O Microsoft Purview é uma ótima escolha para organizações que querem simplificar o gerenciamento de dados em um ambiente de nuvem. Isso porque o Purview é uma suíte de soluções voltada para gestão de risco, conformidade e governança de dados, que proporciona mais controle e visibilidade aos administradores.
No entanto, o sucesso na implementação da plataforma depende da compreensão das necessidades e do contexto do negócio, pois assim é possível fazer as configurações adequadas.
Este artigo trará uma visão geral das principais ferramentas oferecidas pelo Purview, mostrando como e em quais cenários utilizá-las.
Proteção de informações
O Purview é fundamental para classificação, controle e proteção de dados confidenciais, independentemente de onde esses dados estão localizados. Ela permite criar rótulos de acordo com critérios de classificação estabelecidos pela empresa, garantindo uma gestão mais precisa e segura das informações.
Ao classificar um conjunto de dados como “externo” ou “interno”, estamos indicando, respectivamente, que as informações podem ser compartilhadas com usuários fora da organização ou que o acesso é restrito apenas aos membros da organização. Rótulos como estes podem ser configurados como “padrão” e aplicados automaticamente a novos arquivos e e-mails.
Também é possível criar rótulos customizados para diferentes ocasiões e setores. Ao criar grupos e atribuir membros do departamento jurídico, por exemplo, garantimos que apenas essa equipe tenha acesso às informações.
Outra funcionalidade da ferramenta é a criptografia que pode ser aplicada a dados sensíveis. A criptografia garante que as informações permaneçam seguras mesmo se forem compartilhadas externamente.
Data Loss Prevention
Empresas lidam diariamente com uma grande quantidade de informações confidenciais em trânsito, como dados financeiros, números de cartões de crédito e documentos pessoais. Para proteger essas informações, adotamos a prática conhecida como Data Loss Prevention (DLP).
Uma pergunta que sempre ouço é: “Luquinhas, como posso detectar potenciais vazamentos de dados?” A resposta está na criação de políticas no painel do DLP. A Microsoft já oferece, por padrão, a regra GDPR, que é sobre privacidade e proteção de dados pessoais. Além dessa, existem outras regras que podem ser configuradas para facilitar a detecção de vazamentos no dia a dia. São elas:
Política 1: dados pessoais
Você pode criar regras condicionais para quando informações como CPF, RG e CNH forem identificadas. Por exemplo, se mais de 5 CPFs estiverem presentes em um e-mail, ele será bloqueado ou auditado. Ou se um e-mail tiver números de CPF, RG ou CNH, um alerta será enviado ao administrador.
Política 2: dados financeiros
Seguindo a mesma lógica da primeira política, você pode bloquear números de cartões de crédito e monitorar transações financeiras que pareçam suspeitas. Também é possível criptografar automaticamente documentos financeiros quando compartilhados externamente ou proibir o compartilhamento externo.
Além dessas políticas, caso não tenha todas as informações que deseja monitorar nos modelos de DLP, você consegue estabelecer políticas com o auxílio dos rótulos da classificação de dados. Para isso, crie um dicionário de palavras-chave para cada rótulo e aplique-o ao DLP, garantindo que todos os e-mails que contenham essas palavras-chave sejam inseridos em determinada regra. Por exemplo, termos como “tribunal”, “ação judicial” e “contrato” podem ser incluídos no dicionário do rótulo “jurídico”. Dessa forma, todos os e-mails do departamento jurídico que contenham essas palavras entrarão em uma regra estabelecida.
Data Lifecycle Management
Os recursos do Data Lifecycle Management (DLM) atuam na gestão do ciclo de vida de dados localizados no Exchange, SharePoint, OneDrive, Teams e Viva, auxiliando na hora de escolher por manter ou excluir determinada informação. A prática de excluir dados que não estão sendo utilizados ajuda a reduzir a vulnerabilidade a ataques, uma vez que a exposição à superfície de ataque diminui.
Com essa ferramenta, é possível manter um conteúdo por tempo específico ou por tempo indeterminado ou criar uma política para exclui-lo automaticamente depois de um período.
Antes de implantar o Data Lifecycle Management, você precisa entender alguns pontos:
- Identifique os tipos de dados sensíveis ou críticos que exigem proteção especial e gerenciamento adequado;
- Faça reuniões com os departamentos do TI, jurídico, SI e conformidade para garantir uma implementação eficaz sem gerar retrabalho e impactos na operação;
- Busque entender quais são os dados sensíveis do seu negócio e qual regulamentação se aplica aos seus dados.
Compliance Manager
Essa é uma solução importante para o gerenciamento e a avaliação da conformidade em todo o ambiente. Uma de suas características é a capacidade de fornecer uma pontuação, que representa uma avaliação do estado atual da conformidade no ambiente. A solução também oferece um passo a passo com ações de melhoria que podem ser aplicadas para elevar essa pontuação e garantir a conformidade com as normas e regulamentos.
O Compliance Manager atribui pontos para cada ação de melhoria concluída em relação a regulamentações, padrões ou políticas específicas. Cada ação tem um impacto diferente na pontuação global de conformidade. Ele fornece uma pontuação inicial com base em um conjunto de controles do Microsoft 365 que inclui regulamentações e padrões para a proteção e a governança geral de dados.
Lucas Medeiros, consultor de Segurança em Nuvem na Redbelt Security