Atender a requisitos regulatórios e de conformidade
Como parte das diretrizes de adoção de confiança zero, este artigo descreve o cenário de negócios de atender aos requisitos regulatórios e de conformidade que podem ser aplicáveis à sua organização.
Independentemente da complexidade do ambiente de TI da sua organização ou do tamanho dela, os novos requisitos regulamentares que podem afetar seus negócios estão sempre aumentando. Esses regulamentos incluem o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia, a Lei de Privacidade do Consumidor da Califórnia (CCPA), uma infinidade de regulamentos de informações financeiras e de saúde e requisitos de residência de dados.
O processo de atender aos requisitos regulatórios e de conformidade pode ser longo, complexo e tedioso quando não gerenciado adequadamente. Esse desafio aumentou consideravelmente a carga de trabalho das equipes de segurança, conformidade e regulamentos para alcançar e comprovar a conformidade, preparar-se para uma auditoria e implementar melhores práticas contínuas.
Uma abordagem de confiança zero muitas vezes excede alguns tipos de requisitos impostos por regulamentos de conformidade, por exemplo, aqueles que controlam o acesso a dados pessoais. As organizações que implementaram uma abordagem de confiança zero podem descobrir que já atendem a algumas novas condições ou podem facilmente desenvolver sua arquitetura de confiança zero para estarem em conformidade.
| Abordagens tradicionais para atender aos requisitos regulatórios e de conformidade | Abordagem moderna para atender aos requisitos regulatórios e de conformidade com a confiança zero |
|---|---|
| Muitas organizações usam várias soluções herdadas combinadas entre si. Essas soluções muitas vezes não funcionam juntas perfeitamente, expondo lacunas de infraestrutura e aumentando os custos operacionais. Algumas “melhores soluções” independentes podem até impedir o cumprimento de certas regulamentações enquanto são usadas para atender a outras. Um exemplo generalizado é o uso de criptografia para garantir que indivíduos autorizados lidem com dados com segurança. No entanto, a maioria das soluções de criptografia torna os dados opacos para serviços como a Prevenção contra perda de dados (DLP), descoberta eletrônica ou arquivamento. A criptografia impede que a organização realize a diligência prévia em ações executadas por usuários que utilizam dados criptografados. Esse resultado força as organizações a tomar decisões difíceis e arriscadas, como proibir todo o uso de criptografia em nível de arquivo para transferências de dados confidenciais ou permitir que dados criptografados saiam da organização sem serem inspecionados. |
Unificar sua estratégia e política de segurança com uma abordagem de confiança zero quebra silos entre equipes e sistemas de TI, permitindo melhor visibilidade e proteção em toda a pilha de TI. As soluções de conformidade nativamente integradas, como as do Microsoft Purview, não apenas trabalham juntas para dar suporte aos seus requisitos de conformidade e aos de uma abordagem de confiança zero, mas também o fazem com total transparência, permitindo que cada solução aproveite os benefícios de outras, como o uso de rótulos de confidencialidade no conteúdo para conformidade de comunicação. As soluções de conformidade integradas podem fornecer a cobertura necessária com desvantagens mínimas, como o processamento transparente de conteúdo criptografado por soluções de descoberta eletrônica ou DLP. A visibilidade em tempo real permite a descoberta automática de ativos, incluindo ativos e cargas de trabalho críticos, enquanto os mandatos de conformidade podem ser aplicados a esses ativos por meio de classificação e rotulagem de confidencialidade. A implementação de uma arquitetura de confiança zero ajuda você a atender aos requisitos normativos e de conformidade com uma estratégia abrangente. O uso de soluções Microsoft Purview em uma arquitetura de confiança zero ajuda você a descobrir, governar, proteger e gerenciar todo o estado de dados da sua organização conforme as regulamentações que afetam sua organização. As estratégias de confiança zero geralmente envolvem a implementação de controles que atendem ou excedem certos requisitos regulatórios, o que reduz o ônus de realizar alterações em todo o sistema para aderir a novos requisitos regulatórios. |
As diretrizes neste artigo orientam você sobre como começar a usar a confiança zero como uma estrutura para atender aos seus requisitos regulatórios e de conformidade, com ênfase em como se comunicar e trabalhar com líderes de negócios e equipes em toda a organização.
Este artigo usa as mesmas fases do ciclo de vida da Cloud Adoption Framework para Azure — Definir estratégia, Planejar, Preparar, Adotar e Governar e gerenciar — mas adaptadas para confiança zero.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Plano | Ready | Adotar | Governar e gerenciar |
|---|---|---|---|---|
| Alinhamento da organização Metas estratégicas Resultados |
Equipe de stakeholders Planos técnicos Prontidão das habilidades |
Avaliar Teste Piloto |
Implementar incrementalmente em toda a sua infraestrutura digital | Acompanhar e medir Monitorar e detectar Iterar para obter maturidade |
Definir fase de estratégia
A fase Definir estratégia é crítica para definir e formalizar esforços para abordar o "Por quê?" desse cenário. Nesta fase, entendemos o cenário por meio de perspectivas regulatórias, de negócios, TI, operacionais e estratégicas.
Em seguida, são definidos os resultados com os quais medimos o sucesso no cenário, entendendo que a conformidade é uma jornada incremental e iterativa.
Este artigo sugere motivações e resultados que são relevantes para muitas organizações. Use essas sugestões para aprimorar a estratégia para sua organização com base em suas necessidades exclusivas.
Entender as motivações dos líderes da sua empresa
Embora a confiança zero possa ajudar a simplificar o processo de atendimento aos requisitos regulatórios, talvez o maior desafio seja obter apoio e contribuição dos líderes de toda a sua organização. Essas diretrizes de adoção foram projetadas para ajudá-lo a se comunicar com eles para que você possa obter alinhamento organizacional, definir suas metas estratégicas e identificar resultados finais.
Obter alinhamento começa com a compreensão do que motiva seus líderes e por que eles devem se preocupar em atender aos requisitos regulatórios. A tabela a seguir fornece exemplos de perspectivas, mas é importante que você se reúna com cada um desses líderes e equipes e chegue a um entendimento compartilhado das motivações uns dos outros.
| Função | Por que atender aos requisitos regulatórios é importante |
|---|---|
| Diretor geral (CEO) | Responsável por garantir a estratégia organizacional que é validada por órgãos de auditoria externa. O CEO responde principalmente a um conselho de administração que também pode avaliar o nível de conformidade com os requisitos legislativos em toda a organização e os resultados da auditoria anual. |
| Diretor de marketing (CMO) | Responsável por garantir que os dados confidenciais da empresa não sejam compartilhados externamente apenas para fins de marketing. |
| Diretor de informações (CIO) | Normalmente, é o diretor de informações da organização e será responsável pelos reguladores de informações. |
| Diretor de tecnologia (CTO) | Responsável por manter a conformidade regulatória na infraestrutura digital. |
| Diretor de segurança da informação (CISO) | Responsável pela adoção e conformidade com as normas do setor que fornecem controles diretamente relacionados à conformidade de segurança da informação. |
| Diretor de operações (COO) | Garante que as políticas e procedimentos da empresa relacionados à segurança da informação, privacidade de dados e outras práticas regulatórias sejam seguidos em um nível operacional. |
| Diretor financeiro (CFO) | Avalia as desvantagens e vantagens financeiras da conformidade, como o seguro cibernético e a conformidade fiscal. |
| Diretor de riscos (CRO) | É responsável pelo componente de risco da estrutura de Risco e conformidade de governança (GRC) na organização. Mitiga ameaças à não conformidade e conformidade. |
Diferentes partes da sua organização podem ter motivações e incentivos diferentes para fazer o trabalho de requisitos regulatórios e de conformidade. A tabela a seguir resume algumas dessas motivações. Certifique-se de se conectar com os stakeholders para entender suas motivações.
| Área | Motivações |
|---|---|
| Necessidades comerciais | Cumprir os requisitos regulatórios e legislativos aplicáveis. |
| Necessidades de TI | Implementar tecnologias que automatizam a conformidade com os requisitos regulatórios e de conformidade, conforme estabelecido por sua organização no escopo de identidades, dados, dispositivos (pontos de extremidade), aplicativos e infraestrutura. |
| Necessidades operacionais | Implementar políticas, procedimentos e instruções de trabalho que sejam referenciados e alinhados às normas relevantes do setor e aos requisitos de conformidade relevantes. |
| Necessidades estratégicas | Reduzir o risco de violação das leis nacionais, regionais e locais e os potenciais danos financeiros e de reputação pública que podem resultar de violações. |
Usar a pirâmide de governança para informar a estratégia
A coisa mais importante a lembrar com esse cenário de negócios é que a estrutura de confiança zero serve como parte de um modelo de governança maior que estabelece a hierarquia de vários requisitos legislativos, estatutários, regulatórios, políticos e procedimentais dentro de uma organização. No espaço de conformidade e regulamentação, pode haver muitas maneiras de alcançar o mesmo requisito ou controle. É importante afirmar que este artigo busca a conformidade regulatória usando uma abordagem de confiança zero.
Um modelo de estratégia que é frequentemente usado na conformidade regulatória é a pirâmide de governança mostrada aqui.
Essa pirâmide ilustra os diferentes níveis nos quais a maioria das organizações gerencia a governança de tecnologia da informação (TI). Do topo da pirâmide até a base, esses níveis são legislação, normas, políticas e procedimentos e instruções de trabalho.
O topo da pirâmide representa o nível mais importante: a legislação. Nesse nível, a variação entre as organizações é menor porque as leis se aplicam amplamente a muitas organizações, embora as regulamentações nacionais e específicas de negócios possam se aplicar apenas a algumas empresas. A base da pirâmide (instruções de trabalho) representa a área com maior variação e área da superfície de implementação entre as organizações. Esse é o nível que permite que uma organização aproveite a tecnologia para cumprir os requisitos mais importantes para os níveis mais altos.
O lado direito da pirâmide apresenta exemplos de cenários em que a conformidade organizacional pode levar a resultados e benefícios positivos para os negócios. A relevância dos negócios cria mais incentivos para que as organizações tenham uma estratégia de governança.
A tabela a seguir descreve como os diferentes níveis de governança no lado esquerdo da pirâmide podem fornecer as vantagens estratégicas de negócios no lado direito.
| Nível de governança | Relevância e resultados estratégicos dos negócios |
|---|---|
| Legislação e leis, consideradas coletivamente | Passar por auditorias legais pode evitar multas e penalidades e aumenta a confiança do consumidor e a fidelidade à marca. |
| As normas proporcionam uma base confiável para que as pessoas compartilhem as mesmas expectativas sobre um produto ou serviço | As normas proporcionam garantia de qualidade através de vários controles de qualidade do setor. Algumas certificações também têm benefícios de seguro cibernético. |
| As políticas e os procedimentos documentam as funções e operações diárias de uma organização | Muitos processos manuais relacionados à governança podem ser simplificados e automatizados. |
| As instruções de trabalho descrevem como executar um processo com base nas políticas e procedimentos definidos em etapas detalhadas | Os detalhes minuciosos de manuais e documentos de instrução podem ser simplificados pela tecnologia. Isso pode reduzir muito os erros humanos e economizar tempo. Um exemplo é o uso de políticas de acesso condicional do Microsoft Entra como parte do processo de integração de funcionários. |
O modelo da pirâmide de governança ajuda a concentrar as prioridades:
Requisitos legislativos e legais
As organizações podem sofrer sérias repercussões se esses requisitos não forem seguidos.
Normas de segurança e específicas do setor
As organizações podem ter um requisito do setor para estar em conformidade ou serem certificadas com uma ou mais dessas normas. A estrutura de confiança zero pode ser mapeada em relação a várias normas de segurança, segurança da informação e gerenciamento de infraestrutura.
Políticas e procedimentos
Específicos da organização e governam os processos mais intrínsecos na empresa.
Instruções de trabalho
Controles detalhados que são altamente técnicos e personalizados para que as organizações cumpram as políticas e procedimentos.
Há várias normas que agregam o maior valor às áreas da arquitetura de confiança zero. Concentrar a atenção nas seguintes normas que se aplicam a você produzirá mais impacto:
Os parâmetros de comparação do Center for Internet Security (CIS) fornecem orientações importantes para políticas de gerenciamento de dispositivos e de pontos de extremidade. Os parâmetros de comparação do CIS incluem guias de implementação para o Microsoft 365 e o Microsoft Azure. Organizações de todos os setores e segmentos verticais usam parâmetros de comparação do CIS para ajudá-las a atingir metas de segurança e conformidade. Especialmente aquelas que operam em ambientes altamente regulamentados.
O National Institute of Standards and Technology (NIST) proporciona as Diretrizes de Identidade Digital da Publicação Especial do NIST (NIST SP 800-63-4 ipd). Essas diretrizes proporcionam requisitos técnicos para agências federais que implementam serviços de identidade digital e não visam restringir o desenvolvimento ou o uso de normas fora dessa finalidade. É importante observar que esses requisitos são feitos para aprimorar os protocolos existentes que fazem parte da estratégia de confiança zero. Tanto o governo quanto as organizações do setor público, particularmente nos Estados Unidos, assinam o NIST; no entanto, as empresas de capital aberto também podem fazer uso dos princípios orientadores na estrutura. O NIST também oferece ajuda para implementar uma arquitetura de confiança zero nas publicações incluídas no NIST SP 1800-35.
A norma ISO 27002:2022, recentemente reformulada, é recomendada para a governança geral de dados e segurança da informação. No entanto, os controles do Anexo A oferecem uma boa base para a criação de uma lista de verificação de controles de segurança, que pode ser posteriormente convertida em objetivos viáveis.
A ISO 27001:2022 também fornece diretrizes abrangentes sobre como o gerenciamento de riscos pode ser implementado no contexto da segurança da informação. Isso pode ser particularmente benéfico com o número de métricas disponíveis para os usuários na maioria dos portais e dashboards.
Normas como essas podem ser priorizadas para fornecer à sua organização uma linha de base de políticas e controles a fim de atender a requisitos comuns.
A Microsoft fornece o Gerenciador de Conformidade do Microsoft Purview para ajudá-lo a planejar e acompanhar o progresso no cumprimento das normas que se aplicam à sua organização. O Compliance Manager pode ajudar as organizações ao longo da jornada de conformidade, desde a realização de inventário de riscos de proteção de dados até o gerenciamento das complexidades da implementação de controles, a conformidade com regulamentos e certificações e a emissão de relatórios para auditores.
Definir sua estratégia
De uma perspectiva de conformidade, sua organização deve definir a estratégia de acordo com a metodologia intrínseca de GRC. Se a organização não assinar uma norma, política ou estrutura específica, um modelo de avaliação deverá ser obtido do gerenciador de conformidade. A cada assinatura ativa do Microsoft 365 é atribuída uma linha de base de proteção de dados que pode ser mapeada em relação às diretrizes de implantação de confiança zero. Essa linha de base oferece aos seus implementadores um excelente ponto de partida para a implementação prática da confiança zero a partir de uma perspectiva de conformidade. Esses controles documentados podem ser posteriormente convertidos em objetivos mensuráveis. Esses objetivos devem ser específicos, mensuráveis, atingíveis, realistas e com prazo determinado (SMART).
O modelo de linha de base de proteção de dados no gerenciador de conformidade integra 36 ações para confiança zero, alinhadas às seguintes famílias de controle:
- Aplicativo de confiança zero
- Diretrizes de desenvolvimento de aplicativos de confiança zero
- Ponto de extremidade de confiança zero
- Dados de confiança zero
- Identidade de confiança zero
- Infraestrutura de confiança zero
- Rede de confiança zero
- Visibilidade, automação e orquestração de confiança zero
Esses itens se alinham fortemente com a arquitetura de referência de confiança zero, mostrada aqui.
Fase de planejamento
Muitas organizações podem adotar uma abordagem de quatro estágios para essas atividades técnicas, resumidas na tabela a seguir.
| Etapa 1 | Etapa 2 | Etapa 3 | Etapa 4 |
|---|---|---|---|
| Identifique os requisitos regulatórios que se aplicam à sua organização. Use o gerenciador de conformidade para identificar regulamentos que possam afetar seus negócios, avaliar a conformidade com os requisitos de alto nível impostos por esses regulamentos e planejar a correção de lacunas identificadas. Analise as diretrizes atuais para regulamentos que se aplicam à sua organização. |
Use o explorador de conteúdo no Microsoft Purview para identificar dados sujeitos a requisitos regulatórios e avaliar seu risco e exposição. Defina classificadores personalizados para adaptar essa capacidade às suas necessidades comerciais. Avalie os requisitos de proteção de informações, como políticas de retenção de dados e gerenciamento de registros, e implemente políticas básicas de proteção de informações e governança de dados usando rótulos de retenção e confidencialidade. Implemente políticas básicas de DLP para controlar o fluxo de informações regulamentadas. Implemente políticas de conformidade de comunicação, caso exigido por regulamentos. |
Estenda as políticas de gerenciamento do ciclo de vida dos dados com automação. Configure controles de particionamento e isolamento usando rótulos de confidencialidade, DLP ou barreiras de informações, se exigido pelos regulamentos. Expanda as políticas de proteção de informações implementando rotulagem de contêiner, rotulagem automática e obrigatória e políticas de DLP mais rigorosas. Em seguida, expanda essas políticas para dados locais, dispositivos (pontos de extremidade) e serviços de nuvem de terceiros usando outros recursos do Microsoft Purview. Reavalie a conformidade usando o gerenciador de conformidade e identifique e corrija as lacunas restantes. |
Use o Microsoft Sentinel para criar relatórios com base no log de auditoria unificado para avaliar e inventariar continuamente o status de conformidade de suas informações. Continue usando o gerenciador de conformidade continuamente para identificar e corrigir as lacunas restantes e atender aos requisitos de regulamentações novas ou atualizadas. |
Se essa abordagem em etapas funcionar para sua organização, você poderá usar:
Essa apresentação de slides do PowerPoint disponível para download para apresentar e acompanhar seu progresso ao longo desses estágios e objetivos para líderes de negócios e outros stakeholders. Este é o slide para este cenário de negócios.
Esta pasta de trabalho do Excel para atribuir proprietários e acompanhar seu progresso para esses estágios, objetivos e suas tarefas. Aqui está a planilha para este cenário de negócios.
Equipe de stakeholders
Sua equipe de stakeholders para esse cenário de negócios inclui líderes em toda a sua organização que estão investidos em sua postura de segurança e provavelmente incluem as seguintes funções:
| Líderes de programa e proprietários técnicos | Responsabilidade |
|---|---|
| Responsável | Estratégia, direção, escalonamento, abordagem, alinhamento comercial e gerenciamento de coordenação. |
| Líder de projeto | Gerenciamento geral do compromisso, recursos, linha do tempo, cronograma, comunicações e outros. |
| CISO | Proteção e governança de ativos e sistemas de dados, como determinação de riscos e políticas e acompanhamento e relatórios. |
| Gerente de Conformidade de TI | Determinação dos controles necessários para atender aos requisitos de conformidade e proteção. |
| Lead de segurança e usabilidade (EUC) do usuário final | Representação de seus funcionários. |
| Funções de investigação e auditoria | Investigação e relatórios em cooperação com leads de conformidade e proteção. |
| Gerente de proteção de informações | Classificação de dados e identificação, controles e correção de dados confidenciais. |
| Lead de arquitetura | Requisitos técnicos, arquitetura, revisões, decisões e priorização. |
| Administração Microsoft 365 | Locatário e ambiente, preparação, configuração e testes. |
A coleção de slides do PowerPoint de recursos para esse conteúdo de adoção inclui o slide a seguir com um modo de exibição de stakeholders que você pode personalizar para sua própria organização.
Planos técnicos e prontidão de habilidades
A Microsoft oferece recursos para ajudá-lo a atender aos requisitos regulatórios e de conformidade. As seções a seguir destacam recursos para objetivos específicos nos quatro estágios definidos anteriormente.
Etapa 1
Na Etapa 1, são identificadas as normas que se aplicam à sua organização e é iniciado o uso do gerenciador de conformidade. Também são analisadas as normas que se aplicam à sua organização.
| Objetivos da etapa 1 | Recursos |
|---|---|
| Identifique os requisitos de conformidade usando a pirâmide de governança. | Avaliações do Gerente de Conformidade |
| Use o gerenciador de conformidade para avaliar a conformidade e planejar a correção de lacunas identificadas. | Visite o portal de conformidade do Microsoft Purview e analise todas as ações de melhoria gerenciadas pelo cliente relevantes para sua organização. |
| Analise as diretrizes atuais para regulamentos que se aplicam à sua organização. | Confira a tabela a seguir. |
Esta tabela lista regulamentos ou normas comuns.
| Regulamento ou norma | Recursos |
|---|---|
| NIST (National Institute of Standards and Technology) dos EUA | Configurar o Microsoft Entra ID para atender aos níveis de garantia do autenticador NIST |
| Federal Risk and Authorization Management Program (FedRAMP) | Configurar a ID do Microsoft Entra para o nível de impacto FedRAMP High |
| CMMC (Certificação do Modelo de Maturidade da Segurança Cibernética) | Configurar o Microsoft Entra ID para conformidade com a CMMC |
| Ordem executiva sobre a melhoria da segurança cibernética da nação (EO 14028) | Atenda aos requisitos de identidade do memorando 22-09 com o Microsoft Entra ID |
| Lei americana HIPAA de 1996 (Health Insurance Portability and Accountability Act) | Configurar o Microsoft Entra ID quanto à conformidade com a HIPAA |
| Conselho de normas de segurança do setor de cartões de pagamento (PCI SSC) | Diretrizes do PCI-DSS no Microsoft Entra |
| Regulamentos de serviços financeiros | Principais considerações sobre conformidade e segurança para os mercados bancários e de capitais dos EUA
|
| Corporação de Confiabilidade Elétrica da América do Norte (NERC) | Principais considerações de conformidade e segurança para o setor de energia |
Etapa 2
Na Etapa 2, é iniciada a implementação de controles de dados que ainda não estão em vigor. Mais diretrizes para planejar e implantar controles de proteção de informações estão no guia de adoção de confiança zero Identificar e proteger dados corporativos confidenciais.
| Objetivos da etapa 2 | Recursos |
|---|---|
| Use o explorador de conteúdos para identificar dados regulamentados. | Introdução ao explorador de conteúdo O explorador de conteúdos pode ajudá-lo a revisar a exposição atual de dados regulamentados e avaliar sua conformidade com as regulamentações que determinam onde eles devem ser armazenados e como devem ser protegidos. Criar tipos de informação confidencial personalizada |
| Implemente políticas básicas de governança de dados e proteção de informações usando rótulos de retenção e confidencialidade. | Saiba mais sobre políticas de retenção e rótulos a serem retidos ou excluídos Saiba mais sobre rótulos de confidencialidade |
| Verifique suas políticas de DLP e criptografia. | Prevenção contra perda de dados do Purview Criptografia com rotulagem de confidencialidade Criptografia para o Office 365 |
| Implemente políticas de comunicação (se aplicável). | Criar e gerenciar políticas de conformidade de comunicação |
Etapa 3
Na etapa 3, é iniciada a automatização das políticas de governança de dados para retenção e exclusão, incluindo o uso de escopos adaptáveis.
Essa etapa inclui a implementação de controles de segregação e isolamento. O NIST, por exemplo, prescreverá a hospedagem de projetos em um ambiente isolado se esses projetos estiverem relacionados a tipos específicos de trabalho confidencial para e com o governo dos Estados Unidos. Em alguns cenários, as regulamentações de serviços financeiros exigem ambientes de partição para impedir que funcionários de diferentes partes da empresa se comuniquem entre si.
| Objetivos da etapa 3 | Recursos |
|---|---|
| Estenda as políticas de gerenciamento do ciclo de vida dos dados com automação. | Gerenciamento do ciclo de vida dos dados |
| Configure controles de particionamento e isolamento (se aplicável). | Barreiras de informações Prevenção de perda de dados Acesso entre locatários |
| Expanda as políticas de proteção de informações para outras cargas de trabalho. | Saiba mais sobre o scanner de proteção de informações Usar políticas de prevenção contra perda de dados para aplicativos de nuvem que não são da Microsoft Prevenção contra perda de dados e Microsoft Teams Usar a prevenção contra perda de dados de ponto de extremidade Usar rótulos de confidencialidade para proteger o conteúdo no Microsoft Teams, grupos do Microsoft 365 e sites do SharePoint |
| Reavalie a conformidade usando o Gerenciador de Conformidade. | Gerenciador de Conformidade |
Etapa 4
Os objetivos da Etapa 4 tratam da operacionalização desse cenário, passando para um movimento contínuo de avaliação da conformidade de seus ativos com as normas e os padrões aplicáveis.
| Objetivos da etapa 4 | Recursos |
|---|---|
| Avalie e inventarie continuamente o status de conformidade dos recursos. | Este artigo identificou todas as ferramentas necessárias e, para esse objetivo, é criado um processo iterativo e repetível que permite o monitoramento contínuo de recursos e ativos na infraestrutura digital. Pesquisar o log de auditoria no portal de conformidade |
| Use o Microsoft Sentinel para criar relatórios para medir a conformidade. | Use o Microsoft Sentinel para criar relatórios com base no Log de Auditoria Unificada para avaliar e medir a conformidade e demonstrar a eficácia dos controles. Análise de logs no Azure |
| Utilize o gerenciador de conformidade para identificar e corrigir novas lacunas. | Gerenciador de Conformidade |
Fase de preparação
A maior parte do trabalho de conformidade acontece por meio da imposição de políticas. Você determina quais condições devem ser atendidas para obter conformidade e, em seguida, cria uma política ou um conjunto de políticas para automatizar um conjunto de controles. A imposição de políticas com a confiança zero cria uma verificação repetível para controles de conformidade específicos que estão sendo implementados. Ao criar controles na tecnologia operacional com a qual a organização interage todos os dias, a preparação para a auditoria se torna uma tarefa mais simples.
Durante a fase Preparar, você avalia e testa as políticas que está visando para garantir que essas atividades alcancem os resultados pretendidos. Certifique-se de que elas não introduzam novos riscos. Para esse cenário de negócios de confiança zero, é importante trabalhar com as partes interessadas que estão implementando controles de acesso, proteção de dados e outras proteções de infraestrutura. Por exemplo, as recomendações para avaliar e testar políticas para permitir o trabalho remoto e híbrido são diferentes das recomendações para identificar e proteger dados confidenciais em sua infraestrutura digital.
Controles de exemplo
Cada pilar da confiança zero pode ser mapeado em relação a controles específicos dentro de uma estrutura normativa ou de normas.
Exemplo 1
A confiança zero para identidade é mapeada para o gerenciamento de controle de acesso no parâmetro de comparação do Center for Internet Security (CIS) e ao Anexo A.9.2.2 Provisionamento de acesso do usuário na ISO 27001:2022.
Neste diagrama, o gerenciamento de controle de acesso é definido no Anexo 9.2.2 da norma de requisitos ISO 27001, Provisionamento de acesso do usuário. Os requisitos desta seção são atendidos exigindo autenticação multifator.
A execução de cada controle, como a imposição de políticas de acesso condicional, é exclusiva para cada organização. O perfil de risco da sua organização, juntamente com um inventário de ativos, deve criar uma área da superfície precisa e um escopo de implementação.
Exemplo 2
Uma das correlações mais óbvias entre a arquitetura de confiança zero e as normas do setor inclui a classificação de informações. O anexo 8.2.1 da ISO 27001 determina que:
- As informações devem ser classificadas em termos de requisitos legais, valor, criticidade e sensibilidade a qualquer divulgação ou modificação não autorizada, idealmente classificadas para refletir a atividade comercial em vez de inibi-la ou complicá-la.
Neste diagrama, o serviço de classificação de dados Microsoft Purview é usado para definir e aplicar rótulos de confidencialidade a emails, documentos e dados estruturados.
Exemplo 3
O Anexo 8.1.1 da ISO 27001:2022 (Inventário de ativos) exige que "quaisquer ativos associados a informações e instalações de processamento de informações precisam ser identificados e gerenciados ao longo do ciclo de vida e estar sempre atualizados."
O cumprimento desse requisito de controle pode ser alcançado por meio da implementação do gerenciamento de dispositivos do Intune. Esse requisito fornece uma conta clara do inventário e relata o status de conformidade de cada dispositivo em relação às políticas definidas da empresa ou do setor.
Para esse requisito de controle, o Microsoft Intune é usado para gerenciar dispositivos, incluindo a configuração de políticas de conformidade a fim de relatar a conformidade dos dispositivos em relação às políticas definidas. Você também pode usar políticas de acesso condicional para exigir conformidade do dispositivo durante o processo de autenticação e autorização.
Exemplo 4
Os exemplos mais abrangentes de um pilar de confiança zero que foi mapeado para as normas do setor seriam as informações sobre ameaças e a resposta a incidentes. Toda a amplitude de produtos do Microsoft Defender e do Microsoft Sentinel se torna aplicável neste cenário para fornecer análise detalhada e execução de inteligência contra ameaças e resposta a incidentes em tempo real.
Neste diagrama, o Microsoft Sentinel e as ferramentas do Microsoft Defender fornecem informações sobre ameaças.
Fase de adoção
Na fase de adoção, os planos técnicos são implementados de forma incremental em todo a sua infraestrutura digital. Você precisará categorizar os planos técnicos por área e trabalhar com as equipes correspondentes para realizar essa fase.
Para o acesso a identidades e dispositivos, adote uma abordagem em etapas, na qual você começa com um pequeno número de usuários e dispositivos e, em seguida, aumenta gradualmente a implantação para incluir todo o seu ambiente. Isso é descrito no cenário de adoção de trabalho remoto e híbrido seguro. Veja um exemplo.
A adoção para proteger dados envolve a execução em cascata do trabalho e a iteração à medida que você avança para garantir que as políticas criadas sejam adequadamente aperfeiçoadas para seu ambiente. Isso é descrito no cenário de adoção Identificar e proteger dados corporativos confidenciais. Veja um exemplo.
Governar e gerenciar
Atender aos requisitos regulatórios e de conformidade é um processo contínuo. À medida que você faz a transição para essa fase, mude para o acompanhamento e o monitoramento. A Microsoft oferece uma série de ferramentas para ajudar.
Você pode usar o explorador de conteúdos para monitorar o status da conformidade organizacional. Para classificação de dados, o explorador de conteúdos apresenta uma exibição do cenário e da difusão de informações confidenciais em sua organização. De classificadores treináveis a diferentes tipos de dados confidenciais, por meio de escopos adaptáveis ou rótulos de confidencialidade criados manualmente, os administradores podem ver se o esquema de confidencialidade prescrito está sendo aplicado corretamente em toda a organização. Essa também é uma oportunidade para identificar áreas específicas de risco em que informações confidenciais são compartilhadas consistentemente no Exchange, SharePoint e OneDrive. Veja um exemplo.
Ao utilizar a maior funcionalidade de relatórios no portal de conformidade do Microsoft Purview, você pode criar e quantificar uma visão macro da conformidade. Veja um exemplo.
A mesma mentalidade e processo podem ser aplicados ao Azure. Use a conformidade regulatória do Defender para Nuvem para determinar uma pontuação de conformidade semelhante à mesma pontuação fornecida no gerenciador de conformidade do Purview. A pontuação está alinhada a várias normas e estruturas regulatórias em vários segmentos verticais da indústria. Cabe à sua organização entender quais dessas normas e estruturas regulatórias se aplicam à pontuação. O status fornecido por este dahsboard exibe uma avaliação constante em tempo real das avaliações de aprovação versus reprovação em cada norma. Veja um exemplo.
Os dahsboards do Purview fornecem uma avaliação ampla que pode ajudar a informar seus líderes de negócios e ser usados em relatórios departamentais, como uma revisão trimestral. Em uma observação mais operacional, você pode aproveitar o Microsoft Sentinel criando um workspace do Log Analytics para dados de log de auditoria unificados. Esse espaço de trabalho pode ser conectado aos dados do Microsoft 365 e fornecer insights sobre a atividade do usuário. Veja um exemplo.
Esses dados são personalizáveis e podem ser usados em conjunto com outros dashboards para contextualizar o requisito regulatório especificamente alinhado à estratégia, perfil de risco, metas e objetivos da sua organização.
Próximas etapas
- Visão geral da estrutura de adoção da Confiança Zero
- Modernizar rapidamente sua postura de segurança
- Trabalho remoto e híbrido seguro
- Identificar e proteger dados comerciais confidenciais
- Prevenir ou reduzir danos comerciais causados por uma violação
Recursos de acompanhamento do progresso
Para qualquer um dos cenários comerciais de Confiança Zero, você pode usar os seguintes recursos para acompanhamento do progresso.
| Recurso de acompanhamento do progresso | Isso ajuda a… | Projetado para |
|---|---|---|
Arquivo Visio ou PDF que pode ser baixado da grade de fases do Plano de Cenário de Adoção 
|
Compreender facilmente os aprimoramentos de segurança para cada cenário comercial e o nível de esforço para os estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Conjunto de slides do PowerPoint para baixar do acompanhamento da adoção da Confiança Zero 
|
Acompanhe seu progresso pelos estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Pasta de trabalho do Excel para baixar com objetivos e tarefas do cenário de negócios 
|
Atribuir a propriedade e acompanhar seu progresso nas fases, objetivos e tarefas da fase de Planejamento. | Clientes potenciais de projeto de cenário de negócios, clientes potenciais de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação da Confiança Zero e recursos de acompanhamento de progresso.