Criteri di sovraesposizione dei dati in Gestione dei rischi per la privacy

L'organizzazione può archiviare contenuti a vari livelli di accesso, incluse le aree accessibili pubblicamente e quelle con restrizioni. I criteri di sovraesposizione dei dati in Microsoft Priva Privacy Risk Management consentono di rilevare e gestire le situazioni in cui i dati archiviati dall'organizzazione non sono adeguatamente sicuri. Ad esempio, se l'accesso a un sito interno è aperto a troppe persone o le impostazioni delle autorizzazioni non sono state mantenute, i dati personali archiviati in tale sito potrebbero essere vulnerabili a una violazione. I criteri di sovraesposizione dei dati possono valutare i dati relativi a questi rischi e avvisare l'utente di potenziali problemi.

Quando viene rilevata una corrispondenza dei criteri, è possibile inviare agli utenti notifiche tramite posta elettronica che includono opzioni di correzione per risolvere i problemi. Per la sovraesposizione dei dati, questi includono la creazione di elementi di contenuto privati, la notifica ai proprietari del contenuto o l'aggiunta di tag agli elementi per un'ulteriore revisione.

Il processo di configurazione dei criteri semplifica l'impostazione delle condizioni dei criteri. È possibile controllare in modo completo i tempi di avviso e la frequenza dei messaggi di posta elettronica che richiamano l'attenzione degli utenti sulle procedure di gestione dei dati sicure.

Esistono due modi per creare un criterio: da un modello, che è la nostra rapida opzione "predefinita" usando le impostazioni predefinite; o l'opzione personalizzata , che è un processo guidato per l'impostazione di condizioni, avvisi e notifiche.

Configurazione rapida: usare un modello con le impostazioni predefinite

Il criterio di sovraesposizione dei dati predefinito valuta i dati personali a tutti e tre i livelli di accesso: pubblico, esterno e interno.

Seguire questa procedura per creare un criterio di trasferimento dati predefinito:

1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

   • Nuovo portale Priva (anteprima).New Priva portal (preview). Per altre informazioni, vedi Informazioni sul nuovo portale Priva (anteprima).To learn more, see Learn about the new Priva portal (preview).
   • Portale di conformità di Microsoft Purview. Per altre informazioni su questo portale, vedere Portale di conformità di Microsoft Purview.

2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

3. Selezionare Crea un criterio.

4. Nella casella Sovraesposizione dati selezionare Crea.

5. Un riquadro a comparsa contiene i dettagli dei criteri. Seleziona Visualizza impostazioni per visualizzare le impostazioni predefinite. È possibile modificare le impostazioni da qui, che consente di seguire il processo guidato descritto di seguito. Per continuare a creare il criterio usando le impostazioni predefinite, immettere un nome descrittivo e quindi selezionare Crea criterio.

I criteri vengono creati e sono elencati nella pagina Criteri . Inizia in modalità di test in modo da poter monitorare le prestazioni prima di attivarla.

Impostazioni dei criteri di sovraesposizione dei dati predefiniti

Un criterio di sovraesposizione dei dati creato dal modello rileverà:

• Quando un utente fornisce un accesso troppo ampio agli elementi contenenti dati personali archiviati in OneDrive o SharePoint dell'organizzazione. Ad esempio, i criteri rilevano la condivisione dei dati personali nei modi seguenti:
  • Tramite un collegamento accessibile a chiunque nel pubblico
  • Tramite un collegamento o a causa delle autorizzazioni che consentono a tutti gli utenti dell'organizzazione di accedere
  • Concessione di diritti di accesso a utenti esterni o guest a file di OneDrive o SharePoint
• Tipi di dati basati sui gruppi di classificazione seguenti:
  • Regolamento generale sulla protezione dei dati (GDPR) dell'UE
  • Informazioni personali degli Stati Uniti
  • US Patriot Act
  • Legge statunitense sulla notifica di violazione dello Stato
  • US Gramm-Leach-Bliley Act (GLBA)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • Health Records Act (HRIP) Australia
  • Legge sulla privacy australiana
  • Informazioni personali Giappone
  • Protezione delle informazioni personali giappone

Configurazione personalizzata: processo guidato di creazione dei criteri

L'opzione per i criteri personalizzati è un processo guidato per creare un nuovo criterio impostando condizioni, designando la gravità e la frequenza degli avvisi e attivando le notifiche tramite posta elettronica degli utenti.

Completare la procedura seguente per creare un nuovo criterio di sovraesposizione dei dati:

1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

   • Nuovo portale Priva (anteprima).New Priva portal (preview). Per altre informazioni, vedi Informazioni sul nuovo portale Priva (anteprima).To learn more, see Learn about the new Priva portal (preview).
   • Portale di conformità di Microsoft Purview. Per altre informazioni su questo portale, vedere Portale di conformità di Microsoft Purview.

2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

3. Selezionare Crea un criterio.

4. Nella casella Personalizzato selezionare Crea.

5. Nella pagina Nome e tipo selezionare il modello di criteri di sovraesposizione dati. Immettere un nome di criterio per identificarlo facilmente dall'elenco nella pagina Criteri e immettere una descrizione facoltativa, quindi selezionare Avanti.

6. Nella pagina Origini dati selezionare tutte le origini dati di cui si vogliono trattare i criteri. Informazioni dettagliate sulla scelta delle origini dati.

   • Origini dati di Microsoft 365: le opzioni sono i siti di SharePoint e gli account di OneDrive. In SharePoint è possibile designare tutti i siti o siti specifici. Se si seleziona Siti di SharePoint specifici, è possibile immettere l'URL del sito nel campo URL. È anche possibile selezionare +Scegli siti, quindi nel riquadro a comparsa selezionare la casella a sinistra del nome del sito da selezionare.

   • Origini dati multicloud (anteprima): le opzioni sono Archiviazione di Azure, SQL di Azure e Amazon S3. Informazioni dettagliate sulla selezione di origini dati multicloud durante la creazione di un criterio.

   Al termine, seleziona Avanti.

7. Nella pagina Dati da monitorare scegliere il tipo di dati personali da monitorare. Sono disponibili due opzioni:

   • Gruppi di classificazione: raggruppamenti di tipi di informazioni riservate usati per rilevare contenuti correlati ai dati personali o a normative specifiche. Se si seleziona questa opzione, sarà necessario selezionare +Aggiungi gruppi di classificazione per scegliere uno o più gruppi nell'elenco fornito.

   • Tipi di informazioni riservate o classificatori addestrabili: seleziona questa opzione, quindi usa il menu a discesa Aggiungi per selezionare Tipi di informazioni sensibili o Classificatori addestrabili e scegli da un elenco disponibile per la ricerca. È possibile scegliere i tipi di dati in entrambe le categorie e usare il generatore di condizioni per definire una relazione AND o OR tra i tipi.

   Altri dettagli sulla scelta dei dati da monitorare. Dopo aver selezionato i dati da monitorare, seleziona Avanti.

8. Nella pagina Utenti e gruppi scegliere gli utenti dell'organizzazione a cui applicare il criterio. È possibile selezionare tutti i singoli utenti e tutti i gruppi di distribuzione di Office 365 oppure utenti e gruppi specifici. Altre informazioni sulla scelta di utenti e gruppi. Al termine, seleziona Avanti.

9. Nella pagina Condizioni selezionare il tipo di condizione di sovraesposizione dei dati rilevata dal criterio:

   • Pubblico: chiunque abbia un collegamento può accedere al contenuto.
   • Esterno: persone specifiche all'esterno dell'organizzazione hanno accesso.
   • Interno: tutti gli utenti dell'organizzazione hanno accesso.

   La selezione di più livelli di accesso amplia l'ambito dei dati e potrebbe produrre quantità di avvisi e notifiche utente notevolmente maggiori.

   Inserisci un controllo nella casella accanto alle opzioni, quindi seleziona Avanti.

10. Nella pagina Risultati decidere se inviare una notifica agli utenti quando soddisfano le condizioni impostate dal criterio. Se si seleziona la casella delle notifiche tramite posta elettronica, gli utenti ricevono una notifica tramite posta elettronica quando le azioni corrispondono alle condizioni dei criteri. I messaggi di posta elettronica contengono istruzioni per eseguire azioni correttive direttamente dal messaggio e-mail, insieme a un collegamento alla formazione sulla privacy. Dovrai designare la frequenza dei messaggi e-mail e l'URL per la formazione sulla privacy preferita.

    Altre informazioni sulla configurazione delle notifiche utente. Dopo aver selezionato i risultati, selezionare Avanti.

11. Nella pagina Avvisi usare l'interruttore per attivare gli avvisi che un amministratore visualizzerà nella pagina Avvisi della sezione Criteri di Gestione dei rischi per la privacy. È possibile specificare la frequenza di generazione degli avvisi, le soglie per le corrispondenze prima della generazione degli avvisi e la gravità degli avvisi. Altre informazioni sull'impostazione di avvisi per le corrispondenze ai criteri. Al termine, seleziona Avanti.

12. Nella pagina Modalità scegliere la modalità in cui inserire il criterio: Testalo per primo o Attivalo immediatamente. In modalità di test non vengono inviati avvisi o notifiche. Altre informazioni sui suggerimenti e su cosa analizzare durante il test di un criterio. Al termine, seleziona Avanti.

13. Nella pagina Fine esaminare le opzioni disponibili. Selezionare Modifica sotto una delle sezioni per modificare le impostazioni. Quando sei soddisfatto delle impostazioni dei criteri, seleziona Invia per creare il criterio.

Dopo alcuni secondi verrà visualizzata una conferma della creazione del criterio. Selezionare Fine nella pagina di conferma per passare alla pagina Criteri in cui è visualizzato il nuovo criterio nella parte superiore della tabella.

Passaggi successivi

Per informazioni dettagliate su come modificare e gestire i criteri, vedere Criteri di gestione dei rischi per la privacy.

Legali

Dichiarazione di non responsabilità legale Microsoft Priva