Políticas de sobreexposição de dados na Gestão de Riscos de Privacidade

  • Artigo

A sua organização pode armazenar conteúdos em vários níveis de acesso, incluindo áreas acessíveis publicamente e outras que são restritas. As políticas de sobreexposição de dados no Gerenciamento de risco de privacidade Microsoft Priva podem ajudá-lo a detetar e lidar com situações em que os dados armazenados pela sua organização não são suficientemente seguros. Por exemplo, se o acesso a um site interno estiver aberto a demasiadas pessoas ou se as suas definições de permissões não tiverem sido mantidas, os dados pessoais armazenados nesse site poderão estar vulneráveis a uma falha de segurança.

As políticas de sobreexposição de dados podem avaliar os seus dados quanto a riscos de sobreexposição e alertá-lo para potenciais problemas. Quando é detetada uma correspondência de política, pode enviar utilizadores notificações por email com opções de remediação que incluem manter ou eliminar o item ou tornar o item privado (veja os detalhes no passo 10 do processo de criação da política).

O nosso processo de configuração de políticas facilita a definição de condições de política. Tem controlo total sobre a temporização de alertas e a frequência dos e-mails que trazem a atenção dos utilizadores para práticas seguras de processamento de dados.

Existem duas formas de criar uma política: a partir de um modelo, que é a nossa opção rápida de "configuração inicial" através das predefinições; ou a opção personalizada , que é um processo orientado para definir condições, alertas e notificações.

Configuração rápida: Utilizar um modelo com predefinições

A política de sobreexposição de dados predefinida avalia os dados pessoais nos três níveis de acesso: público, externo e interno.

Siga estes passos para criar uma política de transferência de dados predefinida:

  1. Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:

  2. Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .

  3. Selecione Criar uma política.

  4. Na caixa Sobreexposição de dados , selecione Criar.

  5. Um painel de lista de opções contém detalhes da política. Selecione Ver definições para mostrar as predefinições. Pode editar as definições a partir daqui, o que o leva ao processo orientado descrito abaixo. Para continuar a criar a política com as predefinições, introduza um nome descritivo e, em seguida, selecione Criar política.

A sua política é criada e irá encontrá-la listada na sua página Políticas . Começa no modo de teste para que possa monitorizar o seu desempenho antes de o ativar.

Predefinições de políticas de sobreexposição de dados

Uma política de sobreexposição de dados criada a partir do modelo irá detetar:

  • Quando um utilizador fornece acesso excessivamente amplo a itens que contêm dados pessoais armazenados no OneDrive ou SharePoint da sua organização. Por exemplo, a política deteta a partilha de dados pessoais das seguintes formas:
    • Através de uma ligação à qual qualquer pessoa no público pode aceder
    • Através de uma ligação ou devido a permissões que permitem que todas as pessoas na organização acedam
    • Conceder direitos de acesso a utilizadores externos ou convidados a ficheiros do OneDrive ou do SharePoint
  • Tipos de dados com base nos seguintes grupos de classificação:
    • Regulamento Geral sobre a Proteção de Dados da UE (RGPD)
    • Informações identificativos dos EUA
    • Lei Patriota dos EUA
    • Lei de Notificação de Violação de Estado dos EUA
    • Us Gramm-Leach-Bliley Act (GLBA)
    • US Health Insurance Portability and Accountability Act (HIPAA)
    • Australia Health Records Act (HRIP)
    • Lei de Privacidade da Austrália
    • Informações pessoais do Japão
    • Proteção de Informações Pessoais do Japão

Configuração personalizada: processo de criação de políticas orientada

A opção de política personalizada é um processo orientado para criar uma nova política ao definir condições, designar a gravidade e a frequência dos alertas e ativar o utilizador notificações por email.

Importante

As políticas de sobreexposição de dados podem ser configuradas para abranger localizações do Microsoft 365 e de várias clouds (pré-visualização). No entanto, determinadas definições de política aplicam-se apenas a localizações do Microsoft 365. Obtenha detalhes sobre [selecionar localizações multicloud](risk-management-policies.md#multicloud-data sources-preview) e definições de política que dependem da localização.

Conclua os passos abaixo para criar uma nova política de sobreexposição de dados:

  1. Inicie sessão num dos seguintes portais com as credenciais de uma conta de administrador na sua organização do Microsoft 365:

  2. Aceda à solução de gestão de riscos de privacidade e selecione a página Políticas .

  3. Selecione Criar uma política.

  4. Na caixa Personalizado , selecione Criar.

  5. Na página Nome e tipo , selecione o modelo de política Sobreexposição de dados . Introduza um nome de política para o ajudar a identificá-lo facilmente a partir da sua lista na página Políticas e introduza uma descrição opcional e, em seguida, selecione Seguinte.

  6. Na página Origens de dados, selecione todas as origens de dados que pretende que a política cubra. Obtenha detalhes sobre como escolher origens de dados.

    • Origens de dados do Microsoft 365: as opções são sites do SharePoint e contas do OneDrive. No SharePoint, pode designar todos os sites ou sites específicos. Se selecionar Sites Específicos do SharePoint, pode introduzir o URL do site no campo URL. Também pode selecionar +Escolher sites e, em seguida, no painel de lista de opções, marcar a caixa à esquerda do nome do site que pretende selecionar.

    • Origens de dados multicloud (pré-visualização): as opções são o Armazenamento do Azure, o SQL do Azure e o Amazon S3. Obtenha detalhes sobre a seleção de origens de dados de várias clouds ao criar uma política.

    Quando terminar, selecione Seguinte.

  7. Na página Dados a monitorizar , selecione o tipo de dados pessoais que pretende que a sua política monitorize. Existem duas opções:

    • Grupos de classificação: agrupamentos de tipos de informações confidenciais que são utilizados para detetar conteúdo relacionado com dados pessoais ou regulamentos específicos. Se selecionar esta opção, terá de selecionar +Adicionar grupos de classificação para escolher um ou mais grupos da lista fornecida.

    • Tipos de informações confidenciais ou classificadores treináveis: selecione esta opção e, em seguida, utilize o menu pendente Adicionar para selecionar Tipos de informações confidenciais ou Classificadores treináveis e escolha a partir de uma lista pesquisável. Pode escolher tipos de dados em ambas as categorias e utilizar o construtor de condições para definir uma relação E ou OU entre os tipos.

    Obtenha mais detalhes sobre como escolher dados a monitorizar. Quando terminar de selecionar dados a monitorizar, selecione Seguinte.

  8. Na página Utilizadores e grupos , escolha a que utilizadores na sua organização a política será aplicada. Pode selecionar todos os utilizadores individuais e todos os grupos de distribuição Office 365 ou pode selecionar utilizadores e grupos específicos. Saiba mais sobre como escolher utilizadores e grupos. Quando terminar, selecione Seguinte.

  9. Na página Condições , selecione o tipo de condição de sobreexposição de dados que a política deteta:

    • Público: qualquer pessoa com uma ligação pode aceder ao conteúdo.
    • Externo: pessoas específicas fora da organização têm acesso.
    • Interno: todos os utilizadores na sua organização têm acesso.

    Selecionar mais do que um nível de acesso alarga o âmbito dos dados e pode produzir quantidades significativamente maiores de alertas e notificações de utilizador.

    Coloque um marcar na caixa junto às suas escolhas e, em seguida, selecione Seguinte.

  10. Na página Resultados , selecione a caixa de verificação Enviar um e-mail de notificação aos utilizadores quando ocorre uma correspondência de política se quiser notificar os utilizadores quando as condições da política forem cumpridas. Quando a caixa estiver selecionada, pode pré-visualizar e editar o e-mail e, em seguida, definir a frequência e fornecer uma ligação para a formação de privacidade. As opções de remediação nos e-mails são para Lixo ou Manter itens cuja origem de dados é o Teams e Tornar itens privados ou Manter cujas origens de dados são o SharePoint ou o OneDrive. Saiba mais sobre como configurar e editar notificações de utilizador. Quando terminar de definir os resultados, selecione Seguinte.

  11. Na página Alertas , utilize o botão de alternar para ativar os alertas que um administrador verá na página Alertas na secção Políticas da Gestão de Riscos de Privacidade. Designa a frequência com que os alertas são gerados, os limiares das correspondências antes de os alertas serem gerados e a gravidade dos alertas. Saiba mais sobre como definir alertas para correspondências de políticas. Quando terminar, selecione Seguinte.

  12. Na página Modo , escolha em que modo colocar a política: teste-a primeiro ou ative-a imediatamente. No modo de teste, não são enviados alertas ou notificações. Saiba mais sobre recomendações e o que analisar ao testar uma política. Quando terminar, selecione Seguinte.

  13. Na página Concluir , reveja as suas escolhas. Selecione Editar por baixo de qualquer uma das secções para ajustar as definições. Quando estiver satisfeito com as definições da política, selecione Submeter para criar a política.

Após alguns segundos, verá uma confirmação de que a política foi criada. Selecione Concluído na página de confirmação, que irá levá-lo para a página Políticas onde vê a nova política na parte superior da tabela.

Próximas etapas

Visite Políticas de Gestão de Riscos de Privacidade para obter detalhes sobre como editar e gerir políticas.

Microsoft Priva exclusão de responsabilidade legal