Visão geral das políticas de prevenção contra perda de dados

Para manterem a conformidade com os padrões de negócios e as regulamentações da indústria, as organizações precisam proteger informações confidenciais e evitar a divulgação acidental. Exemplos de informações confidenciais cujo vazamento para fora da sua organização talvez você queira impedir incluem dados financeiros ou informações de identificação pessoal (PII), como números de cartão de crédito, números de seguro social ou registros de saúde. Com uma política DLP (prevenção contra perda de dados) no Centro de Conformidade e Segurança do Office 365, você pode identificar, monitorar e proteger automaticamente informações confidenciais por todo o Office 365.

Com uma política DLP, você pode:

  • Identificar informações confidenciais em muitos locais, como o Exchange Online, o SharePoint Online e o OneDrive for Business.

    Por exemplo, você pode identificar qualquer documento que contenha um número de cartão de crédito que esteja armazenado em qualquer site do OneDrive for Business ou você pode pesquisar apenas os sites do OneDrive de pessoas específicas.

  • Impedir o compartilhamento acidental de informações confidenciais.

    Por exemplo, você pode identificar qualquer documento ou email que contenha um registro de saúde compartilhado com pessoas fora da sua organização e, em seguida, bloquear automaticamente o acesso a esse documento ou bloquear o envio do email.

  • Monitorar e proteger informações confidenciais nas versões de área de trabalho do Excel 2016, PowerPoint 2016 e Word 2016.

    Como no Exchange Online. SharePoint Online e OneDrive for Business, esses programas de área de trabalho do Office 2016 incluem os mesmos recursos para identificar informações confidenciais e aplicar políticas DLP. A DLP oferece monitoramento contínuo quando as pessoas compartilham conteúdo nestes programas do Office 2016.

  • Ajude os usuários a aprender a manter a conformidade sem interromper o fluxo de trabalho.

    Você pode instruir os usuários sobre políticas DLP e ajudá-los a permanecer em conformidade sem bloquear o trabalho deles. Por exemplo, se um usuário tentar compartilhar um documento que contém informações confidenciais, uma política DLP poderá enviar uma notificação por email e mostrar uma dica de política no contexto da biblioteca de documentos que permite substituir essa política caso ele tenha uma justificativa de negócios. As mesmas dicas de política também aparecem no Outlook na Web, Outlook 2013 e versões posteriores, bem como no Excel 2016, PowerPoint 2016 e Word 2016.

  • Exiba relatórios DLP mostrando o conteúdo que corresponde às políticas DLP da sua organização.

    Para avaliar como a sua organização está em conformidade com uma política DLP, você pode ver o número de correspondências de cada política e regra ao longo do tempo. Se uma política DLP permitir aos usuários substituir uma dica de política e comunicar um falso positivo, você também poderá ver o que os usuários comunicaram.

Você cria e gerencia políticas DLP na página de prevenção contra perda de dados no Centro de Conformidade e Segurança do Office 365.

Página de prevenção contra perda de dados no Centro de Conformidade e Segurança do Office 365

Sumário

O que uma política DLP contém

Uma política DLP contém algumas informações básicas:

  • Onde proteger o conteúdo – locais como sites do Exchange Online, SharePoint Online e OneDrive for Business.

  • Quando e como proteger o conteúdo aplicando regras compostas por:

    • Condições com as quais o conteúdo deve estar de acordo antes que a regra seja imposta – por exemplo, procurar apenas conteúdo que contenha números de previdência social compartilhados com pessoas de fora da sua organização.

    • Ações que você deseja que a regra adote automaticamente quando o conteúdo correspondente às condições for encontrado – por exemplo, bloquear o acesso ao documento e enviar uma notificação por email ao responsável pela conformidade e ao usuário.

Você pode usar uma regra para atender a um requisito específico de proteção e depois usar uma política DLP para agrupar requisitos de proteção comuns, como todas as regras necessárias para manter a conformidade com uma regulamentação específica.

Por exemplo, você pode ter uma política DLP que ajude a detectar a presença de informações sujeitas à lei americana HIPAA (Health Insurance Portability Accountability Act). Essa política DLP pode ajudar a proteger dados da lei americana HIPAA (o "o que") em todos os sites do SharePoint Online e em todos os sites do OneDrive for Business (o "onde"), localizando qualquer documento que contenha essas informações confidenciais compartilhadas com pessoas fora da sua organização (as condições) e, em seguida, bloqueando o acesso ao documento e enviando uma notificação (as "ações"). Esses requisitos são armazenados como regras individuais e agrupados como uma política DLP para simplificar o gerenciamento e os relatórios.

Diagrama mostra que a política DLP contém locais e regras

Locais

Uma política DLP pode localizar e proteger informações confidenciais por todo o Office 365, não importa se elas estão no Exchange Online, SharePoint Online ou OneDrive for Business. Você pode optar facilmente por proteger todos os sites do SharePoint ou as contas OneDrive, apenas sites ou contas específicos, ou todas as caixas de correio. Observe que ainda não é possível selecionar apenas as caixas de correio de usuários específicos.

Opções para locais onde uma política DLP pode ser aplicada

Regras

As regras são o que impõe os seus requisitos de negócios ao conteúdo da sua organização. Uma política contém uma ou mais regras, e cada regra consiste em condições e ações. Para cada regra, quando as condições forem atendidas, as ações são executadas automaticamente. As regras são executadas sequencialmente, começando com a regra de maior prioridade em cada política.

Uma regra também fornece opções para notificar os usuários (com dicas de política e notificações por email) e os administradores (com relatórios de incidentes por email) de que o conteúdo correspondeu a ela.

Veja a seguir os componentes de uma regra, cada um explicado abaixo.

Seções do editor regras DLP

Condições

As condições são importantes porque determinam que tipos de informações você está procurando e quando executar uma ação. Por exemplo, você pode optar por ignorar conteúdo com números de passaporte, a não ser que ele tenha mais de dez desses números e seja compartilhado com pessoas fora da sua organização.

As condições se concentram no conteúdo, como quais tipos de informações confidenciais você está procurando e também no contexto, como com quem o documento é compartilhado. É possível usar condições para atribuir ações diferentes a níveis de risco diferentes – por exemplo, o conteúdo confidencial compartilhado internamente pode diminuir o risco e exigir menos ações do que o conteúdo confidencial compartilhado com pessoas fora da organização.

Lista que mostra as condições DLP disponíveis

As condições disponíveis agora podem determinar se:

Tipos de informações confidenciais

Uma política DLP pode ajudar a proteger informações confidenciais, que são definidas como um tipo de informações confidenciais. O Office 365 inclui definições para vários tipos comuns de informações confidenciais em diferentes regiões que estão prontos para uso, como um número de cartão de crédito, números de contas bancárias, números de carteiras de identidade e números de passaporte.

Lista de tipos de informações confidenciais disponíveis

Quando uma política DLP procura um tipo de informações confidenciais, como um número de cartão de crédito, ela não procura simplesmente um número de 16 dígitos. Cada tipo de informação confidencial é definido e detectado usando uma combinação do seguinte:

  • Palavras-chave

  • Funções internas para validar as somas de verificação ou a composição

  • Avaliação de expressões regulares para localizar correspondências padrão

  • Análise de outros conteúdos

Isso ajuda a detecção de DLP a alcançar um alto grau de precisão, reduzindo o número de falsos positivos que pode interromper o trabalho das pessoas.

Ações

Quando o conteúdo corresponde a uma condição em uma regra, você pode aplicar ações para proteger automaticamente o conteúdo.

Lista de ações DLP disponíveis

Com as ações agora disponíveis, você pode:

  • Restringir o acesso ao conteúdo Para o conteúdo de sites, isso significa que as permissões para o documento estão restritas para todos, com exceção do administrador de conjunto de sites primários, do proprietário do documento e da pessoa que modificou o documento por último. Essas pessoas podem remover as informações confidenciais do documento ou executar outra ação corretiva. Quando o documento estiver em conformidade, as permissões originais serão restauradas automaticamente. Quando o acesso a um documento é bloqueado, este aparece com um ícone de dica de política especial na biblioteca do site.

    A dica de política mostrando acesso ao documento está bloqueada

    Para conteúdo de email, essa ação bloqueia o envio da mensagem. Dependendo de como a regra DLP estiver configurada, o remetente verá uma notificação de falha na entrega ou (se a regra usar uma notificação) uma dica de política e/ou notificação por email.

    Aviso de que destinatários não autorizados devem ser removidos da mensagem

Notificações e substituições do usuário

Você pode usar notificações e substituições para instruir os usuários sobre políticas DLP e ajudá-los a permanecer em conformidade sem bloquear o trabalho deles. Por exemplo, se um usuário tentar compartilhar um documento que contém informações confidenciais, uma política DLP poderá enviar uma notificação por email e mostrar uma dica de política no contexto da biblioteca de documentos que permite substituir essa política caso ele tenha uma justificativa de negócios.

Seções de notificações e substituições do usuário do editor de regras DLP

O email pode notificar a pessoa que enviou, compartilhou ou modificou o conteúdo por último e, no caso de conteúdo de sites, o administrador de conjunto de sites e o proprietário do documento. Além disso, você pode adicionar ou remover quem quiser na notificação por email.

Além de enviar uma notificação por email, uma notificação do usuário mostra uma dica de política:

  • No Outlook 2013, e versões posteriores, e no Outlook na Web.

  • Para o documento em um site do SharePoint Online ou do OneDrive for Business.

  • No Excel 2016, PowerPoint 2016 e Word 2016, quando o documento está armazenado em um site incluído em uma política DLP.

A notificação por email e a dica de política explicam por que um conteúdo está em conflito com uma política DLP. Se você escolher, a notificação por email e a dica de política podem permitir que usuários substituam uma regra, comunicando um falso positivo ou fornecendo uma justificativa de negócios. Isso pode ajudar você a treinar os usuários sobre as políticas DLP e aplicá-las sem impedir que as pessoas façam seu trabalho. Informações sobre substituições e falsos positivos também são registradas para relatórios (veja abaixo sobre os relatórios DLP) e incluídas nos relatórios de incidentes (próxima seção), para que o responsável pela conformidade possa analisar regularmente essas informações.

Esta é a aparência de uma dica de política em uma conta do OneDrive for Business.

Dica de política para um documento em uma conta do OneDrive

Relatórios de incidentes

Quando uma regra é correspondida, você pode enviar um relatório de incidentes ao responsável pela conformidade (ou qualquer pessoa que você escolher) com detalhes sobre o evento. Esse relatório inclui informações sobre o item que foi correspondido, o conteúdo real que correspondeu à regra e o nome da pessoa que modificou o conteúdo por último. Para mensagens de email, o relatório também inclui como anexo a mensagem original que corresponde a uma política DLP.

Página para configurar relatórios de incidente

Agrupamento e operadores lógicos

Muitas vezes, sua política DLP tem um requisito direto, como identificar todo o conteúdo que contém um Número de Seguro Social dos EUA. No entanto, em outras situações, talvez seja necessário sua política DLP identificar dados definidos de forma mais flexível.

Por exemplo, para identificar conteúdo sujeito à HIPAA (Lei de Seguro de Saúde) dos EUA, você precisa procurar:

  • Conteúdo que apresente tipos específicos de informações confidenciais, como um Número de Seguro Social dos EUA ou Número da DEA (Agência de Combate às Drogas dos EUA).

    E

  • Conteúdo que é mais difícil de identificar, como comunicações sobre cuidados de um paciente ou descrições de serviços médicos prestados. Identificar esse conteúdo requer combinar palavras-chave de listas de palavras-chave muito extensas, como a Classificação Internacional de Doenças (ICD-9-CM ou ICD-10-CM).

Você pode identificar facilmente esses dados definidos de forma mais flexível usando agrupamentos e operadores lógicos (E, OU). Ao criar uma política DLP, você pode:

  • Agrupar tipos de informações confidenciais.

  • Escolher o operador lógico entre os tipos de informações confidenciais dentro de um grupo e entre os próprios grupos.

Escolher o operador dentro de um grupo

Dentro de um grupo, você pode escolher se uma ou todas as condições desse grupo devem ser atendidas para que o conteúdo corresponda à regra.

Grupo que mostra os operadores dentro do grupo

Adicionar um grupo

Você pode adicionar rapidamente um grupo, que pode ter suas próprias condições e operador dentro desse grupo.

Botão Adicionar Grupo

Escolher o operador entre grupos

Entre grupos, você pode escolher se as condições em apenas um grupo ou todos os grupos devem ser atendidas para que o conteúdo corresponda à regra.

Por exemplo, a política interna HIPAA (Lei de Seguro de Saúde) dos EUA tem uma regra que usa um operador E entre os grupos para que identifique o conteúdo que apresente:

  • do grupo Identificadores PII (pelo menos um número de seguro social dos EUA OU número da DEA)

    E

  • do grupo Termos Médicos (pelo menos uma palavra-chave do ICD-9-CM OU do ICD-10-CM)

Grupos que mostram o operador entre grupos

A prioridade em que as regras são processadas

Quando você cria regras em uma política, cada regra recebe uma prioridade na ordem em que ela é criada, ou seja, a regra criada primeiro tem prioridade primeira, a regra criada em segundo lugar tem prioridade segunda e assim por diante. Depois de criar uma regra, sua prioridade não pode ser alterada, exceto excluindo-a e criando-a novamente.

Regras na ordem de prioridade

Quando o conteúdo é avaliado em relação às regras, estas são processadas na ordem de prioridade. Se o conteúdo corresponder a várias regras, as regras serão processadas na ordem de prioridade, e a ação mais restritiva será aplicada. Por exemplo, se o conteúdo corresponder a todas as regras a seguir, a Regra 3 será aplicada porque tem a prioridade mais alta, é a regra mais restritiva:

  • Regra 1: apenas notifica os usuários

  • Regra 2: notifica os usuários, restringe o acesso e permite o usuário substituir

  • Regra 3: notifica os usuários, restringe o acesso e não permite o usuário substituir

  • Regra 4: apenas notifica os usuários

  • Regra 5: restringe o acesso

  • Regra 6: notifica os usuários, restringe o acesso e não permite o usuário substituir

Nesse exemplo, observe que as correspondências para todas as regras são registradas nos logs de auditoria e mostradas nos relatórios de DLP, embora apenas a regra mais restritiva seja aplicada.

Em relação a dicas de política, observe que:

  • Apenas a dica de política da prioridade mais alta, a regra mais restritiva, será exibida. Por exemplo, uma dica de política de uma regra que bloqueia o acesso ao conteúdo será mostrada em detrimento de uma dica de política de uma regra que simplesmente envia uma notificação. Isso impede que as pessoas vejam uma cascata de dicas de política.

  • Se as dicas de política na regra mais restritiva permitir que as pessoas substituam a regra, substituir essa regra também substitui quaisquer outras regras que o conteúdo correspondeu.

Ajustar as regras para que a correspondência seja mais fácil ou mais difícil

Depois que as pessoas criam e ativam as políticas de DLP, algumas vezes ocorre esses problemas:

  • Grande parte do conteúdo que não é confidencial coincide com as regras, ou seja, há muitos falsos positivos.

  • Uma parte muito pequena do conteúdo que é confidencial coincide com as regras, ou seja, as ações de proteção não estão sendo aplicadas nas informações confidenciais.

Para resolver esses problemas, você pode acertar suas regras, ajustando a contagem de instância e a precisão da correspondência para fazer com que a correspondência do conteúdo às regras seja mais fácil ou mais difícil. Cada tipo de informação confidencial usado em uma regra tem uma contagem de instância e uma precisão de correspondência.

Contagem de instâncias

A contagem de instâncias refere-se simplesmente à quantidade de ocorrências de um tipo específico de informação confidencial que deve estar presente para que o conteúdo corresponda à regra. Por exemplo, o conteúdo corresponderá à regra mostrada abaixo se forem identificados entre 1 a 9 números de passaporte exclusivos dos EUA ou do Reino Unido.

Observe que a contagem de instâncias inclui apenas correspondências exclusivas a palavras-chave e tipos de informações confidenciais. Por exemplo, se um email contém 10 ocorrências do mesmo número de cartão de crédito, as 10 ocorrências são contadas como uma única instância de um número de cartão de crédito.

Para usar a contagem de instâncias para ajustar as regras, a orientação é simples:

  • Para tornar a regra mais fácil para a correspondência, diminua a contagem mín e/ou aumente a contagem máx. Também é possível definir o máx para qualquer excluindo o valor numérico.

  • Para tornar a regra mais difícil para a correspondência, aumente a contagem mín.

Normalmente, você usa menos ações restritivas, como o envio de notificações ao usuário, em uma regra com uma contagem de instâncias inferior (por exemplo, 1 – 9). E usa ações mais restritivas, como restringir o acesso ao conteúdo sem permitir que o usuário faça substituição, em uma regra com uma contagem de instância superior (por exemplo, 10 – qualquer).

Contagens de instância no editor de regra

Precisão de correspondência

Conforme descrito acima, o tipo de informação confidencial é definido e detectado usando uma combinação de diferentes tipos de evidências. Em geral, um tipo de informação confidencial é definido por várias dessas combinações, chamadas padrões. Um padrão que requer menos evidências tem uma precisão de correspondência inferior (ou nível de confiança), enquanto um padrão que exige mais evidências tem uma maior precisão de correspondência (ou nível de confiança). Para saber mais sobre os padrões reais e níveis de confiança usados por todos os tipos de informações confidenciais, confira o artigo sobre o que os tipos de informações confidenciais procuram.

Por exemplo, o tipo de informação confidencial chamado Número de Cartão de Crédito é definido por dois padrões:

  • Um padrão com confiança de 65% que exige:

    • Um número no formato de um número de cartão de crédito.

    • Um número que passa na soma de verificação.

  • Um padrão com confiança de 85% que exige:

    • Um número no formato de um número de cartão de crédito.

    • Um número que passa na soma de verificação.

    • Uma palavra-chave ou uma data de validade no formato certo.

Você pode usar esses níveis de confiança (ou precisão de correspondência) em suas regras. Normalmente, você usa menos ações restritivas, como o envio de notificações ao usuário, em uma regra com uma precisão de correspondência inferior. E usa ações mais restritivas, como restringir o acesso ao conteúdo sem permitir que o usuário faça uma substituição, em uma regra com uma precisão de correspondência superior.

É importante compreender que quando um tipo específico de informação confidencial, como um número de cartão de crédito, é identificado no conteúdo, somente um único nível de confiança é retornado:

  • Se todas as correspondências forem para um único padrão, o nível de confiança para aquele padrão será retornado.

  • Se houver correspondências para mais de um padrão (ou seja, há correspondências com dois níveis de confiança diferentes), o nível de confiança maior do que qualquer um dos padrões únicos sozinhos será retornado. Esta é a parte desafiadora. Por exemplo, para um cartão de crédito, se os padrões de 65% e 85% forem atendidos, o nível de confiança retornado para aquele tipo de informação confidencial será maior que 90%, pois quanto mais evidências, mais confiança.

Portanto, se você quiser criar duas regras mutuamente exclusivas para cartões de crédito, uma para a precisão de correspondência de 65% e outro para a precisão de correspondência de 85%, os intervalos para a precisão de correspondência serão parecidos com isto: A primeira regra pega apenas as correspondências ao padrão de 65%. A segunda regra pega as correspondências com pelo menos uma correspondência de 85% e pode ter outras correspondências de confiança inferiores.

Duas regras com intervalos diferentes para precisão de correspondência

Por essas razões, a orientação para a criação de regras com diferentes precisões de correspondência é:

  • O menor nível de confiança normalmente usa o mesmo valor para mín e máx (não um intervalo).

  • O nível mais alto de confiança é normalmente um intervalo entre o valor logo acima do nível de confiança inferior e 100.

  • Qualquer nível de confiança intermediário normalmente varia de um valor logo acima do nível de confiança inferior para um valor logo abaixo do nível de confiança superior.

Usar um rótulo como uma condição em uma política de DLP

Você pode criar um rótulo e, em seguida:

  • Publicá-lo, para que os usuários finais possam ver e aplicar manualmente o rótulo ao conteúdo.

  • Aplicá-lo automaticamente ao conteúdo que corresponde às condições que você escolheu.

Para saber mais sobre rótulos, confira Visão geral de rótulos.

Depois de criar um rótulo, você pode usá-lo como uma condição em suas políticas de DLP. Por exemplo, talvez você queira fazer isso porque:

  • Publicou um rótulo denominado Confidencial, para que as pessoas da sua organização possam aplicar manualmente o rótulo a documentos e emails confidenciais. Usando esse rótulo como uma condição em sua política de DLP, você pode restringir que o conteúdo rotulado como Confidencial seja compartilhado com pessoas de fora da sua organização.

  • Você criou um rótulo chamado Alpine House para um projeto com esse nome e, em seguida, aplicou esse rótulo automaticamente ao conteúdo contendo as palavras-chave “Alpine House”. Usando esse rótulo como uma condição em sua política de DLP, você pode mostrar uma dica de política aos usuários finais quando eles estiverem prestes a compartilhar esse conteúdo com alguém de fora da sua organização.

  • Você publicou um rótulo chamado Registro de impostos, para que seu gerente de registros possa aplicar manualmente o rótulo ao conteúdo que precise ser classificado como um registro. Usando esse rótulo como uma condição em sua política de DLP, você pode procurar conteúdo com esse rótulo em conjunto com outros tipos de informações confidenciais como ITINs ou SSNs; aplicar ações de proteção ao conteúdo rotulado Registro de impostos; e obter relatórios de atividade detalhados sobre a política de DLP de relatórios de DLP e os dados do log de auditoria.

  • Você publicou um rótulo chamado Equipe Executiva de Liderança – Confidencial para as contas de caixa de correio do Exchange e OneDrive de um grupo de executivos. Usando esse rótulo como uma condição em sua política de DLP, você pode aplicar ações de retenção e proteção no mesmo subconjunto de conteúdo e usuários.

Usando rótulos como uma condição em suas regras de DLP, você pode aplicar seletivamente ações de proteção a um conjunto específico de conteúdos, locais ou usuários.

Rótulos como uma condição

Como esse recurso se relaciona a outros recursos

Diversos recursos podem ser aplicados ao conteúdo que contém informações confidenciais:

  • Um rótulo de aplicação automática e uma política de retenção podem impor ações de retenção nesse conteúdo.

  • Uma política de DLP pode impor ações de proteção nesse conteúdo. E antes de aplicar essas ações, uma política de DLP pode exigir que outras condições sejam atendidas além do conteúdo que contém um rótulo.

Diagrama de recursos que podem ser aplicados a informações confidenciais

Observe que uma política de DLP tem um recurso de detecção mais avançado do que um rótulo ou política de retenção aplicada a informações confidenciais. Uma política de DLP pode impor ações de proteção ao conteúdo que contiver informações confidenciais e se as informações confidenciais forem removidas do conteúdo, essas ações de proteção serão desfeitas da próxima vez que o conteúdo for verificado. Mas se uma política de retenção ou rótulo for aplicado ao conteúdo contendo informações confidenciais, essa será uma ação única que não será desfeita, mesmo que as informações confidenciais sejam removidas.

Usando um rótulo como uma condição em uma política de DLP, você pode aplicar ações de retenção e proteção no conteúdo com esse rótulo. Pense no conteúdo contendo um rótulo exatamente como um conteúdo que contém informações confidenciais – tanto um rótulo quando um tipo de informação confidencial são propriedades usadas para classificar o conteúdo, para que você possa impor ações para esse conteúdo.

Diagrama de política de DLP usando rótulo como uma condição

Configurações simples versus configurações avançadas

Ao criar uma política DLP, decida entre configurações simples ou avançadas:

  • Configurações simples facilitam a criação do tipo mais comum de política DLP sem usar o editor de regras para criar ou modificar regras.

  • Configurações avançadas usam o editor de regras para oferecer controle completo sobre cada configuração para a sua política DLP.

Não se preocupe, nos bastidores, as configurações simples e avançadas funcionam exatamente da mesma forma, aplicando regras compostas por condições e ações. A única diferença é que, com configurações simples, você não vê o editor de regras. Trata-se de uma maneira rápida de criar uma política DLP.

Configurações simples

Sem dúvida, o cenário mais comum de DLP é criar uma política para ajudar a evitar que um conteúdo com informações confidenciais seja compartilhado com pessoas fora da sua organização e realizar uma ação corretiva automática, como restringir quem pode acessar o conteúdo, enviar notificações ao usuário final ou ao administrador e auditar o evento para investigação posterior. As pessoas usam a DLP para ajudar a evitar a divulgação acidental de informações confidenciais.

Para simplificar essa meta, ao criar uma política DLP, você pode escolher Usar configurações simples. Essas configurações fornecem todos os elementos necessários para você implementar a política DLP mais comum, sem precisar acessar o editor de regras.

Opções de DLP para configurações simples e avançadas

Configurações avançadas

Se você precisa criar políticas DLP mais personalizadas, pode escolher Usar configurações avançadas.

As configurações avançadas apresentam o editor de regras, no qual você tem controle total sobre todas as opções possíveis, incluindo a contagem de instâncias e a precisão de correspondência (nível de confiança) de cada regra.

Para acessar rapidamente uma seção, clique em um item na navegação superior do editor de regras para ir até essa seção abaixo.

Menu de navegação superior do editor de regras DLP

Modelos de política DLP

A primeira etapa ao criar uma política DLP é escolher quais informações devem ser protegidas. Começando com um modelo de DLP, você economiza o trabalho de criar um novo conjunto de regras do zero e de descobrir quais tipos de informações devem ser incluídos por padrão. Em seguida, você pode adicionar requisitos ou modificar os existentes para ajustar a regra de forma que ela atenda às exigências específicas da sua organização.

Um modelo de política DLP pré-configurado pode ajudar a detectar tipos específicos de informações confidenciais, como dados de HIPAA, dados de PCI-DSS, dados do Gramm-Leach-Bliley Act ou até mesmo informações de identificação pessoal (PI) específicas de localidade. Para facilitar a localização e a proteção de tipos comuns de informações confidenciais, os modelos de política incluídos no Office 365 já contêm os tipos mais comuns de informações confidenciais necessários para você começar.

Lista de modelos para políticas de prevenção contra perda de dados com o foco no modelo para a lei Patriot Act dos EUA

Sua organização também pode ter suas próprias exigências específicas e, nesse caso, você pode criar uma política DLP do zero, escolhendo a opção Política personalizada. Uma política personalizada é vazia e não contém regras pré-criadas.

Implementar políticas DLP gradualmente com o modo de teste

Depois de criar as políticas DLP, você deve considerar a implementação gradual delas para avaliar o impacto e testar a eficácia delas antes de aplicá-las completamente. Por exemplo, você não deseja que uma nova política DLP, inadvertidamente, bloqueie o acesso a milhares de documentos os quais as pessoas precisam acessar para realizar seus trabalhos.

Se você estiver criando políticas DLP com um grande impacto em potencial, é recomendável seguir esta sequência:

  1. Iniciar no modo de teste sem Dicas de Política e usar os relatórios DLP e quaisquer relatórios de incidentes para avaliar o impacto. Você pode usar relatórios DLP para exibir o número, o local, o tipo e a gravidade das correspondências de política. Com base nos resultados, você pode ajustar as regras conforme necessário. No modo de teste, as políticas DLP não afetarão a produtividade das pessoas que trabalham na sua organização.

  2. Mover para o modo de teste com Dicas de Política e notificações para que você possa começar a ensinar os usuários sobre suas políticas de conformidade e prepará-los para as regras que serão aplicadas. Nesse estágio, você também pode pedir aos usuários para relatar falsos positivos para que você possa refinar as regras.

  3. Dê início à imposição total nas políticas para que as ações nas regras sejam aplicadas e o conteúdo seja protegido. Continue a monitorar os relatórios DLP e qualquer relatório de incidentes ou notificações para certificar-se de que os resultados sejam os desejados.

Opções para usar o modo de teste e ativar a política

Você pode desativar uma política DLP a qualquer momento, o que afeta todas as regras da política. No entanto, as regras também podem ser desativadas individualmente, alternando seu status no editor de regras.

Opções para desativar uma regra em uma política

Relatórios DLP

Depois de criar e ativar as políticas DLP, você desejará verificar se elas estão funcionando conforme esperado e se estão ajudando a manter a conformidade. Com os relatórios DLP, você pode exibir rapidamente o número de correspondências de regra e política DLP ao longo do tempo e o número de falsos positivos e substituições. Para cada relatório, você pode filtrar as correspondências por local, intervalo de tempo e até mesmo restringi-lo a uma diretiva, regra ou ação específica.

Com os relatórios DLP, você pode obter ideias de negócios e:

  • Se concentrar em períodos de tempo específicos e entender os motivos para picos e tendências.

  • Descobrir os processos de negócios que violam as políticas de conformidade da sua organização.

  • Compreender qualquer impacto nos negócios das políticas DLP.

Além disso, você pode usar os relatórios DLP para ajustar suas políticas DLP conforme as executar.

Painel Relatórios no Centro de Conformidade e Segurança

Como funcionam as políticas DLP

A DLP detecta informações confidenciais usando análise profunda de conteúdo (não apenas uma simples verificação de texto). Essa análise profunda de conteúdo usa correspondências de palavra-chave, correspondências de dicionário, a avaliação de expressões regulares, funções internas e outros métodos para detectar conteúdos que violam as políticas DLP. Possivelmente, apenas uma pequena porcentagem dos seus dados é considerada confidencial. Uma política DLP pode identificar, monitorar e proteger automaticamente apenas esses dados, sem impedir ou afetar as pessoas que trabalham com o restante do seu conteúdo.

As políticas são sincronizadas

Depois que você cria uma política DLP no Centro de Conformidade e Segurança, ela é armazenada em um repositório central de políticas e sincronizada com várias fontes de conteúdo, incluindo:

  • Exchange Online e de lá para o Outlook na Web e o Outlook 2013, incluindo versões posteriores

  • Sites do OneDrive for Business

  • Sites do SharePoint Online

  • Programas de área de trabalho do Office 2016 (Excel 2016, PowerPoint 2016 e Word 2016)

Após a sincronização da política com os locais corretos, ela começa avaliar o conteúdo e a impor ações.

Avaliação de políticas em sites do OneDrive for Business e do SharePoint Online

Em todos os seus sites do SharePoint Online e do OneDrive for Business, os documentos estão em constante mudança – eles estão continuamente sendo criados, editados, compartilhados e assim por diante. Isso significa que eles podem entrar em conflito ou ficar em conformidade com uma política DLP a qualquer momento. Por exemplo, uma pessoa pode carregar um documento que não contém nenhuma informação confidencial no seu site de equipe, mas, posteriormente, outra pessoa pode editar o mesmo documento e adicionar informações confidenciais a ele.

Por esse motivo, as políticas DLP verificam documentos em busca de correspondências de política com frequência em segundo plano. Você pode considerar isso uma avaliação assíncrona da política.

Veja como funciona: Como as pessoas adicionam ou alteram documentos em seus sites, o mecanismo de pesquisa examina o conteúdo, para que você possa procurá-lo mais tarde. Quando isso acontece, o conteúdo também é examinado em busca de informações confidenciais e para verificar se ele está compartilhado. Quaisquer informações confidenciais encontradas são armazenadas com segurança no índice de pesquisa, para que somente a equipe de conformidade possa acessá-las, não os usuários comuns. Cada política DLP que você ativou é executada em segundo plano (de modo assíncrono), frequentemente verificando a pesquisa em busca de qualquer conteúdo que corresponde a uma política e aplicando ações para proteger contra vazamentos não intencionais.

Diagrama mostrando como a política DLP avalia o conteúdo de forma assíncrona

Por fim, os documentos podem conflitar uma política DLP, mas eles também podem ficar em conformidade com ela. Por exemplo, se uma pessoa adicionar números de cartão de crédito a um documento, isso poderá fazer com que uma política DLP bloqueie o acesso ao documento automaticamente. Mas, se a pessoa remover, mais tarde, as informações confidenciais, a ação (neste caso, bloqueio) será desfeita na próxima vez que se avaliar se o documento está de acordo com a política.

A DLP avalia qualquer conteúdo que possa ser indexado. Para saber mais sobre os tipos de arquivo que são rastreados por padrão, confira Extensões de nomes de arquivos rastreados e tipos de arquivos analisados padrão no SharePoint Server 2013.

Avaliações de políticas no Exchange Online, Outlook 2013 e versões posteriores e no Outlook na Web

Ao criar uma política DLP que inclui o Exchange Online como um local, essa política é sincronizada do Centro de Conformidade e Segurança do Office 365 com o Exchange Online e depois do Exchange Online com o Outlook na Web e o Outlook 2013, incluindo versões posteriores.

Quando uma mensagem está sendo redigida no Outlook, o usuário pode ver dicas de política à medida que o conteúdo que está sendo criado é avaliado em relação às políticas DLP. E, depois que uma mensagem é enviada, ela é avaliada em relação às políticas DLP como parte normal do fluxo de emails, juntamente com regras de transporte do Exchange e as políticas DLP criadas no Centro de Administração do Exchange (veja a próxima seção para saber mais). As políticas DLP examinam tanto a mensagem quanto os anexos.

Avaliação de política nos programas de área de trabalho do Office 2016

O Excel 2016, o PowerPoint 2016 e o Word 2016 incluem o mesmo recurso para identificar informações confidenciais e aplicar políticas DLP que o SharePoint Online e o OneDrive for Business. Esses programas do Office 2016 sincronizam suas políticas DLP diretamente do repositório central de políticas e, em seguida, avaliam continuamente o conteúdo em relação às políticas DLP quando as pessoas trabalham com documentos abertos de um site que está incluído em uma política DLP.

A avaliação de políticas DLP no Office 2016 foi projetada para não afetar o desempenho dos programas ou a produtividade de pessoas que trabalham no conteúdo. Se elas estiverem trabalhando em um documento grande ou o computador do usuário estiver ocupado, pode demorar alguns segundos para uma dica de política ser exibida.

Permissões

Os membros da sua equipe de conformidade que irão criar as políticas DLP precisam de permissões para o Centro de Conformidade e Segurança. Por padrão, o administrador de locatários tem acesso a esse local e pode dar aos responsáveis pela conformidade e a outras pessoas acesso ao Centro de Conformidade e Segurança, sem dar-lhes todas as permissões de um administrador de locatários. Para isso, recomendamos que você:

  1. Crie um grupo no Office 365 e adicione os responsáveis pela conformidade a ele.

  2. Crie um grupo de função na página Permissões do Centro de Conformidade e Segurança.

  3. Adicione o grupo do Office 365 ao grupo de função.

Para saber mais, confira Give users access to the Office 365 Compliance Center.

Essas permissões são necessárias somente para criar e aplicar uma política DLP. A imposição da política não exige acesso ao conteúdo.

Encontre os cmdlets da DLP

Para usar a maioria dos cmdlets do Centro de Conformidade e Segurança, você precisa:

  1. Conectar-se ao Centro de Conformidade e Segurança do Office 365 usando o PowerShell remoto

  2. Usar qualquer um destes cmdlets do Centro de Conformidade e Segurança do Office 365

No entanto, os relatórios DLP precisam extrair dados do Office 365, incluindo o Exchange Online. Por esse motivo, os cmdlets para os relatórios DLP estão disponíveis no Powershell do Exchange Online e não no Powershell do Centro de Conformidade e Segurança. Portanto, para usar os cmdlets para os relatórios DLP, você precisa:

  1. Conectar-se ao Exchange Online usando o PowerShell remoto

  2. Usar qualquer um destes cmdlets para os relatórios DLP:

Mais informações

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×