Descrição geral da prevenção de perda de dados no SharePoint Server 2016 e 2019

Para cumprir as normas comerciais e os regulamentos do setor, as organizações precisam de proteger informações confidenciais e impedir a sua divulgação inadvertida. Exemplos de informações confidenciais que poderá querer impedir de fugas fora da sua organização incluem dados financeiros ou informações pessoais (PII), como números de cartões de crédito, números de segurança social ou números de ID nacional. Com uma política de prevenção de perda de dados (DLP) no SharePoint Server 2016, pode identificar, monitorizar e proteger automaticamente informações confidenciais nas suas coleções de sites.

Com o DLP, pode:

Crie uma consulta DLP para identificar que informações confidenciais existem agora nas suas coleções de sites. Antes de criar políticas DLP, muitas vezes é útil ver com que tipos de informações confidenciais as pessoas na sua organização estão a trabalhar e com que coleções de sites contêm estas informações confidenciais. Com uma consulta DLP, pode encontrar informações confidenciais sujeitas a regulamentos comuns do setor, compreender melhor os seus riscos e determinar quais são as informações confidenciais que as suas políticas DLP precisam de proteger.
Crie uma política DLP para monitorizar e proteger automaticamente informações confidenciais nas suas coleções de sites. Por exemplo, pode configurar uma política que apresenta uma sugestão de política aos utilizadores se estes guardarem documentos que contenham informações pessoais identificáveis. Além disso, a política pode bloquear automaticamente o acesso a esses documentos para todos, exceto o proprietário do site, o proprietário do conteúdo e quem modificou o documento pela última vez. Por fim, como não quer que as suas políticas DLP impeçam as pessoas de realizarem o seu trabalho, a sugestão de política tem a opção de substituir a ação de bloqueio, para que as pessoas possam continuar a trabalhar com documentos se tiverem uma justificação comercial.

Modelos DLP

Quando cria uma consulta DLP ou uma política DLP, pode escolher a partir de uma lista de modelos DLP que correspondem a requisitos regulamentares comuns. Cada modelo DLP identifica tipos específicos de informações confidenciais– por exemplo, o modelo denominado Dados de Informações Pessoais (PII) dos EUA identifica conteúdo que contém números de passaporte dos E.U.A. e do Reino Unido, Números de Identificação Individual dos Contribuintes (ITIN) dos EUA ou Números de Segurança Social (SSN) dos EUA.

Modelos de política DLP

Tipos de informações confidenciais

Uma política DLP ajuda a proteger informações confidenciais, que são definidas como um tipo de informação confidencial. O SharePoint Server 2016 inclui definições para muitos tipos de informações confidenciais comuns que estão prontos para utilização, como um número de cartão de crédito, números de contas bancárias, números de ID nacionais e números de passaporte.

Quando uma política DLP procura um tipo de informação confidencial, como um número de cartão de crédito, não procura simplesmente um número de 16 dígitos. Cada tipo de informação confidencial é definido e detetado através de uma combinação de:

Palavras-chave
Funções internas para validar somas de verificação ou composição
Avaliação de expressões regulares para localizar correspondências de padrões
Outro exame de conteúdo

Isto ajuda a deteção de DLP a obter um elevado grau de precisão, ao mesmo tempo que reduz o número de falsos positivos que podem interromper o trabalho das pessoas.

Cada modelo DLP procura um ou mais tipos de informações confidenciais. Para obter mais informações sobre como cada tipo de informação confidencial funciona, consulte O que os tipos de informações confidenciais no SharePoint Server 2016 procuram.

Este modelo DLP...	Procura estes tipos de informações confidenciais...
Dados de Informações Pessoais (PII) dos E.U.A.	Número de Passaporte dos E.U.A. / R.U. Número de Identificação Individual dos Contribuintes dos EUA (ITIN) Número de Segurança Social dos E.U.A. (SSN)
U.S. Gramm-Lix-Bliley Act (GLBA)	Número do Cartão de Crédito Número da Conta Bancária dos E.U.A. Número de Identificação Individual dos Contribuintes dos EUA (ITIN) Número de Segurança Social dos E.U.A. (SSN)
PCI Data Security Standard (PCI DSS)	Número do Cartão de Crédito
Dados Financeiros do Reino Unido	Número do Cartão de Crédito Número do Cartão de Débito da UE Código SWIFT
Dados Financeiros dos E.U.A.	Número de Encaminhamento do ABA Número do Cartão de Crédito Número da Conta Bancária dos E.U.A.
Dados de Informações Pessoais (PII) do Reino Unido	Número do Seguro Nacional do Reino Unido (NINO) Número de Passaporte dos E.U.A. / R.U.
Lei de Proteção de Dados do Reino Unido	Código SWIFT Número do Seguro Nacional do Reino Unido (NINO) Número de Passaporte dos E.U.A. / R.U.
Regulamentos de Privacidade e Comunicações Eletrónicas do Reino Unido	Código SWIFT
Leis de Confidencialidade do Número de Segurança Social do Estado dos EUA	Número de Segurança Social dos E.U.A. (SSN)
Leis de Notificação de Violação de Estado dos EUA	Número do Cartão de Crédito Número da Conta Bancária dos E.U.A. Número de Carta de Condução dos E.U.A. Número de Segurança Social dos E.U.A. (SSN)

Consultas DLP

Antes de criar as políticas DLP, poderá querer ver que informações confidenciais já existem nas suas coleções de sites. Para tal, crie e execute consultas DLP no Centro de Deteção de Dados Eletrónicos.

Botão Criar Consulta DLP

Uma consulta DLP funciona da mesma forma que uma consulta de Deteção de Dados Eletrónicos. Com base no modelo DLP que escolher, a consulta DLP está configurada para procurar tipos específicos de informações confidenciais. Em primeiro lugar, escolha as localizações que pretende procurar e, em seguida, pode ajustar a consulta porque suporta a Linguagem de Consulta de Palavras-chave (KQL). Além disso, pode restringir a consulta ao selecionar um intervalo de datas, autores específicos, valores de propriedades do SharePoint ou localizações. Tal como uma consulta de Deteção de Dados Eletrónicos, pode pré-visualizar, exportar e transferir os resultados da consulta.

Consulta DLP que contém tipos de informações confidenciais

Políticas DLP

Uma política DLP ajuda-o a identificar, monitorizar e proteger automaticamente informações confidenciais que estão sujeitas a regulamentos comuns do setor. Pode escolher os tipos de informações confidenciais a proteger e que ações tomar quando forem detetadas conteúdos que contenham essas informações confidenciais. Uma política DLP pode notificar o responsável pela conformidade ao enviar um relatório de incidente, notificar o utilizador com uma sugestão de política no site e, opcionalmente, bloquear o acesso ao documento para todos, exceto o proprietário do site, o proprietário do conteúdo e quem modificou o documento pela última vez. Por fim, a sugestão de política tem a opção de substituir a ação de bloqueio, para que as pessoas possam continuar a trabalhar com documentos se tiverem uma justificação comercial ou precisarem de comunicar um falso positivo.

Pode criar e gerir políticas DLP no Centro de Políticas de Conformidade. Criar uma política DLP é um processo de dois passos: primeiro cria a política DLP e, em seguida, atribui a política a uma coleção de sites.

Centro de Políticas de Conformidade

Passo 1: Criar uma política DLP

Quando cria uma política DLP, escolhe um modelo DLP que procura os tipos de informações confidenciais que precisa para identificar, monitorizar e proteger automaticamente.

Nova página de Política DLP

Quando uma política DLP encontra conteúdo que inclui o número mínimo de instâncias de um tipo específico de informações confidenciais que escolher , por exemplo, cinco números de cartão de crédito ou um único número de segurança social, a política DLP pode proteger automaticamente as informações confidenciais ao efetuar as seguintes ações:

Enviar um relatório de incidente para as pessoas que escolher (como o seu responsável pela conformidade) com os detalhes do evento. Este relatório inclui detalhes sobre o conteúdo detetado, como o título, o proprietário do documento e que informações confidenciais foram detetadas. Para enviar relatórios de incidentes, tem de configurar as definições de envio de e-mail na Administração Central.
Notificar o utilizador com uma sugestão de política quando os documentos que contêm informações confidenciais são guardados ou editados. A sugestão de política explica porque é que esse documento entra em conflito com uma política DLP, para que as pessoas possam tomar medidas corretivas, como remover as informações confidenciais do documento. Quando o documento está em conformidade, a sugestão de política desaparece.
Bloquear o acesso ao conteúdo para todos, exceto o proprietário do site, o proprietário do documento e a pessoa que modificou o documento pela última vez. Estas pessoas podem remover as informações confidenciais do documento ou efetuar outras ações de correção. Quando o documento estiver em conformidade, as permissões originais serão restauradas automaticamente. É importante compreender que a sugestão de política dá às pessoas a opção de substituir a ação de bloqueio. Assim, as sugestões de política podem ajudar a educar os utilizadores sobre as suas políticas DLP e a impô-las sem impedir que as pessoas façam o seu trabalho.

Passo 2: Atribuir uma política DLP

Depois de criar uma política DLP, tem de atribuí-la a uma ou mais coleções de sites, onde pode começar a ajudar a proteger informações confidenciais nessas localizações. Uma única política pode ser atribuída a muitas coleções de sites, mas cada atribuição tem de ser criada uma de cada vez.

Atribuições de políticas para coleções de sites

Sugestões de política

Pretende que as pessoas na sua organização que trabalham com informações confidenciais se mantenham em conformidade com as suas políticas DLP, mas não quer impedi-las desnecessariamente de fazer o seu trabalho. É aqui que as sugestões de política podem ajudar.

Uma sugestão de política é uma notificação ou aviso que aparece quando alguém está a trabalhar com conteúdos que entram em conflito com uma política DLP , por exemplo, conteúdos como um livro do Excel que contém informações pessoais (PII) e que são guardados num site.

Pode utilizar sugestões de política para aumentar a consciencialização e ajudar a educar as pessoas sobre as políticas da sua organização. As sugestões de política também dão às pessoas a opção de substituir a política, para que não sejam bloqueadas se tiverem uma necessidade empresarial válida ou se a política estiver a detetar um falso positivo.

Ver ou substituir uma sugestão de política

Para efetuar uma ação num documento, como substituir a política DLP ou comunicar um falso positivo, pode selecionar o menu Abrir ... para o item > Sugestão da política Ver.

A sugestão de política lista os problemas com o conteúdo e pode selecionar Resolver e, em seguida, Substituir a sugestão de política ou Comunicar um falso positivo.

Sugestão de política para um documento Substituir uma sugestão de política

Detalhes sobre como funcionam as sugestões de política

Tenha em atenção que é possível que os conteúdos correspondam a mais do que uma política DLP, mas apenas será apresentada a sugestão de política da política mais restritiva e de prioridade mais alta. Por exemplo, uma sugestão de política de uma política DLP que bloqueia o acesso ao conteúdo será apresentada através de uma sugestão de política de uma regra que simplesmente notifica o utilizador. Isto impede que as pessoas vejam uma cascata de sugestões políticas. Além disso, se as sugestões de política na política mais restritiva permitirem que as pessoas substituam a política, substituir esta política também substituirá quaisquer outras políticas correspondentes ao conteúdo.

As políticas DLP são sincronizadas com sites e os conteúdos são avaliados em relação aos mesmos periodicamente e de forma assíncrona (consulte a secção seguinte), pelo que poderá haver um breve atraso entre o momento em que cria a política DLP e a hora em que começa a ver sugestões de política.

Como funcionam as políticas DLP

O DLP deteta informações confidenciais através da análise de conteúdo aprofundada (e não apenas de uma simples análise de texto). Esta análise de conteúdo profunda utiliza correspondências de palavras-chave, a avaliação de expressões regulares, funções internas e outros métodos para detetar conteúdo que corresponda às suas políticas DLP. Potencialmente, apenas uma pequena percentagem dos seus dados é considerada confidencial. Uma política DLP pode identificar, monitorizar e proteger automaticamente apenas esses dados, sem impedir ou afetar as pessoas que trabalham com o resto do seu conteúdo.

Depois de criar uma política DLP no Centro de Políticas de Conformidade, esta é armazenada como uma definição de política nesse site. Em seguida, à medida que atribui a política a diferentes coleções de sites, a política é sincronizada com essas localizações, onde começa a avaliar o conteúdo e a impor ações como enviar relatórios de incidentes, mostrar sugestões de política e bloquear o acesso.

Avaliação de políticas em sites

Em todas as suas coleções de sites, os documentos estão em constante mudança. Estão continuamente a ser criados, editados, partilhados, etc. Isto significa que os documentos podem entrar em conflito ou ficar em conformidade com uma política DLP em qualquer altura. Por exemplo, uma pessoa pode carregar um documento que não contém informações confidenciais para o respetivo site de equipa, mas posteriormente, uma pessoa diferente pode editar o mesmo documento e adicionar-lhe informações confidenciais.

Por este motivo, as políticas DLP verificam os documentos relativamente a correspondências de políticas frequentemente em segundo plano. Pode considerar esta avaliação de política assíncrona.

Eis como funciona. À medida que as pessoas adicionam ou alteram documentos nos respetivos sites, o motor de busca analisa o conteúdo, para que possa procurá-lo mais tarde. Enquanto isto está a acontecer, o conteúdo também foi analisado para obter informações confidenciais. Todas as informações confidenciais encontradas são armazenadas de forma segura no índice de pesquisa, para que apenas a equipa de conformidade possa aceder às mesmas, mas não aos utilizadores típicos. Cada política DLP que tenha ativado é executada em segundo plano (de forma assíncrona), verificando frequentemente se existem conteúdos que correspondam a uma política e aplicando ações para protegê-lo contra fugas inadvertidas.

Diagrama a mostrar como a política DLP avalia o conteúdo de forma assíncrona

Por fim, os documentos podem entrar em conflito com uma política DLP, mas também podem ficar em conformidade com uma política DLP. Por exemplo, se uma pessoa adicionar números de cartão de crédito a um documento, poderá fazer com que uma política DLP bloqueie automaticamente o acesso ao documento. No entanto, se a pessoa remover mais tarde as informações confidenciais, a ação (neste caso, bloqueio) será anulada automaticamente da próxima vez que o documento for avaliado em relação à política.

O DLP avalia qualquer conteúdo que possa ser indexado. Para obter mais informações sobre os tipos de ficheiro que são pesquisados por predefinição, veja Extensões de nome de ficheiro pesquisadas predefinidas e tipos de ficheiro analisados.

Ver eventos DLP nos registos de utilização

Pode ver a atividade da política DLP nos registos de utilização no servidor que executa o SharePoint Server 2016. Por exemplo, pode ver o texto introduzido pelos utilizadores quando substituem uma sugestão de política ou comunicam um falso positivo.

Primeiro, tem de ativar a opção na Administração Central (Monitorização > Configurar a recolha de dados de utilização e estado de funcionamento > Data_SPUnifiedAuditEntry de Utilização de Eventos de Registo Simples). Para obter mais informações sobre o registo de utilização, veja Configurar a recolha de dados de utilização e estado de funcionamento.

Opção para ativar os registos de utilização DLP

Depois de ativar esta funcionalidade, pode abrir os relatórios de utilização no servidor e ver as justificações fornecidas pelos utilizadores para substituir uma sugestão de política DLP, juntamente com outros eventos DLP.

Motivo para a substituição do utilizador no registo de utilização

Antes de começar a utilizar o DLP

Este tópico descreve algumas das funcionalidades de que o DLP depende. Estas incluem:

Para detetar e classificar informações confidenciais nas suas coleções de sites, inicie o serviço de pesquisa e defina uma agenda de pesquisa para o seu conteúdo.
Ative o e-mail de saída.
Para ver substituições de utilizadores e outros eventos DLP, ative o relatório de utilização.
Crie as coleções de sites:
- Para consultas DLP, crie a coleção de sites do Centro de Deteção de Dados Eletrónicos.
- Para políticas DLP, crie a coleção de sites do Centro de Políticas de Conformidade.
Crie um grupo de segurança para a sua equipa de conformidade e, em seguida, adicione o grupo de segurança ao grupo Proprietários no Centro de Deteção de Dados Eletrónicos ou no Centro de Políticas de Conformidade.
Para executar consultas DLP, são necessárias permissões de visualização para todos os conteúdos que a consulta irá procurar . Para obter mais informações, consulte Criar uma consulta DLP no SharePoint Server 2016.