Compartilhar via


Saiba mais sobre o gerenciamento de riscos internos

Importante

Gerenciamento de Risco Interno do Microsoft Purview correlaciona vários sinais para identificar potenciais riscos internos maliciosos ou inadvertidos, como roubo de IP, fuga de dados e violações de segurança. A gestão de riscos internos permite que os clientes criem políticas para gerir a segurança e a conformidade. Criados com privacidade por predefinição, os utilizadores são pseudonimizados por predefinição e os controlos de acesso baseados em funções e os registos de auditoria estão implementados para ajudar a garantir a privacidade ao nível do utilizador.

O Gerenciamento de Risco Interno do Microsoft Purviewé uma solução de conformidade que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertidas em sua organização. As políticas de risco interno permitem que você defina os tipos de riscos a serem identificados e detectados em sua organização, incluindo a ação em casos e o escalonamento de casos para a Descoberta Eletrônica da Microsoft (Premium), se necessário. Os analistas de risco em sua organização podem executar rapidamente as ações apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.

Para obter mais informações e uma descrição geral do processo de planeamento para abordar atividades potencialmente arriscadas na sua organização que possam levar a um incidente de segurança, consulte Iniciar um programa de gestão de riscos internos.

Veja os vídeos abaixo para saber como a gestão de riscos internos pode ajudar a sua organização a prevenir, detetar e conter riscos ao atribuir prioridades aos valores, cultura e experiência do utilizador da sua organização:

Solução de gestão de riscos internos & desenvolvimento:


Fluxo de trabalho de gestão de riscos internos:

Veja o vídeo da Microsoft Mechanics sobre como a gestão de riscos internos e a conformidade de comunicação funcionam em conjunto para ajudar a minimizar os riscos de dados dos utilizadores na sua organização.

Importante

Atualmente, a gestão de riscos internos está disponível em inquilinos alojados em regiões geográficas e países suportados pelas dependências de serviço do Azure. Para verificar se a gestão de riscos internos é suportada para a sua organização, veja Disponibilidade das dependências do Azure por país/região.

Dica

Se você não é um cliente E5, use a avaliação das soluções do Microsoft Purview de 90 dias para explorar como os recursos adicionais do Purview podem ajudar sua organização a gerenciar as necessidades de segurança e conformidade de dados. Comece agora no hub de avaliações do Microsoft Purview. Saiba mais detalhes sobre os termos de inscrição e avaliação.

Pontos de dor de risco modernos

O gerenciamento e a minimização de riscos na organização começam com a compreensão dos tipos de riscos encontrados no local de trabalho moderno. Alguns riscos são impulsionados por eventos externos e fatores que estão fora do controlo direto. Outros riscos são impulsionados por eventos internos e ações do utilizador que podem ser minimizadas e evitadas. Alguns exemplos são riscos de comportamento ilegal, inadequado, não autorizado ou antiético e ações por parte dos utilizadores na sua organização. Estes comportamentos incluem uma vasta gama de riscos internos por parte dos utilizadores:

  • Vazamentos de dados confidenciais e análise de dados
  • Violações de confidencialidade
  • Direitos de Propriedade Intelectual (IP)
  • Fraude
  • Informações privilegiadas
  • Soluções de conformidade regulamentar

Os utilizadores no local de trabalho moderno têm acesso para criar, gerir e partilhar dados num amplo espectro de plataformas e serviços. Na maioria dos casos, as organizações têm recursos e ferramentas limitados para identificar e mitigar riscos ao nível da organização, ao mesmo tempo que cumprem os padrões de privacidade dos utilizadores.

A gestão de riscos internos utiliza toda a amplitude dos indicadores de serviço e de terceiros para ajudá-lo a identificar, fazer a triagem e agir rapidamente sobre a atividade de risco. Ao utilizar registos do Microsoft 365 e do Microsoft Graph, a gestão de riscos internos permite-lhe definir políticas específicas para identificar indicadores de risco. Estas políticas permitem-lhe identificar atividades de risco e agir para mitigar estes riscos.

A gestão de riscos internos centra-se nos seguintes princípios:

  • Transparência: equilibre a privacidade dos utilizadores em comparação com o risco da organização com a arquitetura de privacidade por estrutura.
  • Configurável: políticas configuráveis baseadas em grupos empresariais, geográficos e industriais.
  • Integrado: fluxo de trabalho integrado em soluções do Microsoft Purview.
  • Acionável: fornece informações para ativar notificações de revisores, investigações de dados e investigações de utilizadores.

Identificar potenciais riscos com a análise

A análise de riscos internos permite que você conduza uma avaliação de riscos internos potenciais na sua organização sem configurar nenhuma política de riscos internos. Esta avaliação pode ajudar a sua organização a identificar potenciais áreas de maior risco de utilizador e ajudar a determinar o tipo e o âmbito das políticas de gestão de riscos internos que poderá considerar configurar. Esta avaliação também pode ajudá-lo a determinar as necessidades de licenciamento adicional ou otimização futura de políticas de risco interno existentes.

Para saber mais sobre a análise de riscos internos, veja Definições de gestão de riscos internos: Análise.

Quer esteja a configurar a gestão de riscos internos pela primeira vez ou a começar a criar novas políticas, a nova experiência de ações recomendadas pode ajudá-lo a tirar o máximo partido das capacidades de gestão de riscos internos. As ações recomendadas incluem a configuração de permissões, a escolha de indicadores de política, a criação de uma política e muito mais.

Fluxo de trabalho

O fluxo de trabalho de gestão de riscos internos ajuda-o a identificar, investigar e tomar medidas para resolver riscos internos na sua organização. Com modelos de políticas focados, sinalização de atividade abrangente em todo o serviço Microsoft 365 e ferramentas de gestão de alertas e casos, pode utilizar informações acionáveis para identificar e agir rapidamente sobre comportamentos de risco.

A identificação e resolução de atividades de risco interno e problemas de conformidade com a gestão de riscos internos utiliza o seguinte fluxo de trabalho:

Fluxo de trabalho de gestão de riscos internos.

Políticas

As políticas de gestão de riscos internos são criadas com modelos predefinidos e condições de política que definem os eventos acionadores e os indicadores de risco que são examinados na sua organização. Estas condições incluem a forma como os indicadores de risco são utilizados para alertas, que utilizadores estão incluídos na política, quais os serviços priorizados e o período de tempo de deteção.

Pode selecionar a partir dos seguintes modelos de política para começar rapidamente a utilizar a gestão de riscos internos:

Alertas

Os alertas são gerados automaticamente por indicadores de risco que correspondem às condições da política e são apresentados no dashboard Alertas. Esse painel permite uma exibição rápida de todos os alertas que precisam de revisão, alertas abertos ao longo do tempo e estatísticas de alerta para a sua organização. Todos os alertas de política são apresentados com as seguintes informações para o ajudar a identificar rapidamente o status de alertas existentes e novos alertas que precisam de ação:

  • ID
  • Usuários
  • Alerta
  • Status
  • Gravidade do alerta
  • Hora detetada
  • Caso
  • Status de casos
  • Fatores de risco

Triagem

As novas atividades de utilizador que precisam de investigação geram automaticamente alertas aos quais é atribuída uma revisão de necessidades status. Os revisores podem identificar e rever, avaliar e fazer a triagem rapidamente destes alertas.

Os alertas são resolvidos abrindo um novo caso, atribuindo o alerta a um caso existente ou descartando o alerta. Ao utilizar filtros de alerta, é fácil identificar rapidamente alertas por status, gravidade ou tempo detetado. Como parte do processo de triagem, os revisores podem ver os detalhes dos alertas das atividades identificadas pela política, ver a atividade do utilizador associada à correspondência de política, ver a gravidade do alerta e rever as informações do perfil de utilizador.

Triagem da gestão de riscos internos.

Investigar

Investigue rapidamente todas as atividades de risco de um utilizador selecionado com Relatórios de atividade do utilizador (pré-visualização). Estes relatórios permitem que os investigadores na sua organização examinem atividades de utilizadores específicos durante um período de tempo definido sem terem de as atribuir temporariamente ou explicitamente a uma política de gestão de riscos internos. Depois de examinar as atividades de um utilizador, os investigadores podem rejeitar atividades individuais como benignas, partilhar ou enviar uma ligação para o relatório por e-mail com outros investigadores, ou optar por atribuir o utilizador temporariamente ou explicitamente a uma política de gestão de riscos internos.

Os casos são criados para alertas que requerem uma análise e investigação mais aprofundadas dos detalhes e circunstâncias da atividade em torno da correspondência da política. O Painel de casos fornece uma exibição completa de todos os casos ativos, casos abertos ao longo do tempo e estatísticas de casos para a sua organização. Os revisores podem filtrar rapidamente os casos status, a data em que o caso foi aberto e a data em que o caso foi atualizado pela última vez.

A seleção de um caso no painel de controle do caso abre o caso para investigação e revisão. Este passo é o cerne do fluxo de trabalho de gestão de riscos internos. Esta área é onde as atividades de risco, condições de política, detalhes de alertas e detalhes do utilizador são sintetizados numa vista integrada para revisores. As principais ferramentas de investigação nesta área são:

  • Atividade do utilizador: a atividade de risco do utilizador é apresentada automaticamente num gráfico interativo que desenha atividades ao longo do tempo e por nível de risco para atividades de risco atuais ou passadas. Os revisores podem filtrar e ver rapidamente todo o histórico de riscos do utilizador e explorar atividades específicas para obter mais detalhes.
  • Explorador de conteúdos: todos os ficheiros de dados e mensagens de e-mail associadas a atividades de alerta são automaticamente capturados e apresentados no Explorador de conteúdos. Os revisores podem filtrar e ver ficheiros e mensagens por origem de dados, tipo de ficheiro, etiquetas, conversação e muitos mais atributos.
  • Notas de caso: os revisores podem fornecer notas para um caso na secção Notas do Caso. Esta lista consolida todas as notas numa vista central e inclui o revisor e as informações submetidas de data.

Investigação de gestão de riscos internos.

Além disso, o novo Registo de auditoria (pré-visualização) permite-lhe manter-se informado sobre as ações efetuadas nas funcionalidades de gestão de riscos internos. Este recurso permite uma revisão independente das ações realizadas pelos utilizadores atribuídos a um ou mais grupos de funções de gestão de risco interno.

Ação

Depois de os casos serem investigados, os revisores podem agir rapidamente para resolve o caso ou colaborar com outros intervenientes de risco na sua organização. Se os utilizadores violarem acidentalmente ou inadvertidamente as condições da política, pode ser enviado um aviso de lembrete simples ao utilizador a partir de modelos de aviso que pode personalizar para a sua organização. Estes avisos podem servir como lembretes simples ou podem direcionar o utilizador para a preparação ou orientação de atualização para ajudar a evitar comportamentos de risco futuros. Para obter mais informações, consulte Modelos de notificações do gerenciamento de risco interno.

Em situações mais graves, poderá ter de partilhar as informações do caso de gestão de riscos internos com outros revisores ou serviços na sua organização. A gestão de riscos internos está totalmente integrada com outras soluções do Microsoft Purview para o ajudar na resolução de riscos ponto a ponto.

  • Deteção de Dados Eletrónicos (Premium): escalar um caso para investigação permite-lhe transferir dados e a gestão do caso para Descoberta Eletrônica do Microsoft Purview (Premium). A Descoberta Eletrônica (Avançada) fornece um fluxo de trabalho de ponta a ponta para preservar, coletar, revisar, analisar e exportar um conteúdo que responda às investigações internas e externas de sua organização. Ela também permite que sua equipe jurídica gerencie todo o fluxo de trabalho de notificação de retenção legal. Para saber mais sobre casos de Deteção de Dados Eletrónicos (Premium), veja Descrição geral do Descoberta Eletrônica do Microsoft Purview (Premium).
  • integração de APIs de Gestão de Office 365 (pré-visualização): a gestão de riscos internos suporta a exportação de informações de alerta para serviços de gestão de informações e eventos de segurança (SIEM) através das APIs de Gestão de Office 365. Ter acesso a informações de alerta na plataforma que melhor se adequam aos processos de risco da sua organização dá-lhe mais flexibilidade na forma de agir sobre as atividades de risco. Para saber mais sobre como exportar informações de alerta com as APIs de Gestão de Office 365, veja Exportar alertas.

Cenários

A gestão de riscos internos pode ajudá-lo a detetar, investigar e tomar medidas para mitigar riscos internos na sua organização em vários cenários comuns:

Furto de dados por usuários em processo de desligamento

Quando os utilizadores saem de uma organização, voluntariamente ou como resultado da cessação, muitas vezes existem preocupações legítimas de que os dados da empresa, do cliente e do utilizador estejam em risco. Os utilizadores podem presumir inocentemente que os dados do projeto não são proprietários ou podem sentir-se tentados a levar os dados da empresa para fins pessoais e em violação da política da empresa e das normas legais. As políticas de gestão de riscos internos que utilizam o modelo de política Roubo de dados ao partir de utilizadores detetam automaticamente atividades normalmente associadas a este tipo de roubo. Com esta política, receberá automaticamente alertas para atividades suspeitas associadas ao roubo de dados por parte dos utilizadores com saída, para que possa realizar as ações de investigação adequadas. Para este modelo de política, é necessário configurar um conector de RH do Microsoft 365 para a sua organização.

Fuga intencional ou não intencional de informações confidenciais

Na maioria dos casos, os utilizadores dão o seu melhor para processar corretamente informações confidenciais. No entanto, ocasionalmente, os utilizadores podem cometer erros e as informações são partilhadas acidentalmente fora da sua organização ou violando as suas políticas de proteção de informações. Noutras circunstâncias, os utilizadores podem divulgar ou partilhar intencionalmente informações confidenciais com intenções maliciosas e para potencial ganho pessoal. As políticas de gestão de riscos internos criadas com os seguintes modelos de política detetam automaticamente atividades normalmente associadas à partilha de informações confidenciais ou confidenciais:

Violações de políticas de segurança intencionais ou não intencionais (pré-visualização)

Normalmente, os utilizadores têm um grande grau de controlo ao gerir os respetivos dispositivos no local de trabalho moderno. Este controlo pode incluir permissões para instalar ou desinstalar aplicações necessárias no desempenho das suas funções ou a capacidade de desativar temporariamente as funcionalidades de segurança do dispositivo. Quer esta atividade de risco seja inadvertida, acidental ou maliciosa, esta conduta pode representar um risco para a sua organização e é importante identificar e agir para minimizar. Para ajudar a identificar estas atividades de segurança de risco, os seguintes modelos de violação da política de gestão de riscos internos classificam indicadores de risco de segurança e utilizam alertas Microsoft Defender para Ponto de Extremidade para fornecer informações sobre atividades relacionadas com segurança:

Políticas para utilizadores com base na posição, nível de acesso ou histórico de riscos (pré-visualização)

Os utilizadores na sua organização podem ter diferentes níveis de risco consoante a sua posição, nível de acesso a informações confidenciais ou histórico de riscos. Esta estrutura pode incluir membros da equipa de liderança executiva da sua organização, administradores de TI com dados extensos e privilégios de acesso à rede ou utilizadores com um histórico anterior de atividades de risco. Nestas circunstâncias, uma inspeção mais detalhada e uma classificação de risco mais agressiva são importantes para ajudar os alertas de superfície para investigação e ação rápida. Para ajudar a identificar atividades de risco para estes tipos de utilizadores, pode criar grupos de utilizadores prioritários e criar políticas a partir dos seguintes modelos de política:

Cuidados de Saúde (pré-visualização)

Para organizações do setor dos cuidados de saúde, estudos recentes têm encontrado uma taxa muito elevada de violações de dados relacionadas com o insider. A deteção indevida de dados de pacientes e informações de registos de saúde é um componente fundamental da salvaguarda da privacidade do paciente e do cumprimento da regulamentação de conformidade, como a Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPAA) e a Lei HITECH (Health Information Technology for Economic and Clinical Health). A utilização indevida de dados dos pacientes pode ir desde o acesso a registos privilegiados de pacientes até ao acesso a registos de pacientes de família ou vizinhos com intenção maliciosa. Para ajudar a identificar estes tipos de atividades de risco, o seguinte modelo de política de gestão de riscos internos utiliza o conector de RH do Microsoft 365 e um conector de dados específico dos cuidados de saúde para começar a classificar indicadores de risco relacionados com comportamentos que podem ocorrer nos seus sistemas de registo eletrónico de saúde (EHR):

Ações e comportamentos de utilizadores de risco (pré-visualização)

Os eventos de stress do emprego podem afetar o comportamento dos utilizadores de várias formas relacionadas com riscos internos. Estes stressadores podem ser uma má revisão de desempenho, uma despromoção de posição ou o utilizador a ser colocado num plano de revisão de desempenho. Os stressadores também podem resultar em comportamentos potencialmente inadequados, como utilizadores que enviam linguagem potencialmente ameaçadora, assediada ou discriminatória no e-mail e outras mensagens. Embora a maioria dos utilizadores não responda maliciosamente a estes eventos, o stress destas ações pode fazer com que alguns utilizadores se comportem de formas que normalmente não podem considerar em circunstâncias normais. Para ajudar a identificar estes tipos de atividades potencialmente arriscadas, os seguintes modelos de política de gestão de riscos internos podem utilizar o conector de RH e/ou a integração com uma política de conformidade de comunicação dedicada para colocar os utilizadores no âmbito das políticas de gestão de riscos internos e começar a classificar indicadores de risco relacionados com comportamentos que possam ocorrer:

Contexto visual para atividades de utilizador potencialmente arriscadas com provas forenses

Ter contexto visual é crucial para as equipas de segurança durante as investigações forenses obterem melhores informações sobre atividades de utilizador potencialmente arriscadas que possam levar a um incidente de segurança. Isto pode incluir a captura visual destas atividades para ajudar a avaliar se são realmente arriscadas ou retiradas do contexto e não são potencialmente arriscadas. Para atividades que são determinadas como arriscadas, ter capturas de provas forenses pode ajudar os investigadores e a sua organização a mitigar, compreender e responder melhor a estas atividades. Para ajudar neste cenário, ative a captura de provas forenses para dispositivos online e offline na sua organização.

Pronto para começar?