negócios de prevenir ou reduzir danos de uma violação.
Ao finalizar os seus planos de adoção, certifique-se de rever o guia Implemente uma solução de proteção de informação com Microsoft Purview para rever as recomendações e afinar a sua estratégia.
Fase de adoção
Diagrama do processo de adoção para um único objetivo ou um conjunto de objetivos com a fase Adotar realçada.
A Microsoft recomenda uma abordagem iterativa em cascata para descobrir e proteger dados confidenciais. Isso permite que você refine sua estratégia e políticas à medida que avança para aumentar a precisão dos resultados. Por exemplo, comece a trabalhar em um esquema de classificação e proteção à medida que descobre e identifica dados confidenciais. Os dados descobertos informam o esquema e o esquema ajuda a melhorar as ferramentas e os métodos usados para descobrir dados confidenciais. Da mesma forma, à medida que você testa e pilota o esquema, os resultados ajudam a melhorar as políticas de proteção criadas anteriormente. Não há necessidade de esperar até que uma fase esteja concluída antes de começar a próxima. Seus resultados são mais eficazes se você iterar ao longo do caminho.
Diagrama do processo de adoção técnica da proteção da informação.
Governar e gerenciar fases
Diagrama do processo de adoção para um único objetivo ou um conjunto de objetivos com a fase Governar e gerenciar destacada.
A governança dos dados da sua organização é um processo iterativo. Ao criar cuidadosamente seu esquema de classificação e implementá-lo em todo o seu patrimônio digital, você criou uma base. Use os seguintes exercícios para ajudá-lo a começar a construir seu plano de governança inicial para essa base:
- Estabeleça a sua metodologia: Estabeleça uma metodologia básica para revisar seu esquema, como ele é aplicado em todo o seu patrimônio digital e o sucesso dos resultados. Decida como você monitorará e avaliará o sucesso do seu protocolo de proteção de informações, incluindo seu estado atual e futuro.
- Estabeleça uma base inicial de governança: Comece sua jornada de governança com um pequeno conjunto de ferramentas de governança de fácil implementação. Essa base de governança inicial é chamada de produto mínimo viável (MVP).
- Melhore sua base inicial de governança: Adicione controles de governança para lidar com riscos tangíveis à medida que você avança em direção ao estado final.
A Microsoft Purview oferece várias funcionalidades para o ajudar a governar os seus dados, incluindo:
- Políticas de retenção
- Recursos de retenção e arquivamento de caixas de correio
- Gerenciamento de registros para políticas e agendas de retenção e exclusão mais sofisticadas
Consulte Administre os seus dados com o Microsoft Purview. Além disso, o explorador de atividades oferece visibilidade sobre qual conteúdo foi descoberto e rotulado e onde esse conteúdo está. Para aplicações SaaS, o Microsoft Defender for Cloud Apps fornece relatórios ricos para dados sensíveis que entram e saem de aplicações SaaS. Veja os muitos tutoriais na biblioteca de conteúdos Microsoft Defender for Cloud Apps.
Próximas Etapas
- Visão geral da estrutura de adoção do Confiança Zero
- Modernize rapidamente a sua postura de segurança
- Trabalho remoto e híbrido seguro
- Prevenir ou reduzir os danos comerciais causados por uma violação
- Atender aos requisitos regulatórios e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários de negócio Confiança Zero, pode utilizar os seguintes recursos de acompanhamento de progresso.
| Recurso de acompanhamento do progresso | Isso ajuda-o... | Projetado para... |
|---|---|---|
| Grelha de Fases do Plano de Cenários de Adoção para Download ficheiro Visio ou PDF Um exemplo de plano e grade de fases mostrando estágios e metas. |
Compreenda facilmente as melhorias de segurança para cada cenário de negócios e o nível de esforço para os estágios e objetivos da fase de Planeamento. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
Confiança Zero rastreador de adoção apresentação de slides disponível para download no PowerPoint 
|
Acompanhe o seu progresso ao longo das etapas e objetivos da fase de Planeamento. | Líderes de projetos de cenário de negócios, líderes de negócios e outras partes interessadas. |
| Objetivos e tarefas do cenário de negócios pasta de trabalho do Excel para download Um exemplo de uma planilha do Excel mostrando estágios, objetivos e tarefas. |
Atribua propriedade e acompanhe o seu progresso através dos estágios, objetivos e tarefas da fase de Planeamento. | Líderes de projetos de cenário de negócios, líderes de TI e implementadores de TI. |
Para recursos adicionais, consulte Confiança Zero recursos de avaliação e acompanhamento do progresso.