Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
As soluções de risco interno do Microsoft Purview fornecem às organizações as ferramentas para ajudar a detetar e reduzir potenciais riscos e violações de políticas. As soluções de risco interno do Microsoft Purview incluem:
- Gerenciamento de Risco Interno do Microsoft Purview utiliza sinais diferentes para encontrar potenciais riscos internos maliciosos ou acidentais, tais como roubo de propriedade intelectual, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade.
- Conformidade de Comunicações do Microsoft Purview fornece ferramentas para ajudar as organizações a detetar potenciais problemas de conformidade regulamentar (por exemplo, SEC ou FINRA) e violações de conduta empresarial, tais como informações confidenciais, assédio ou ameaça de linguagem e partilha de conteúdo para adultos.
A gestão de riscos internos e a conformidade de comunicação são criadas com privacidade através da conceção e equilíbrio da privacidade dos utilizadores com ferramentas que ajudam a detetar e reduzir os riscos organizacionais. Estamos empenhados em proteger a confiança dos utilizadores e manter a privacidade ao nível do utilizador através dos nossos principais princípios de privacidade:
- Pseudonimização
- Controlos de acesso baseados em funções
- Administração opção de opt-in explícita
- Logs de auditoria
Pseudonimização
A pseudonimização ajuda a proteger a privacidade do utilizador final ao remover detalhes de utilizador identificáveis, como o nome de utilizador ou o endereço de e-mail. A pseudonimização também ajuda a evitar potenciais preconceitos e conflitos de interesses ao remover detalhes de utilizador identificáveis (nome, e-mail) e dados pessoais (título, departamento ou localização) expostos na solução. Por exemplo, um utilizador com o nome John Smith é pseudonimizado num identificador não geral, como ANON2340. Os pseudónimos estão ativados por predefinição para funções específicas, como Analistas de Gestão de Risco Interno e Investigadores de Gestão de Riscos Internos (analisem alertas e tomem medidas, respetivamente) e Analistas de Conformidade de Comunicações (rever alertas de política).
Controlos de acesso baseados em funções
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. Minimizar o número de utilizadores com a função de Administrador Global ajuda a melhorar a segurança da sua organização. Saiba mais sobre as funções e permissões do Microsoft Purview.
Recomendamos a utilização de controlos de acesso baseados em funções rigorosos para que apenas as funções de conformidade de comunicação e gestão de riscos internos autorizadas possam utilizar e aceder a alertas e informações sobre possíveis violações de políticas. Por predefinição, os administradores globais não têm acesso a funcionalidades de gestão de risco interno e conformidade de comunicação. Esta predefinição ajuda a garantir que apenas os intervenientes adequados podem aceder à solução e aos detalhes específicos das respetivas permissões de função. As organizações podem atribuir utilizadores a grupos de funções específicos para gerir diferentes conjuntos de funcionalidades com base nas suas responsabilidades. Por exemplo, os administradores de conformidade de comunicações e gestão de riscos internos podem criar, configurar e eliminar políticas, mas não podem aceder ou investigar alertas ou casos. Por outro lado, os investigadores de conformidade de comunicações e gestão de riscos internos podem aceder e investigar alertas e casos, mas não podem configurar políticas.
Observação
Os administradores de gestão de riscos internos podem permitir que investigadores e analistas façam edições a indicadores e limiares de políticas através da definição de personalização de alertas inline.
Quer a sua organização escolha um único grupo de funções ou vários grupos de funções para se adaptar aos requisitos de conformidade e privacidade da sua organização, tanto a gestão de riscos internos como a conformidade de comunicação permitem que os administradores escolham entre as opções predefinidas do grupo de funções em cada solução.
Saiba mais sobre as opções do grupo de funções para cada solução:
Administração opção de opt-in explícita
As políticas de conformidade de comunicações e gestão de riscos internos detetam atividades e comunicações de risco e potenciais violações de políticas que podem resultar num incidente de segurança. Um administrador com as permissões certas pode definir explicitamente o âmbito dos colaboradores numa política.
Além disso, por predefinição, os indicadores de gestão de risco interno e conformidade de comunicação que ajudam a detetar atividades de risco e comunicações que podem levar a potenciais incidentes de segurança de dados são desativados. Por exemplo, indicadores como "transferir conteúdo do OneDrive", "partilhar ficheiros do SharePoint com pessoas fora da organização" ou "enviar informações confidenciais ou assediar mensagens" estão desativados por predefinição. A gestão de riscos internos e a conformidade de comunicação não detetam essas atividades sem a opção explícita de opt-in de um administrador. Os administradores com as permissões certas têm de selecionar e optar explicitamente por um ou mais indicadores nas definições antes de uma política poder detetar essas atividades.
Administração controlos de opt-in explícitos ajudam a salvaguardar a privacidade dos utilizadores finais ao garantir que as soluções apenas sinalizam alertas e violações de políticas para utilizadores e indicadores especificados nas políticas.
Logs de auditoria
Os registos de auditoria de soluções de risco interno do Microsoft Purview registam todas as ações de administração. Com estes registos, as organizações podem manter-se informadas sobre todas as ações executadas nas soluções de risco interno do Microsoft Purview, incluindo quando um administrador cria ou edita uma política, adiciona um utilizador, vê as informações de atividade do utilizador ou adiciona indicadores.
Os registos de auditoria estão ativados por predefinição para todas as organizações do Microsoft 365. Com estes registos, as organizações podem auditar as ações dos administradores privilegiados e cumprir os requisitos de conformidade e privacidade.
Para obter mais informações sobre as capacidades dos registos de auditoria para cada solução, veja:
- Rever atividades com o registo de auditoria de gestão de riscos internos
- Usar relatórios e auditorias de conformidade de comunicações
Proteger a confiança do utilizador e criar um programa holístico de risco interno
A privacidade e a confiança dos utilizadores são essenciais para que as organizações estabeleçam um programa holístico de risco interno. O conjunto certo de ferramentas pode ajudá-lo a resolver riscos de uma forma que satisfaça as necessidades de segurança. Saiba como criar um programa holístico de gestão de riscos internos com cinco elementos que ajudam as empresas a ter uma proteção de dados mais forte, garantindo simultaneamente a confiança dos utilizadores.