Guia de Proteção de Informações do Microsoft Purview para o Governo australiano

Este guia de Proteção de Informações do Microsoft Purview foi preparado pela Microsoft para utilização pelo Governo australiano e outras organizações interessadas. A sua intenção é ajudar as organizações do Governo australiano a melhorarem a sua postura de segurança de dados ao cumprirem os requisitos de classificação e proteção de informações. As orientações fornecidas neste guia destinam-se a alinhar o mais próximo possível com os requisitos definidos no Protected Security Policy Framework (PSPF) e no Manual de Segurança de Informações (ISM). As orientações fornecidas neste guia também serão alinhadas com as configurações de suporte recomendadas através do Esquema do ASD para a Cloud Segura.

Este guia destina-se a Diretores de Dados do Governo Australiano (CDO), Chief Technology Officers (CTO), Chief Security Officers (CSO), Chief Information Security Officers (CISO), responsáveis pelo risco ou conformidade, privacidade das informações ou outras funções de gestão de informações.

O modelo de maturidade do Microsoft Purview para o Governo australiano foi criado para ajudar as organizações a compreender onde deve começar a iniciativa do Microsoft Purview e o que precisam de fazer para aumentar a maturidade e o nível de conformidade da segurança de dados.

Este guia é escrito para uma organização típica do Governo, com exemplos escritos aplicáveis a este efeito. No entanto, todas as organizações governamentais têm de adaptar a documentação de orientação para satisfazer os seus requisitos exclusivos.

A secção do guia intitulado Requisito do Governo Australiano para o mapeamento de capacidades inclui uma listagem de requisitos PSPF, juntamente com uma explicação de como as capacidades do Microsoft Purview podem ser configuradas para se alinharem com cada requisito e uma ligação para as secções de guia correspondentes. Também são discutidos os requisitos relevantes do Standard de Metadados de Controlo de Registos do Governo Australiano (AGRkMS) e do Manual de Segurança de Informações (ISM).

Visão Geral de Arquitetura

Este guia utiliza três capacidades principais para cumprir os requisitos de proteção e classificação de informações governamentais, nomeadamente:

• Etiquetagem de confidencialidade
• Prevenção de Perda de Dados (DLP)
• Etiquetagem automática de confidencialidade

O diagrama seguinte fornece uma descrição geral conceptual da interação entre estas três capacidades do Microsoft 365, juntamente com exemplos de utilização.

Etiquetagem de confidencialidade

Proteção de Informações do Microsoft Purview inclui uma capacidade chamada etiquetagem de confidencialidade. A etiquetagem de confidencialidade permite que os utilizadores apliquem etiquetas a itens como ficheiros e e-mail. Estas etiquetas podem ser alinhadas com controlos de segurança de dados para proteger as informações incluídas. A etiquetagem de confidencialidade também pode ser alargada a outros serviços, como sites do SharePoint, Teams e reuniões.

As etiquetas de confidencialidade, quando alinhadas com os requisitos de classificação de uma organização, como as definidas no Protection Security Policy Framework (PSPF), permitem-nos tratar as etiquetas como classificações. Fornecem-nos marcas visuais através da interface de utilizador e outras opções de marcação. Por exemplo:

Os controlos de segurança de dados que podem ser aplicados através de etiquetas de confidencialidade incluem:

• A capacidade de encriptar itens, impedindo o acesso de utilizadores não autorizados.
• A capacidade de fornecer recomendações de etiquetas aos utilizadores após a deteção de informações confidenciais.
• O controlo do acesso de utilizador externo a localizações etiquetadas.
• O controlo das definições de segurança de reuniões do Teams para reuniões que têm determinadas etiquetas aplicadas.

Experiência de cliente de etiquetagem

Conforme abordado no suporte de cliente do Microsoft Office, os utilizadores normalmente interagem com itens etiquetados através de um cliente do Office Microsoft 365 Apps, cliente baseado na Web ou equivalente a um dispositivo móvel. Estes clientes permitem que os utilizadores apliquem etiquetas a itens:

Se um utilizador se esquecer de aplicar uma etiqueta a um item, o cliente pede ao utilizador para aplicar uma etiqueta antes de guardar o item ou, se for um e-mail, antes de o enviar.

Enquanto um utilizador está a trabalhar num item, se ainda não tiver sido aplicada uma etiqueta e forem detetadas informações alinhadas com uma classificação de segurança, pode ser fornecida uma recomendação de etiqueta ao utilizador. Se for detetado conteúdo confidencial que se alinha com uma classificação superior à atualmente aplicada, pode ser fornecida uma recomendação ao utilizador para que aumente a sensibilidade do item.

Estas recomendações ajudam a garantir a precisão da etiqueta. A precisão da etiqueta é importante, pois muitos controlos que regem o fluxo de informações baseiam-se na confidencialidade do item.

Aplicabilidade do Copilot para Microsoft 365

O Microsoft 365 Copilot herda as múltiplas formas de proteção do Microsoft 365 contra o acesso comprometido e não autorizado. O modelo de permissão no Microsoft 365 ajuda a garantir que as informações não podem ser intencionalmente divulgadas entre utilizadores e grupos.

As mitigações de risco de informações fornecidas pelo Microsoft Purview complementam o Copilot para o Microsoft 365. O exemplo mais simples é através da herança de etiquetas. Se Copilot for utilizado para gerar um item com base num item de origem, por exemplo, para gerar um resumo de uma origem Word documento, as etiquetas de confidencialidade que foram aplicadas ao item de origem são herdadas pelo item gerado. Isto ajuda a garantir que as proteções aplicadas às informações são mantidas à medida que as informações mudam de formulário.

Ao avaliar potenciais preocupações de segurança que possam ocorrer como resultado da ativação do Copilot para o Microsoft 365, os riscos podem ser agrupados em três categorias:

1. Fuga de Dados da ferramenta de IA: o conteúdo gerado pelo Copilot pode conter informações confidenciais.
2. Partilha de Dados: os utilizadores podem distribuir itens gerados pelo Copilot que contêm informações confidenciais.
3. Fuga de Dados na ferramenta de IA: os utilizadores podem inadvertidamente divulgar dados confidenciais no Copilot.

As seguintes capacidades, que são abordadas neste guia, são capazes de ajudar a mitigar a fuga de dados do Copilot e os riscos de sobrepartilho de dados:

• A identificação de informações identifica se o conteúdo gerado ou o conteúdo que está a ser partilhado contém informações confidenciais ou classificadas de segurança. Os controlos protegem as informações automaticamente.
• A etiquetagem automática baseada no cliente identifica quando um item gerado contém informações confidenciais e fornece uma recomendação de etiqueta ao utilizador. A etiqueta está sujeita a quaisquer controlos baseados em etiquetas.
• A configuração de grupos de etiquetas e sites aplica controlos de segurança, incluindo restrições à partilha e acesso de utilizadores externos, a localizações. Se um item gerado por Copilot for movido para uma localização, que não é considerada segura para a etiqueta aplicada ao item, alerta os acionadores para permitir a limpeza.
• As regras DLP que protegem as informações classificadas, quando emparelhadas com a configuração de etiquetagem obrigatória, aplicam-se a todos os documentos e e-mails do Office. Devido à herança de etiquetas, o conteúdo gerado pela Copilot herda as etiquetas aplicadas às informações de origem, o que significa que também estarão dentro do âmbito das políticas DLP baseadas em etiquetas relevantes.
• As regras DLP que protegem informações confidenciais garantem que, independentemente da etiqueta que foi aplicada a um item, os controlos de segurança corretos ainda se aplicam. Isto garante que, caso o Copilot possa ter utilizado informações confidenciais num item gerado, as informações estão protegidas contra a partilha excedida.
• A encriptação de etiquetas de confidencialidade impede a partilha excessiva ao garantir que apenas os utilizadores autorizados podem aceder a itens classificados de segurança. Além disso, as permissões de encriptação bloqueiam o Copilot de itens altamente confidenciais, reduzindo o risco de as informações serem incluídas no conteúdo gerado.

Para obter mais informações específicas do Copilot para o Microsoft 365 sobre estes controlos, consulte Considerações de proteção de informações para o Copilot.

Relativamente aos riscos relacionados com a fuga de dados nas ferramentas de IA, a encriptação de etiquetas de confidencialidade é relevante para esta situação. Outros controlos não são específicos do Microsoft Purview e não são abordados como parte deste guia. No entanto, as seguintes ligações fornecem informações relevantes:

• A pesquisa restrita do SharePoint (RSS) permite que as organizações limitem o Copilot para o Microsoft 365 para aceder apenas a uma lista aprovada de até 100 sites. A implementação desta capacidade pode ajudar a reduzir o risco de indexação de informações da Copilot às quais as organizações não estão preparadas para ter acesso. Esta funcionalidade destina-se a ativar o Copilot enquanto a lista anterior de controlos do Microsoft Purview é implementada e todas as partilhas em excesso existentes devido a permissões inadequadas são abordadas. Assim que o potencial para o risco de informações for mitigado, o RSS é desativado para permitir aos utilizadores o benefício total das capacidades do Copilot.
• Os relatórios de governação de acesso a dados, incluídos no SharePoint Premium, podem ser utilizados para detetar sites que contenham conteúdos potencialmente sobrepartilhados ou confidenciais para que possam ser resolvidos.
• A gestão do ciclo de vida do site, incluída no SharePoint Premium, pode ser utilizada para detetar e agir automaticamente em sites inativos. A remoção de sites inativos ajuda a garantir que as informações a que o Copilot tem acesso são atuais e relevantes.

Fale conosco

Se quiser contactar os criadores deste guia para discutir as orientações fornecidas, não hesite em fazê-lo através do AUGovMPIPGuide@microsoft.com.