E-book recursos de segurança e Suporte a LGPD do Microsoft Office 365
Com a entrada em vigor da LGPD (Lei Geral de Proteção de Dados) em 19/Setembro/2020, a procura por produtos que deem suporte a vazamentos de dados se tornou prioritária.
Na prática já deveríamos ter essa preocupação a muito tempo, mas agora com a Lei aprovada é necessário implementar algumas regras.
Sabemos que nem todos os artigos tem a ver com regras técnicas, por exemplo ter metodologias implementadas que comprovem o cuidado que a empresa tem no dia a dia que pode ser ISOs, ITIL e outras que já sejam praticadas e reconhecidas.
Porem a proteção do vazamento por e-mail, ferramentas de IM e até roubo de equipamentos físicos é sim uma caraterística técnica. Sem falar em arquivamento de dados legais que não tem a ver com a LGPD mas sim com normas jurídicas e fiscais (retenção de 7 anos por exemplo).
Sendo assim, quais ferramentas o Microsoft Office 365 contem e podem ser habilitadas?
Nesse e-book abordamos as diferentes ferramentas e pacotes que as contem, lembrando que não é um guia de implementação com telas, mas sim descrição dos recursos.
Clique aqui para baixar!
Painel de Supervisão do Office 365 Compliance
Como tratado no post anterior http://www.marcelosincic.com.br/post/Novo-Painel-de-Conformidade-e-Riscos-no-Office-365.aspx temos um novo painel voltado ao time de Gerenciamento de Riscos.
Agora vamos falar do painel de Supervisão onde é possivel monitorar ações, muito similar ao que o administrador já vê no painel de proteção do Office 365. Diferente do painel de Compliace e do painel de gerenciamento as regras no painel de supervisão tem filtros para usuários específicos e definição dos revisores.
O link para esse painel está em https://compliance.microsoft.com/supervisoryreview
Veja que diferente do painel inicial do gerenciamento de conformidade, este painel tem seus próprio dashboards e indicativos:
Uma vez as regras criadas será possivel ver a efetividade, aplicações e usuários com mais ocorrencias:
Criando Regras para Supervisão com Modelos
Nesse exemplo criei uma politica baseada em dados sensiveis como CPF, CNPJ e RG, mas a lista é bem grande incluindo dados como contas correntes e cartões de crédito alem dos que você mesmo criar.
Nesse segundo exemplo a regra é para linguagem ofensiva, onde ele utiliza o dicionário do Office 365 para detectar esse tipo de ação:
Após criar as políticas baseadas em regras é possivel criar modelos de avisos, que são os emails que irei enviar ao usuário em caso de aviso de uma ação não desejada:
Editando as Politicas Criadas pelo Modelo
Agora ao editar as politicas que os modelos criam, podemos ver o que ele utiliza e tambem customizar:
Novo Painel de Conformidade e Riscos no Office 365
Como já é conhecido, com as licenças de Microsoft 365 ou EMS 365 diversos recursos de segurança são habilitados. Já abordei um deles que é Compliance Manager em http://www.marcelosincic.com.br/post/LGPD-disponivel-no-painel-de-Compliance-do-Office-365.aspx
Alem deste painel temos mais dois que são bem interessantes, o primeiro tratado aqui é o Painel de Conformidade e Riscos. Esse painel permite que uma área de gerenciamento crie politicas de monitoração de regras.
Isso significa que alem das regras de DLP já existentes no painel de configuração do Office 365 (https://protection.office.com) temos esse outro painel.
A diferença é que o painel de proteção cria as regras com diversas ações bloqueando o envio de emails e documentos com dados confidenciais.
Já o painel de riscos serve para gerar dados sem criar represálias ou bloqueios, ou seja para a área de riscos conseguir mensurar dados que estão trafegando independente da corporação ter uma regra especifica de DLP para bloqueio.
Abrindo o Painel
O painel de Riscos está em https://compliance.microsoft.com/insiderriskmgmt e ao ser aberto já é possivel ver alertas, pontuação de segurança geral, conformidade com regras, etc:
A pontuação nos paineis do Office 365 é importante, uma vez que a partir deles que sabemos as regras de uma norma e o que fazer para se adequar a ela e estar mais próximo de um ambiente 100% seguro:
Criando uma Regra de Exemplo
Para criar regras poderá utilizar o menu na lateral e no exemplo abaixo mostro como criei uma regra para me avisar sobre várias ações que podem indicar um vazamento de dados.
Por exemplo, quando usuários compartilham um site SharePoint com alguem externo, é um destes indicativos possiveis. Tambem é possivel interligar as regras de DLP que você já tenha criado no Office 365, evitando duplicidade de configurações se a regra corporativa estiver implementada:
Note que é possivel acima escolher os diferentes templates de proteção a riscos, cada um apresentará dados que serão monitorados. No meu exemplo usei o Vazamento de Dados e escolhi Todos os Usuários, depois habilitando os itens já pré-configurados:
Conclusão
Esse novo painel irá ajudar muito empresas que possuem um departamento de Governança separado do que administra a TI, permitindo que tenham uma visão dos riscos na empresa sem a necessidade de ter acesso administrativo.
Alguns itens são adicionais e precisam de configuração, por exemplo os dados de RH exige um conector.
Para mais detalhes veja os links abaixo:
https://docs.microsoft.com/pt-br/microsoft-365/compliance/insider-risk-management-policies
https://docs.microsoft.com/pt-br/microsoft-365/compliance/import-hr-data
LGPD disponivel no painel de Compliance do Office 365
Hoje tivemos o anuncio de que a suíte de segurança agora contempla os modelos legais de novos países e incluiu o LGPD (Lei Geral de Proteção de Dados).
https://www.microsoft.com/en-us/microsoft-365/blog/2020/01/27/microsoft-compliance-score-address-changing-data-privacy-landscape/
Como Utilizar o Compliance Score
Para utilizar o novo painel de Compliance utilize o link https://servicetrust.microsoft.com/ComplianceManager/V3
Importante: Lembre-se de usar o painel em preview pois o painel clássico não permitirá incluir.
Nesse link clique em Adicionar Avaliação para incluir o módulo de avaliação do LGPD para o Office 365:
Após isso já poderá ver o widget do LGPD no seu painel:
O que é possível fazer e como usar o Compliance Manager?
A ideia do Compliance Manager é permitir que o administrador e a equipe de segurança e conformidade avaliem se estão usando corretamente as regras de uma lei nacional de proteção de dados ou norma internacional como ISO, HIPAA e PCI.
No meu exemplo na tela acima está aplicado o modelo de proteção de dados básica, HIPAA (segurança de dados para saúde) e o LGPD.
Veja que para cada um dos modelos eu tenho uma nota do que já foi implementado pela Microsoft e o que eu já fiz de itens de segurança.
Pergunta importante: O score no Compliance Manager é igual ao Score do painel Segurança e Conformidade do Office 365 (https://protection.office.com)?
A resposta é NÃO!!! Enquanto o painel do Segurança e Conformidade se refere a itens técnicos onde você escolhe o que irá ou não implementar e com isso reduzir ou aumentar o seu Score total, no painel do Compliance Manager não temos essa possibilidade, já que ele mede a aplicação dos itens da lei/norma.
Como Avaliar o meu Nível de Compliance?
A cada item do modelo que pode ser acessado em Itens de Ação ou Informações de Controle você verá uma lista com os itens cobertos pela Microsoft e os que você como corporação deverá fazer:
Ao clicar em Review será possível você indicar em que estágio está com aquele determinado Item de Ação.
Para isso informe o estágio, data que irá implementar, se os testes com a ação foram bem sucedidos e a data do teste. Também poderá incluir observações sobre como o teste foi feito, anexar os documentos e atribuir a um usuário.
Com isso você passa a ter um painel onde para auditoria será muito mais fácil levantar os dados e comprovar a aplicação do modelo de lei ou norma que você está se sujeitando:
Na parte seguinte das análises em Informações de Controle você terá uma visão como a abaixo onde terá acesso aos diferentes itens que deverá implementar conforme a lei, com destaque para o artigo que a impõe.
No caso de leis “cruzadas”, o resumo irá indicar as diferentes leis e normas com seus artigos onde é necessário implementar determinado controle:
Assim como na parte de Itens de Ação aqui você poderá abrir os itens e ver quais os controles que precisam ser implementados por você ou já são satisfeitos pela segurança do próprio Office 365:
Quem Pode Utilizar o Compliance Manager?
Essa ferramenta está disponível no EMS E5 que compõe o Microsoft 365 E5.
É possivel adquirir para pacotes de produtos Office 365 como um add-on que é o Office 365 Advanced Compliance que pode ser agregado ao O365 E1, E3 ou E5.
https://docs.microsoft.com/en-us/office365/admin/subscriptions-and-billing/buy-or-edit-an-add-on
Adoção Assistida do Office 365 e Azure com o FastTrack
Ao convertermos novos clientes que tinham produtos on-premisse para produtos on-line sempre temos o impacto inicial da migração.
Se o cliente comprou na modalidade CSP (Cloud Solution Provider) a configuração inicial é toda realizada pelo parceiro e a migração dos dados em geral tambem já é incluida como um serviço. Afinal, é importante lembrar que no modo CSP quem detem a conta é o parceiro pois é um modelo gerenciado.
Já no modelo de Licensing Partners, seja com contrato MPSA ou Enterprise Agreement (EA) o dono da conta e do tenant é o próprio cliente. Isso quer dizer que cabe ao cliente criar a tenant, habilitar os serviços, configurar e migrar os dados.
Como fazer o kickoff do Office 365 sem “dores” e com a melhor estrutura?
A resposta obvia seria contratar um parceiro de serviços Microsoft especializado em Office 365 que fará todo o processo, mas muitas vezes não é o que será feito.
Nestes casos, é possivel acionar o FastTrack.
O que é o Microsoft FastTrack?
Em termos básicos o FastTrack é um site contento todo um repertório de ferramentas para quem já tem ou adquiriu Office 365 em contrato direto (MPSA ou EA).
https://fasttrack.microsoft.com
Ao entrar no site poderá iniciar vendo um Dashboard do seu estado atual como abaixo:
Note que logo na primeira parte vemos o nome do meu tenant de testes, os dados incluindo algumas informações da empresa e o gerente do FastTrack, Engenheiro e Arquiteto. Quem são essas figuras?
Alguns clientes, principalmente na adoção possuem o beneficio de engajar um time da MS para ajudar no planejamento e execução da migração.
Isso não quer fizer que irão executar, mas sim orientar e apoiar no processo de criação do tenant, integração do AD (AADSYNC), configuração dos serviços e o processo de migração em sí.
Para saber se você é elegivel, veja “Ofertas” e “Serviços”:
O primeiro item “Ofertas” não são migrações e sim documentação gerada para compliance e arquivamento.
Já o item “Serviços” é onde poderá solicitar que a Microsoft engaje o time para executar as funções desejadas.
Note que não apenas Office 365, mas tambem Planning de deploy de Windows (neste caso é necessário ter voucher de Planning Services) e um parceiro para ajudar com Windows 10 se ainda não migrou.
Tambem temos a opção de Azure, mas ela só é disponivel para alguns paises e o cliente precisa consumir no minimo U$ 5000 mês.
Em qualquer dos casos, a Microsoft envia um email com mais informações para você e iniciará o processo conforme o tipo de solicitação.
E se já tenho o tenant e utilizo, que valor tenho no FastTrack?
Mesmo assim é interessante. Acesse o link https://myadvisor.fasttrack.microsoft.com
Esse site tem uma lista de recursos onde você poderá baixar apresentações, guias, modelos de emails e videos educativos.
A unica restrição é que todo o conteudo está em inglês 
De qualquer forma, ferramentas como o “Network Planner” para validar necessidade de link é importantissimo para o primeiro momento.
Tambem podemos destacar os videos e documentos onde podemos aprender mais sobre os recursos e o passo-a-passo de uma estória de sucesso!
Desenho de Cenários (Planos de Sucesso)
Uma opção bem interessante é a criação dos Planos de Sucesso que pode ser visto na primeira tela deste post.
Ao criar um plano e escolher o produto, será guiado a um checklist completo onde poderá escolher o que irá fazer e o site irá ajudar a trilhar o caminho correto.
Uma ajuda muito útil quando estamos fazendo a implementação e não queremos deixar algo passar!
E um recurso interessante é que você poderá acessar videos para ajudar na adoção do produto desejado pelos usuários finais.
Conclusão
Se está implantado, já tem funcionando apenas com alguns produtos ou está evoluindo o ambiente, o FastTrack irá ser uma ajuda enorme para o sucesso!