Gambaran umum pencegahan kehilangan data di SharePoint Server 2016 dan 2019

Untuk mematuhi standar bisnis dan peraturan industri, organisasi perlu melindungi informasi sensitif dan mencegah pengungkapan yang tidak diinginkan. Contoh informasi sensitif yang mungkin ingin Anda cegah bocor di luar organisasi Anda termasuk data keuangan atau informasi pribadi yang dapat diidentifikasi (PII) seperti nomor kartu kredit, nomor jaminan sosial, atau nomor ID nasional. Dengan kebijakan pencegahan kehilangan data (DLP) di SharePoint Server 2016, Anda bisa mengidentifikasi, memantau, dan secara otomatis melindungi informasi sensitif di seluruh kumpulan situs Anda.

Dengan DLP, Anda dapat:

Buat kueri DLP untuk mengidentifikasi informasi sensitif apa yang sekarang ada di kumpulan situs Anda. Sebelum membuat kebijakan DLP, seringkali akan sangat membantu untuk melihat tipe informasi sensitif apa yang digunakan orang-orang di organisasi Anda, dan kumpulan situs mana yang berisi informasi sensitif ini. Dengan kueri DLP, Anda bisa menemukan informasi sensitif yang tunduk pada peraturan industri umum, memahami risiko Anda dengan lebih baik, dan menentukan apa dan di mana informasi sensitif yang perlu dilindungi kebijakan DLP Anda.
Buat kebijakan DLP untuk memantau dan melindungi informasi sensitif secara otomatis dalam kumpulan situs Anda. Misalnya, Anda bisa menyiapkan kebijakan yang menampilkan tips kebijakan kepada pengguna jika mereka menyimpan dokumen yang berisi informasi yang dapat diidentifikasi secara pribadi. Lebih lanjut, kebijakan dapat secara otomatis memblokir akses ke dokumen tersebut untuk semua orang, kecuali pemilik situs, pemilik konten, dan siapa pun yang terakhir mengubah dokumen. Dan terakhir, karena Anda tidak ingin kebijakan DLP Anda mencegah orang-orang menyelesaikan pekerjaan mereka, tips kebijakan memiliki opsi untuk menimpa tindakan pemblokiran, sehingga orang-orang bisa terus bekerja dengan dokumen jika mereka memiliki pembenaran bisnis.

Templat DLP

Saat Anda membuat kueri DLP atau kebijakan DLP, Anda bisa memilih dari daftar templat DLP yang sesuai dengan persyaratan peraturan umum. Setiap templat DLP mengidentifikasi jenis informasi sensitif tertentu – misalnya, templat yang bernama Data Informasi Identifikasi Pribadi (PII) AS mengidentifikasi konten yang berisi nomor paspor AS dan KK, Nomor Identifikasi Wajib Pajak Individu AS (ITIN), atau Nomor Jaminan Sosial AS (SSN).

Templat kebijakan DLP

Tipe informasi sensitif

Kebijakan DLP membantu melindungi informasi sensitif, yang ditetapkan sebagai tipe informasi sensitif. SharePoint Server 2016 menyertakan definisi untuk berbagai tipe informasi sensitif umum yang siap digunakan, seperti nomor kartu kredit, nomor rekening bank, nomor ID nasional, dan nomor paspor.

Ketika kebijakan DLP mencari tipe informasi sensitif seperti nomor kartu kredit, kebijakan tidak hanya mencari nomor 16 digit. Setiap tipe informasi sensitif ditentukan dan dideteksi menggunakan kombinasi antara:

Kata kunci
Fungsi internal untuk memvalidasi checksum atau komposisi
Evaluasi ekspresi reguler untuk menemukan kecocokan pola
Pemeriksaan konten lainnya

Ini membantu deteksi DLP mencapai tingkat akurasi yang tinggi sekaligus mengurangi jumlah positif palsu yang dapat mengganggu pekerjaan orang.

Setiap templat DLP mencari satu atau beberapa tipe informasi sensitif. Untuk informasi selengkapnya tentang cara kerja setiap tipe informasi sensitif, lihat Apa yang dicari tipe informasi sensitif di SharePoint Server 2016.

Templat DLP ini...	Mencari tipe informasi sensitif ini...
Data Informasi Identifikasi Pribadi (PII) A.S.	Nomor Paspor A.S. / U.K. Nomor Identifikasi Wajib Pajak Individu AS (ITIN, Individual Taxpayer Identification Number) Nomor Jaminan Sosial A.S. (SSN)
U.S. Gramm-Leach-Bliley Act (GLBA)	Nomor Kartu Kredit Nomor Rekening Bank AS Nomor Identifikasi Wajib Pajak Individu AS (ITIN, Individual Taxpayer Identification Number) Nomor Jaminan Sosial A.S. (SSN)
PCI Data Security Standard (PCI DSS)	Nomor Kartu Kredit
Data Keuangan Inggris	Nomor Kartu Kredit Nomor Kartu Debit Uni Eropa Kode SWIFT
Data Keuangan A.S.	Nomor Perutean ABA Nomor Kartu Kredit Nomor Rekening Bank AS
Data Informasi Identifikasi Pribadi (PII, Personally Identifiable Information)	U.K. National Insurance Number (NINO) Nomor Paspor A.S. / U.K.
Undang-Undang Perlindungan Data Inggris	Kode SWIFT U.K. National Insurance Number (NINO) Nomor Paspor A.S. / U.K.
Peraturan Privasi dan Komunikasi Elektronik Inggris	Kode SWIFT
Undang-Undang Kerahasiaan Nomor Jaminan Sosial Negara Bagian AS	Nomor Jaminan Sosial A.S. (SSN)
Undang-Undang Pemberitahuan Pelanggaran Negara Bagian AS	Nomor Kartu Kredit Nomor Rekening Bank AS Nomor SIM A.S. Nomor Jaminan Sosial A.S. (SSN)

Kueri DLP

Sebelum membuat kebijakan DLP, Anda mungkin ingin melihat informasi sensitif apa yang sudah ada di seluruh kumpulan situs. Untuk melakukannya, buat dan jalankan kueri DLP di Pusat eDiscovery.

Tombol Buat Kueri DLP

Kueri DLP berfungsi sama seperti kueri eDiscovery. Berdasarkan templat DLP yang Anda pilih, kueri DLP dikonfigurasi untuk mencari tipe informasi sensitif tertentu. Pilih lokasi yang ingin dicari terlebih dahulu, lalu Anda dapat menyempurnakan kueri karena mendukung Keyword Query Language (KQL). Selain itu, Anda bisa mempersempit kueri dengan memilih rentang tanggal, penulis tertentu, nilai properti SharePoint, atau lokasi. Sama seperti kueri eDiscovery, Anda dapat mempratinjau, mengekspor, dan mengunduh hasil kueri.

Kueri DLP berisi tipe informasi sensitif

Kebijakan DLP

Kebijakan DLP membantu Anda mengidentifikasi, memantau, dan secara otomatis melindungi informasi sensitif yang tunduk pada peraturan industri umum. Anda memilih tipe informasi sensitif apa yang akan diproteksi, dan tindakan apa yang harus dilakukan saat konten yang berisi informasi sensitif tersebut terdeteksi. Kebijakan DLP bisa memberi tahu petugas kepatuhan dengan mengirim laporan insiden, memberi tahu pengguna dengan tips kebijakan di situs, dan secara opsional memblokir akses ke dokumen untuk semua orang kecuali pemilik situs, pemilik konten, dan siapa pun yang terakhir mengubah dokumen. Akhirnya, tips kebijakan memiliki opsi untuk menimpa tindakan pemblokiran, sehingga orang-orang bisa terus bekerja dengan dokumen jika mereka memiliki pembenaran bisnis atau perlu melaporkan positif palsu.

Anda membuat dan mengelola kebijakan DLP di Pusat Kebijakan Kepatuhan. Membuat kebijakan DLP adalah proses dua langkah: pertama Anda membuat kebijakan DLP, lalu menetapkan kebijakan ke kumpulan situs.

Pusat Kebijakan Kepatuhan

Langkah 1: Membuat kebijakan DLP

Ketika membuat kebijakan DLP, Anda memilih templat DLP yang mencari tipe informasi sensitif yang perlu Anda identifikasi, pantau, dan proteksi secara otomatis.

Halaman Kebijakan DLP baru

Ketika kebijakan DLP menemukan konten yang menyertakan jumlah instans minimum dari tipe informasi sensitif tertentu yang Anda pilih – misalnya, lima nomor kartu kredit, atau nomor jaminan sosial tunggal – maka kebijakan DLP dapat secara otomatis melindungi informasi sensitif dengan melakukan tindakan berikut:

Mengirim laporan insiden kepada orang yang Anda pilih (seperti petugas kepatuhan Anda) dengan detail acara. Laporan ini menyertakan detail tentang konten yang terdeteksi seperti judul, pemilik dokumen, dan informasi sensitif apa yang terdeteksi. Untuk mengirim laporan insiden, Anda perlu mengonfigurasi pengaturan email keluar di Administrasi Pusat.
Memberi tahu pengguna dengan tips kebijakan ketika dokumen yang berisi informasi sensitif disimpan atau diedit. Tips kebijakan menjelaskan mengapa dokumen tersebut berkonflik dengan kebijakan DLP, sehingga orang-orang bisa mengambil tindakan pemulihan, seperti menghapus informasi sensitif dari dokumen. Saat dokumen sesuai, tips kebijakan akan menghilang.
Memblokir akses ke konten untuk semua orang kecuali pemilik situs, pemilik dokumen, dan orang yang terakhir mengubah dokumen. Orang-orang ini bisa menghapus informasi sensitif dari dokumen atau melakukan tindakan perbaikan lainnya. Saat dokumen sesuai, izin asli akan dipulihkan secara otomatis. Penting untuk dipahami bahwa tips kebijakan memberi orang opsi untuk menimpa tindakan pemblokiran. Dengan demikian tips kebijakan dapat membantu mengedukasi pengguna tentang kebijakan DLP Anda dan menerapkannya tanpa mencegah orang lain melakukan pekerjaan mereka.

Langkah 2: Menetapkan kebijakan DLP

Setelah membuat kebijakan DLP, Anda perlu menetapkannya ke satu atau beberapa kumpulan situs, tempat kumpulan situs dapat mulai membantu melindungi informasi sensitif di lokasi tersebut. Kebijakan tunggal dapat ditetapkan ke banyak kumpulan situs, tetapi setiap tugas perlu dibuat satu per satu.

Penetapan kebijakan untuk kumpulan situs

Tips kebijakan

Anda ingin orang-orang di organisasi Anda yang bekerja dengan informasi sensitif tetap mematuhi kebijakan DLP Anda, tetapi Anda tidak ingin memblokir mereka untuk menyelesaikan pekerjaan mereka. Di sinilah tips kebijakan dapat membantu.

Tips kebijakan adalah pemberitahuan atau peringatan yang muncul ketika seseorang bekerja dengan konten yang berkonflik dengan kebijakan DLP — misalnya, konten seperti buku kerja Excel yang berisi informasi yang dapat diidentifikasi secara pribadi (PII) dan yang disimpan ke situs.

Anda bisa menggunakan tips kebijakan untuk meningkatkan kesadaran dan membantu mendidik orang-orang tentang kebijakan organisasi Anda. Tips kebijakan juga memberi orang opsi untuk menimpa kebijakan, sehingga mereka tidak diblokir jika mereka memiliki kebutuhan bisnis yang valid atau jika kebijakan mendeteksi positif palsu.

Menampilkan atau menimpa tips kebijakan

Untuk mengambil tindakan pada dokumen, seperti menimpa kebijakan DLP atau melaporkan positif palsu, Anda dapat memilih menu Buka ... untuk item > Tampilkan tips kebijakan.

Tips kebijakan mencantumkan masalah dengan konten, dan Anda bisa memilih Atasi, lalu Menimpa tips kebijakan atau Laporkan positif palsu.

Tips kebijakan untuk dokumen Menimpa tips kebijakan

Detail tentang cara kerja tips kebijakan

Perhatikan bahwa konten dimungkinkan untuk mencocokkan lebih dari satu kebijakan DLP, tetapi hanya tips kebijakan dari kebijakan yang paling terbatas dan berprioritas tertinggi yang akan ditampilkan. Misalnya, tips kebijakan dari kebijakan DLP yang memblokir akses ke konten akan diperlihatkan melalui tips kebijakan dari aturan yang hanya memberi tahu pengguna. Ini mencegah orang melihat bertingkat tips kebijakan. Juga, jika tips kebijakan dalam kebijakan yang paling membatasi memungkinkan orang untuk menimpa kebijakan, maka menimpa kebijakan ini juga mengesampingkan kebijakan lain yang cocok dengan konten tersebut.

Kebijakan DLP disinkronkan ke situs dan konten dievaluasi terhadapnya secara berkala dan tidak sinkron (lihat bagian berikutnya), sehingga mungkin terjadi penundaan singkat antara waktu Anda membuat kebijakan DLP dan waktu Anda mulai melihat tips kebijakan.

Cara kerja kebijakan DLP

DLP mendeteksi informasi sensitif dengan menggunakan analisis konten mendalam (bukan hanya pemindaian teks sederhana). Analisis konten mendalam ini menggunakan kecocokan kata kunci, evaluasi ekspresi reguler, fungsi internal, dan metode lain untuk mendeteksi konten yang sesuai dengan kebijakan DLP Anda. Kemungkinan hanya sebagian kecil data Anda yang dianggap sensitif. Kebijakan DLP dapat mengidentifikasi, memantau, dan secara otomatis melindungi data tersebut, tanpa menghambat atau memengaruhi orang-orang yang bekerja dengan seluruh konten Anda.

Setelah Anda membuat kebijakan DLP di Pusat Kebijakan Kepatuhan, kebijakan disimpan sebagai definisi kebijakan di situs tersebut. Lalu, saat Anda menetapkan kebijakan ke kumpulan situs yang berbeda, kebijakan disinkronkan ke lokasi tersebut, di mana kebijakan mulai mengevaluasi konten dan memberlakukan tindakan seperti mengirim laporan insiden, memperlihatkan tips kebijakan, dan memblokir akses.

Evaluasi kebijakan di situs

Di seluruh kumpulan situs Anda, dokumen terus berubah — dokumen terus dibuat, diedit, dibagikan, dan seterusnya. Hal ini berarti dokumen dapat berkonflik atau sesuai dengan kebijakan DLP kapan saja. Misalnya, seseorang bisa mengunggah dokumen yang tidak berisi informasi sensitif ke situs tim mereka, tapi nanti, orang lain bisa mengedit dokumen yang sama dan menambahkan informasi sensitif ke dalamnya.

Untuk alasan ini, kebijakan DLP sering memeriksa dokumen untuk kecocokan kebijakan di latar belakang. Anda dapat menganggap ini sebagai evaluasi kebijakan asinkron.

Berikut cara kerjanya. Saat orang menambahkan atau mengubah dokumen di situs mereka, mesin pencarian memindai konten, sehingga Anda dapat mencarinya nanti. Saat ini terjadi, konten juga dipindai untuk informasi sensitif. Setiap informasi sensitif yang ditemukan disimpan dengan aman dalam indeks pencarian, sehingga hanya tim kepatuhan yang dapat mengaksesnya, tetapi bukan pengguna biasa. Setiap kebijakan DLP yang telah Anda aktifkan berjalan di latar belakang (secara asinkron), memeriksa pencarian secara berkala untuk setiap konten yang cocok dengan kebijakan, dan menerapkan tindakan untuk melindunginya dari kebocoran yang tidak disengaja.

Diagram memperlihatkan cara kebijakan DLP mengevaluasi konten secara asinkron

Terakhir, dokumen dapat berkonflik dengan kebijakan DLP, tetapi dokumen juga dapat mematuhi kebijakan DLP. Misalnya, jika seseorang menambahkan nomor kartu kredit ke dokumen, mungkin menyebabkan kebijakan DLP memblokir akses ke dokumen secara otomatis. Tetapi jika orang tersebut kemudian menghapus informasi sensitif, tindakan (dalam hal ini, pemblokiran) secara otomatis dibatalkan saat dokumen dievaluasi terhadap kebijakan tersebut.

DLP mengevaluasi konten apa pun yang dapat diindeks. Untuk informasi selengkapnya tentang tipe file apa yang dirayapi secara default, lihat Ekstensi nama file rayapan default dan tipe file yang dipilah.

Menampilkan kejadian DLP dalam log penggunaan

Anda bisa menampilkan aktivitas kebijakan DLP dalam log penggunaan di server yang menjalankan SharePoint Server 2016. Misalnya, Anda bisa menampilkan teks yang dimasukkan oleh pengguna ketika mereka menimpa tips kebijakan atau melaporkan positif palsu.

Pertama, Anda perlu mengaktifkan opsi di Administrasi Pusat (Pemantauan > Mengonfigurasi pengumpulan data kesehatan dan penggunaan > Penggunaan Kejadian Log Sederhana Data_SPUnifiedAuditEntry). Untuk informasi selengkapnya tentang pembuatan log penggunaan, lihat Mengonfigurasi pengumpulan data penggunaan dan kesehatan.

Opsi untuk mengaktifkan log penggunaan DLP

Setelah mengaktifkan fitur ini, Anda bisa membuka laporan penggunaan di server dan menampilkan justifikasi yang disediakan oleh pengguna untuk menimpa tips kebijakan DLP, bersama dengan acara DLP lainnya.

Alasan pengguna menimpa log penggunaan

Sebelum Anda mulai menggunakan DLP

Topik ini menjelaskan beberapa fitur yang bergantung pada DLP. Pengalaman ini antara lain:

Untuk mendeteksi dan mengklasifikasikan informasi sensitif dalam kumpulan situs Anda, mulai layanan pencarian dan tentukan jadwal perayapan untuk konten Anda.
Aktifkan email keluar.
Untuk menampilkan pengesampingan pengguna dan acara DLP lainnya, aktifkan laporan penggunaan.
Membuat kumpulan situs:
- Untuk kueri DLP, buat kumpulan situs Pusat eDiscovery.
- Untuk kebijakan DLP, buat kumpulan situs Pusat Kebijakan Kepatuhan.
Buat grup keamanan untuk tim kepatuhan Anda, lalu tambahkan grup keamanan ke grup Pemilik di Pusat eDiscovery atau Pusat Kebijakan Kepatuhan.
Untuk menjalankan kueri DLP, izin tampilan diperlukan untuk semua konten yang akan dicari kueri – untuk informasi selengkapnya, lihat Membuat kueri DLP di SharePoint Server 2016.