Para manterem a conformidade com os padrões de negócios e as regulamentações da indústria, as organizações precisam proteger informações confidenciais e evitar a divulgação acidental. Exemplos de informações confidenciais que talvez você queira impedir de vazar fora de sua organização incluem dados financeiros ou informações pessoais identificáveis (PII), como números de card de crédito, números de segurança social ou números de ID nacionais. Com uma política de DLP (prevenção contra perda de dados) no SharePoint Server 2016, você pode identificar, monitorar e proteger automaticamente informações confidenciais em suas coleções de sites.
Com o DLP, você pode:
-
Crie uma consulta DLP para identificar quais informações confidenciais existem agora em suas coleções de sites. Antes de criar políticas DLP, muitas vezes é útil ver com quais tipos de informações confidenciais as pessoas em sua organização estão trabalhando e com quais coleções de sites contêm essas informações confidenciais. Com uma consulta DLP, você pode encontrar informações confidenciais sujeitas a regulamentos comuns do setor, entender melhor seus riscos e determinar o que e onde estão as informações confidenciais que suas políticas DLP precisam proteger.
-
Crie uma política DLP para monitorar e proteger automaticamente informações confidenciais em suas coleções de sites. Por exemplo, você pode configurar uma política que exibe uma dica de política para os usuários se eles salvarem documentos que contenham informações identificáveis pessoalmente. Além disso, a política pode bloquear automaticamente o acesso a esses documentos para todos, exceto o proprietário do site, o proprietário do conteúdo e quem modificou o documento pela última vez. E por fim, como você não quer que suas políticas DLP impeçam que as pessoas façam seu trabalho, a dica de política tem a opção de substituir a ação de bloqueio, para que as pessoas possam continuar trabalhando com documentos se tiverem uma justificativa comercial.
Modelos DLP
Ao criar uma consulta DLP ou uma política DLP, você pode escolher entre uma lista de modelos DLP que correspondam aos requisitos regulatórios comuns. Cada modelo DLP identifica tipos específicos de informações confidenciais – por exemplo, o modelo chamado dados pii (informações pessoais identificáveis) dos EUA identifica o conteúdo que contém números de passaporte dos EUA e do Reino Unido, números de identificação de contribuinte individual dos EUA (ITIN) ou números de segurança social dos EUA (SSN).
Tipos de informações confidenciais
Uma política DLP ajuda a proteger informações confidenciais, que são definidas como um tipo de informação confidencial. O SharePoint Server 2016 inclui definições para muitos tipos de informações confidenciais comuns que estão prontos para você usar, como um número de card de crédito, números de conta bancária, números de ID nacionais e números de passaporte.
Quando uma política DLP procura um tipo de informação confidencial, como um número de card de crédito, ela não procura simplesmente um número de 16 dígitos. Cada tipo de informação confidencial é definido e detectado usando uma combinação do seguinte:
-
Palavras-chave
-
Funções internas para validar as somas de verificação ou a composição
-
Avaliação de expressões regulares para localizar correspondências padrão
-
Análise de outros conteúdos
Isso ajuda a detecção de DLP a alcançar um alto grau de precisão, reduzindo o número de falsos positivos que pode interromper o trabalho das pessoas.
Cada modelo DLP procura um ou mais tipos de informações confidenciais. Para obter mais informações sobre como cada tipo de informação confidencial funciona, consulte Quais tipos de informações confidenciais no SharePoint Server 2016 procuram.
|
Este modelo DLP... |
Procura esses tipos de informações confidenciais... |
|---|---|
|
Dados de PII (Informações Pessoais Identificáveis) dos EUA |
Número do Passaporte dos EUA / Reino Unido ITIN (número de identificação de contribuinte individual) dos EUA SSN (Número do Seguro Social) – EUA |
|
Ato Gramm-Leach-Bliley dos EUA (GLBA) |
Número do cartão de crédito Número da conta bancária dos EUA ITIN (número de identificação de contribuinte individual) dos EUA SSN (Número do Seguro Social) – EUA |
|
PCI Data Security Standard (PCI DSS) |
Número do cartão de crédito |
|
Dados financeiros do Reino Unido |
Número do cartão de crédito Número do cartão de débito da UE Código SWIFT |
|
Dados financeiros dos EUA |
Número de roteamento do ABA Número do cartão de crédito Número da conta bancária dos EUA |
|
Dados de PII (Informações Pessoais Identificáveis) do Reino Unido |
Número do Seguro Nacional do Reino Unido (NINO) Número do Passaporte dos EUA / Reino Unido |
|
Lei de Proteção de Dados do Reino Unido |
Código SWIFT Número do Seguro Nacional do Reino Unido (NINO) Número do Passaporte dos EUA / Reino Unido |
|
Regulamentos de Privacidade e Comunicações Eletrônicas do Reino Unido |
Código SWIFT |
|
Leis de confidencialidade de número de segurança social dos EUA |
SSN (Número do Seguro Social) – EUA |
|
Leis de notificação de violação de estado dos EUA |
Número do cartão de crédito Número da conta bancária dos EUA Número da carteira de motorista dos EUA SSN (Número do Seguro Social) – EUA |
Consultas DLP
Antes de criar suas políticas de DLP, talvez você queira ver quais informações confidenciais já existem em suas coleções de sites. Para fazer isso, você cria e executa consultas DLP no Centro de Descoberta Eletrônica.
Uma consulta DLP funciona da mesma forma que uma consulta de descoberta eletrônica. Com base em qual modelo DLP você escolher, a consulta DLP está configurada para pesquisar tipos específicos de informações confidenciais. Primeiro escolha os locais que você deseja pesquisar e, em seguida, você pode ajustar a consulta porque ela dá suporte à KQL (Linguagem de Consulta de Palavra-Chave). Além disso, você pode reduzir a consulta selecionando um intervalo de datas, autores específicos, valores de propriedade do SharePoint ou locais. E, assim como uma consulta de descoberta eletrônica, você pode visualizar, exportar e baixar os resultados da consulta.
Políticas DLP
Uma política DLP ajuda você a identificar, monitorar e proteger automaticamente informações confidenciais sujeitas a regulamentos comuns do setor. Você escolhe quais tipos de informações confidenciais proteger e quais ações tomar quando o conteúdo que contém essas informações confidenciais é detectado. Uma política DLP pode notificar o oficial de conformidade enviando um relatório de incidente, notificar o usuário com uma dica de política no site e, opcionalmente, bloquear o acesso ao documento para todos, exceto o proprietário do site, o proprietário do conteúdo e quem tiver modificado o documento pela última vez. Por fim, a dica de política tem a opção de substituir a ação de bloqueio, para que as pessoas possam continuar trabalhando com documentos se tiverem uma justificativa comercial ou precisarem relatar um falso positivo.
Você cria e gerencia políticas DLP no Centro de Política de Conformidade. Criar uma política DLP é um processo de duas etapas: primeiro você cria a política DLP e atribui a política a uma coleção de sites.
Etapa 1: Criando uma política DLP
Ao criar uma política DLP, você escolhe um modelo DLP que procura os tipos de informações confidenciais que você precisa identificar, monitorar e proteger automaticamente.
Quando uma política DLP encontra conteúdo que inclui o número mínimo de instâncias de um tipo específico de informações confidenciais que você escolhe – por exemplo, cinco números de card de crédito ou um único número de segurança social – a política DLP pode proteger automaticamente as informações confidenciais tomando as seguintes ações:
-
Enviando um relatório de incidente para as pessoas que você escolher (como seu oficial de conformidade) com detalhes do evento. Este relatório inclui detalhes sobre o conteúdo detectado, como o título, o proprietário do documento e quais informações confidenciais foram detectadas. Para enviar relatórios de incidentes, você precisa configurar as configurações de email de saída na Administração Central.
-
Notificar o usuário com uma dica de política quando documentos que contêm informações confidenciais são salvos ou editados. A dica de política explica por que esse documento entra em conflito com uma política DLP, para que as pessoas possam tomar medidas corretivas, como remover as informações confidenciais do documento. Quando o documento está em conformidade, a dica de política desaparece.
-
Bloquear o acesso ao conteúdo para todos, exceto o proprietário do site, o proprietário do documento e a pessoa que modificou o documento pela última vez. Essas pessoas podem remover as informações confidenciais do documento ou executar outra ação corretiva. Quando o documento estiver em conformidade, as permissões originais serão restauradas automaticamente. É importante entender que a dica de política dá às pessoas a opção de substituir a ação de bloqueio. As dicas de política podem, portanto, ajudar a educar os usuários sobre suas políticas DLP e aplicá-los sem impedir que as pessoas façam seu trabalho.
Etapa 2: Atribuição de uma política DLP
Depois de criar uma política DLP, você precisará atribuí-la a uma ou mais coleções de sites, em que ela pode começar a ajudar a proteger informações confidenciais nesses locais. Uma única política pode ser atribuída a muitas coleções de sites, mas cada atribuição precisa ser criada uma de cada vez.
Dicas de política
Você deseja que as pessoas em sua organização que trabalham com informações confidenciais permaneçam em conformidade com suas políticas de DLP, mas você não quer impedi-las desnecessariamente de fazer seu trabalho. É aqui que as dicas de política podem ajudar.
Uma dica de política é uma notificação ou aviso que aparece quando alguém está trabalhando com conteúdo que entra em conflito com uma política DLP – por exemplo, conteúdo como uma pasta de trabalho do Excel que contém informações pessoais identificáveis (PII) e que é salva em um site.
Você pode usar dicas de política para aumentar a conscientização e ajudar a educar as pessoas sobre as políticas da sua organização. As dicas de política também dão às pessoas a opção de substituir a política, para que elas não sejam bloqueadas se tiverem uma necessidade comercial válida ou se a política estiver detectando um falso positivo.
Exibindo ou substituindo uma dica de política
Para agir em um documento, como substituir a política DLP ou relatar um falso positivo, você pode selecionar o menu Abrir ... para o item > Exibir dica de política.
A dica de política lista os problemas com o conteúdo e você pode escolher Resolver e substituir a dica de política ou Relatar um falso positivo.
Detalhes sobre como as dicas de política funcionam
Observe que é possível que o conteúdo corresponda a mais de uma política DLP, mas apenas a dica de política da política mais restritiva e de alta prioridade será mostrada. Por exemplo, uma dica de política de uma política DLP que bloqueia o acesso ao conteúdo será mostrada por meio de uma dica de política de uma regra que simplesmente notifica o usuário. Isso impede que as pessoas vejam uma cascata de dicas de política. Além disso, se as dicas de política na política mais restritiva permitirem que as pessoas substituam a política, a substituição dessa política também substituirá quaisquer outras políticas correspondentes ao conteúdo.
As políticas DLP são sincronizadas com sites e o conteúdo é avaliado em relação a eles periodicamente e de forma assíncrona (consulte a próxima seção), portanto, pode haver um pequeno atraso entre a hora em que você cria a política DLP e a hora em que você começa a ver as dicas de política.
Como funcionam as políticas DLP
A DLP detecta informações confidenciais usando análise profunda de conteúdo (não apenas uma simples verificação de texto). Essa análise de conteúdo profundo usa palavra-chave correspondências, a avaliação de expressões regulares, funções internas e outros métodos para detectar conteúdo que corresponda às políticas DLP. Possivelmente, apenas uma pequena porcentagem dos seus dados é considerada confidencial. Uma política DLP pode identificar, monitorar e proteger automaticamente apenas esses dados, sem impedir ou afetar as pessoas que trabalham com o restante do seu conteúdo.
Depois de criar uma política DLP no Centro de Política de Conformidade, ela será armazenada como uma definição de política nesse site. Em seguida, à medida que você atribui a política a diferentes coleções de sites, a política é sincronizada com esses locais, onde começa a avaliar o conteúdo e impor ações como enviar relatórios de incidentes, mostrar dicas de política e bloquear o acesso.
Avaliação de política em sites
Em todas as coleções de sites, os documentos estão em constante alteração – eles estão continuamente sendo criados, editados, compartilhados e assim por diante. Isso significa que eles podem entrar em conflito ou ficar em conformidade com uma política DLP a qualquer momento. Por exemplo, uma pessoa pode carregar um documento que não contém nenhuma informação confidencial no seu site de equipe, mas, posteriormente, outra pessoa pode editar o mesmo documento e adicionar informações confidenciais a ele.
Por esse motivo, as políticas DLP verificam documentos em busca de correspondências de política com frequência em segundo plano. Você pode considerar isso uma avaliação assíncrona da política.
Veja como isso funciona. À medida que as pessoas adicionam ou alteram documentos em seus sites, o mecanismo de pesquisa examina o conteúdo para que você possa pesquisá-lo mais tarde. Enquanto isso está acontecendo, o conteúdo também é verificado em busca de informações confidenciais. Todas as informações confidenciais encontradas são armazenadas com segurança no índice de pesquisa, para que apenas a equipe de conformidade possa acessá-la, mas não usuários típicos. Cada política DLP ativada é executada em segundo plano (de forma assíncrona), verificando a pesquisa com frequência por qualquer conteúdo que corresponda a uma política e aplicando ações para protegê-la contra vazamentos inadvertidos.
Por fim, os documentos podem conflitar uma política DLP, mas eles também podem ficar em conformidade com ela. Por exemplo, se uma pessoa adicionar números de cartão de crédito a um documento, isso poderá fazer com que uma política DLP bloqueie o acesso ao documento automaticamente. Mas, se a pessoa remover, mais tarde, as informações confidenciais, a ação (neste caso, bloqueio) será desfeita na próxima vez que se avaliar se o documento está de acordo com a política.
A DLP avalia qualquer conteúdo que possa ser indexado. Para obter mais informações sobre quais tipos de arquivo são rastreados por padrão, consulte Extensões de nome de arquivo rastreadas padrão e tipos de arquivo analisados.
Exibir eventos DLP nos logs de uso
Você pode exibir a atividade de política DLP nos logs de uso no servidor que executa o SharePoint Server 2016. Por exemplo, você pode exibir o texto inserido pelos usuários ao substituir uma dica de política ou relatar um falso positivo.
Primeiro, você precisa ativar a opção na Administração Central (Monitoramento > Configurar o uso e a coleta de dados de integridade > Data_SPUnifiedAuditEntry de Uso de Eventos de Log Simples). Para obter mais informações sobre o registro em log de uso, consulte Configurar o uso e a coleta de dados de integridade.
Depois de ativar esse recurso, você pode abrir os relatórios de uso no servidor e exibir as justificativas fornecidas pelos usuários para substituir uma dica de política DLP, juntamente com outros eventos DLP.
Antes de começar a usar o DLP
Este tópico descreve alguns dos recursos dos quais o DLP depende. Elas incluem:
-
Para detectar e classificar informações confidenciais em suas coleções de sites, inicie o serviço de pesquisa e defina uma agenda de rastreamento para seu conteúdo.
-
Ative o email de saída.
-
Para exibir substituições de usuário e outros eventos DLP, ative o relatório de uso.
-
Crie as coleções de sites:
-
Para consultas DLP, crie a coleção de sites do Centro de Descoberta Eletrônica.
-
Para políticas DLP, crie o conjunto de sites do Centro de Política de Conformidade.
-
-
Crie um grupo de segurança para sua equipe de conformidade e adicione o grupo de segurança ao grupo Proprietários no Centro de Descoberta Eletrônica ou Centro de Política de Conformidade.
-
Para executar consultas DLP, exiba permissões para todo o conteúdo que a consulta pesquisará – para obter mais informações, consulte Criar uma consulta DLP no SharePoint Server 2016.
