Criteri di sovraesposizione dei dati in Gestione dei rischi per la privacy

L'organizzazione può archiviare contenuti a vari livelli di accesso, incluse le aree accessibili pubblicamente e quelle con restrizioni. I criteri di sovraesposizione dei dati in Gestione dei rischi per la privacy Microsoft Priva consentono di rilevare e gestire situazioni in cui i dati archiviati dall'organizzazione non sono adeguatamente sicuri. Ad esempio, se l'accesso a un sito interno è aperto a troppe persone o le impostazioni delle autorizzazioni non sono state mantenute, i dati personali archiviati in tale sito potrebbero essere vulnerabili a una violazione. I criteri di sovraesposizione dei dati possono valutare i dati relativi a questi rischi e avvisare l'utente di potenziali problemi.

Quando viene rilevata una corrispondenza dei criteri, è possibile inviare agli utenti notifiche tramite posta elettronica che includono opzioni di correzione per risolvere i problemi. Per la sovraesposizione dei dati, questi includono la creazione di elementi di contenuto privati, la notifica ai proprietari del contenuto o l'aggiunta di tag agli elementi per un'ulteriore revisione.

Il processo di configurazione dei criteri semplifica l'impostazione delle condizioni dei criteri. È possibile controllare in modo completo i tempi di avviso e la frequenza dei messaggi di posta elettronica che richiamano l'attenzione degli utenti sulle procedure di gestione dei dati sicure.

Esistono due modi per creare un criterio: da un modello, che è la nostra rapida opzione "predefinita" usando le impostazioni predefinite; o l'opzione personalizzata , che è un processo guidato per l'impostazione di condizioni, avvisi e notifiche.

Configurazione rapida: usare un modello con le impostazioni predefinite

Il criterio di sovraesposizione dei dati predefinito valuta i dati personali a tutti e tre i livelli di accesso: pubblico, esterno e interno.

Seguire questa procedura per creare un criterio di trasferimento dati predefinito:

1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

   • Nuovo portale Priva (anteprima).New Priva portal (preview). Per altre informazioni, vedi Informazioni sul nuovo portale Priva (anteprima).To learn more, see Learn about the new Priva portal (preview).
   • Portale di conformità di Microsoft Purview. Per altre informazioni su questo portale, vedi Portale di conformità di Microsoft Purview.

2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

3. Selezionare Crea un criterio.

4. Nella casella Sovraesposizione dati selezionare Crea.

5. Un riquadro a comparsa contiene i dettagli dei criteri. Selezionando Impostazioni visualizzazione verranno visualizzate le impostazioni predefinite. È possibile modificare le impostazioni da qui, che consente di seguire il processo guidato descritto di seguito. Per continuare a creare i criteri usando le impostazioni predefinite, è sufficiente immettere un nome descrittivo e quindi selezionare Crea criterio.

I criteri verranno creati e saranno elencati nella pagina Criteri . Inizia in modalità di test in modo da poter monitorare le prestazioni prima di attivarla.

Impostazioni dei criteri di sovraesposizione dei dati predefiniti

Un criterio di sovraesposizione dei dati creato dal modello rileverà:

• Quando un utente fornisce un accesso troppo ampio agli elementi contenenti dati personali archiviati in OneDrive o SharePoint dell'organizzazione. Ad esempio, il criterio rileverà la condivisione dei dati personali nei modi seguenti:
  • Tramite un collegamento accessibile a chiunque nel pubblico
  • Tramite un collegamento o a causa delle autorizzazioni che consentono a tutti gli utenti dell'organizzazione di accedere
  • Concessione di diritti di accesso a utenti esterni o guest a file di OneDrive o SharePoint
• Tipi di dati basati sui gruppi di classificazione seguenti:
  • Regolamento generale sulla protezione dei dati (GDPR) dell'UE
  • Informazioni personali degli Stati Uniti
  • US Patriot Act
  • Legge statunitense sulla notifica di violazione dello Stato
  • US Gramm-Leach-Bliley Act (GLBA)
  • HIPAA (Health Insurance Portability and Accountability Act)
  • Health Records Act (HRIP) Australia
  • Legge sulla privacy australiana
  • Informazioni personali Giappone
  • Protezione delle informazioni personali giappone

Configurazione personalizzata: processo guidato di creazione dei criteri

L'opzione per i criteri personalizzati è un processo guidato per creare un nuovo criterio impostando condizioni, designando la gravità e la frequenza degli avvisi e attivando le notifiche tramite posta elettronica degli utenti.

Completare la procedura seguente per creare un nuovo criterio di sovraesposizione dei dati:

1. Accedere a uno dei portali seguenti usando le credenziali per un account amministratore dell'organizzazione di Microsoft 365:

   • Nuovo portale Priva (anteprima).New Priva portal (preview). Per altre informazioni, vedi Informazioni sul nuovo portale Priva (anteprima).To learn more, see Learn about the new Priva portal (preview).
   • Portale di conformità di Microsoft Purview. Per altre informazioni su questo portale, vedi Portale di conformità di Microsoft Purview.

2. Vai alla soluzione di gestione dei rischi per la privacy e seleziona la pagina Criteri .

3. Selezionare Crea un criterio.

4. Nella casella Personalizzato selezionare Crea.

5. Nella pagina Nome e tipo selezionare il modello di criteri di sovraesposizione dati. Immettere un nome di criterio che faciliti l'identificazione dall'elenco nella pagina Criteri , immettere una descrizione facoltativa, quindi selezionare Avanti.

6. Nella pagina Dati da monitorare scegliere il tipo di dati personali da monitorare. Sono disponibili due opzioni:

   • Gruppi di classificazione: raggruppamenti di tipi di informazioni riservate usati per rilevare contenuti correlati ai dati personali o a normative specifiche. Se si seleziona questa opzione, sarà necessario selezionare +Aggiungi gruppi di classificazione per scegliere uno o più gruppi nell'elenco fornito.
   • Singoli tipi di informazioni riservate: selezionare questa opzione per scegliere da un elenco di singoli tipi di informazioni riservate.

   Altre informazioni sulla scelta dei dati da monitorare. Dopo aver selezionato i dati da monitorare, seleziona Avanti.

7. Nella pagina Utenti e gruppi scegliere gli utenti dell'organizzazione a cui applicare il criterio. È possibile selezionare tutti i singoli utenti e tutti i Office 365 gruppi di distribuzione oppure utenti e gruppi specifici. Altre informazioni sulla scelta di utenti e gruppi. Al termine, seleziona Avanti.

8. Nella pagina Posizioni selezionare tutti i percorsi di dati in Microsoft 365 che si desidera vengano inclusi nei criteri. Scegliere tra account di OneDrive e siti di SharePoint.

   In SharePoint è possibile designare tutti i siti o siti specifici. Se si seleziona Siti di SharePoint specifici, è possibile immettere l'URL del sito nel campo URL. È anche possibile selezionare +Scegli siti, quindi nel riquadro a comparsa selezionare la casella a sinistra del nome del sito da selezionare.

   Altre informazioni sulla scelta delle posizioni. Dopo aver selezionato le posizioni, seleziona Avanti.

9. Nella pagina Condizioni selezionare il tipo di condizione di sovraesposizione dei dati rilevata dal criterio:

   • Pubblico: chiunque abbia un collegamento può accedere al contenuto.
   • Esterno: persone specifiche all'esterno dell'organizzazione hanno accesso.
   • Interno: tutti gli utenti dell'organizzazione hanno accesso.

   La selezione di più livelli di accesso amplificherà l'ambito dei dati e potrebbe produrre quantità significativamente maggiori di avvisi e notifiche degli utenti.

   Inserisci un controllo nella casella accanto alle opzioni, quindi seleziona Avanti.

10. Nella pagina Risultati decidere se inviare una notifica agli utenti quando soddisfano le condizioni impostate dal criterio. Se si seleziona la casella delle notifiche tramite posta elettronica, gli utenti riceveranno una notifica tramite posta elettronica quando le azioni corrispondono alle condizioni dei criteri. I messaggi di posta elettronica contengono istruzioni per eseguire azioni correttive direttamente dal messaggio e-mail, insieme a un collegamento alla formazione sulla privacy. Dovrai designare la frequenza dei messaggi e-mail e l'URL per la formazione sulla privacy preferita.

    Altre informazioni sulla configurazione delle notifiche utente. Dopo aver selezionato i risultati, selezionare Avanti.

11. Nella pagina Avvisi usare l'interruttore per attivare gli avvisi che un amministratore visualizzerà nella pagina Avvisi della sezione Criteri di Gestione dei rischi per la privacy. È necessario specificare la frequenza di generazione degli avvisi, le soglie per le corrispondenze prima della generazione degli avvisi e la gravità degli avvisi. Altre informazioni sull'impostazione di avvisi per le corrispondenze ai criteri. Al termine, seleziona Avanti.

12. Nella pagina Modalità scegliere la modalità in cui inserire il criterio: Testalo per primo o Attivalo immediatamente. In modalità di test non verranno inviati avvisi o notifiche. Altre informazioni sui suggerimenti e su cosa analizzare durante il test di un criterio. Al termine, seleziona Avanti.

13. Nella pagina Fine esaminare le opzioni disponibili. Selezionare Modifica sotto una delle sezioni per modificare le impostazioni. Quando sei soddisfatto delle impostazioni dei criteri, seleziona Invia per creare il criterio.

Dopo alcuni secondi verrà visualizzata una conferma della creazione del criterio. Selezionare Fine nella pagina di conferma, che consente di passare alla pagina Criteri in cui verrà visualizzato il nuovo criterio nella parte superiore della tabella.

Passaggi successivi

Per informazioni dettagliate su come modificare e gestire i criteri, vedere Criteri di gestione dei rischi per la privacy.

Legali

Microsoft Priva dichiarazione di non responsabilità legale