Gestire i criteri in gestione dei rischi Insider

  • 6 minuti

La creazione di criteri di gestione dei rischi Insider efficaci è solo il primo passaggio. Man mano che i rischi Insider evolvono, devono evolvere anche i criteri. La gestione regolare garantisce che i criteri rimangano pertinenti, efficaci e allineati agli obiettivi dell'organizzazione. Una corretta gestione consente anche di identificare le lacune, regolare le soglie e perfezionare le impostazioni per attenuare i rischi senza creare rumore non necessario.

Verificare l’integrità dei criteri

Usare il dashboard Criteri in Microsoft Purview per visualizzare l'integrità e l'efficacia dei criteri dei rischi Insider. Il dashboard offre una visualizzazione immediata delle metriche e delle informazioni dettagliate critiche:

  • Nome criteri: elenca tutti i criteri attivi.

  • Stato criterio: indica se il criterio è integro o presenta avvisi o raccomandazioni di configurazione. Ad esempio:

    • Integro: non sono stati rilevati problemi.

    • Raccomandazioni: I miglioramenti della configurazione vengono suggeriti per migliorare l'efficacia dei criteri.

    • Avvisi: la funzionalità dei criteri potrebbe essere compromessa a causa di configurazioni incomplete o altri problemi.

  • Avvisi attivi: visualizza il numero di avvisi attualmente generati dal criterio.

  • Avvisi confermati: tiene traccia del numero di avvisi convalidati come veri positivi negli ultimi 365 giorni.

  • Azioni eseguite sugli avvisi: riepiloga gli avvisi confermati o ignorati nell'ultimo anno.

  • Efficacia degli avvisi dei criteri: mostra la percentuale di avvisi confermati divisi per le azioni totali eseguite sugli avvisi, fornendo una misura dell'esito positivo del criterio.

    Screenshot che mostra il dashboard Avvisi in Gestione dei rischi Insider.

Criteri di aggiornamento

È importante esaminare e aggiornare regolarmente i criteri per garantire che rimangano efficaci. Per aggiornare un criterio esistente:

  1. Accedere al portale di Microsoft Purview.

  2. Passare a Soluzioni>Gestione dei rischi Insider>Criteri

  3. Selezionare il criterio da aggiornare e quindi Modifica criterio.

    Screenshot che mostra dove modificare un criterio di rischio Insider.

  4. Modificare le impostazioni seguenti in base alle esigenze:

    • Ambito: modificare gli utenti, i gruppi o gli ambiti adattivi inclusi nei criteri.

    • Indicatori e trigger: aggiornare le soglie dell'attività o aggiungere nuovi trigger.

    • Priorità contenuto: rivedere la priorità dei contenuti per allinearsi ai cambiamenti degli obiettivi dell'organizzazione.

  5. Salvare le modifiche per applicare gli aggiornamenti.

Copiare i criteri

Se è necessario un nuovo criterio simile a uno esistente, è possibile risparmiare tempo copiando e modificando un criterio esistente:

  1. Selezionare la casella di controllo corrispondente al criterio che si vuole copiare dal dashboard Criteri.

  2. Selezionare Copia criterio, quindi specificare un nome univoco per il nuovo criterio.

    Screenshot che mostra dove copiare un criterio di rischio Insider.

  3. Modificare le configurazioni in base alle esigenze, ad esempio modificando l'ambito, i trigger o gli indicatori.

  4. Inviare il criterio copiato.

Eliminare i criteri

Quando i criteri non sono più necessari, è possibile eliminarli, ma si noti che questa azione è irreversibile. Sono disponibili due opzioni per eliminare un criterio:

  1. Eliminare solo i criteri: mantiene gli avvisi associati e i dati utente.
  2. Eliminare i criteri e i dati associati: rimuove tutti gli avvisi e i dati utente correlati ai criteri, a meno che gli avvisi non siano collegati a un caso aperto.

Per eliminare un criterio:

  1. Passare al dashboard Criteri.

  2. Selezionare il criterio che si desidera eliminare.

  3. Selezionare Eliminae quindi selezionare l'opzione di eliminazione desiderata.

  4. Selezionare l'opzione di attivazione appropriata.

    Screenshot che mostra le opzioni per l’eliminazione di un criterio di gestione dei rischi Insider.

  5. Selezionare Sì, elimina questo criterio per confermare la rimozione dei criteri di gestione dei rischi Insider.

Nota

Il completamento dell'eliminazione di un criterio potrebbe richiedere fino a 72 ore.

Miglioramento continuo

Le revisioni e le rettifiche regolari consentono di garantire che i criteri dei rischi Insider rimangano efficaci in base alle esigenze e ai rischi dell'organizzazione. Queste procedure consentono di mantenere i criteri accurati e allineati agli obiettivi aziendali:

  • Monitorare l'efficacia dei criteri: usare il dashboard Criteri per tenere traccia delle tendenze degli avvisi e perfezionare i criteri in base ai risultati.
  • Regolare le soglie in base alle esigenze: analizzare gli avvisi e il feedback per ridurre i falsi positivi e migliorare l'accuratezza.
  • Aggiornamenti dei documenti: gestire i record delle modifiche ai criteri, inclusi i motivi per gli aggiornamenti e i risultati, per supportare i controlli e le verifiche di conformità.

Seguendo questi passaggi e consigli, l'organizzazione può creare e gestire in modo efficace i criteri di gestione dei rischi Insider per attenuare le potenziali minacce.