Una guida all'implementazione di Data Classification in Microsoft 365

Le organizzazioni oggi immagazzinano enormi quantità di dati. Per proteggere la loro attività e conformarsi alle severe normative moderne, devono gestirli e proteggerli adeguatamente. Idealmente, ogni documento riceverebbe la stessa protezione, ma questo approccio è irrealistico sia finanziariamente che operativamente. Di conseguenza, le organizzazioni devono classify data per poter dare priorità ai loro contenuti critici e sensibili.

La classificazione dei dati è abbastanza impegnativa già nei data store on-premises. Ma oggi, la maggior parte delle organizzazioni utilizza ampiamente carichi di lavoro cloud di Microsoft 365 come SharePoint Online, OneDrive e Teams, il che aggiunge ulteriore complessità. I dati nel cloud sono altamente dinamici e distribuiti su più servizi con diversi controlli di accesso, e la mancanza di controllo fisico sull'infrastruttura aumenta la difficoltà.

Questo articolo mostra come funziona la data classification negli ambienti cloud di Microsoft e spiega come superare alcune delle sue importanti limitazioni.

Vantaggi della Netwrix Data Classification

Prima di immergersi nella classificazione dei dati in Microsoft 365, rivediamo i vantaggi principali della classificazione dei dati. Una classificazione e un'etichettatura accurate delle informazioni possono aiutare la vostra organizzazione:

• Raggiungi e mantieni la conformità con regolamenti come HIPAA, CCPA e GDPR — e adattati rapidamente a nuove normative.
• Attuate efficacemente politiche di privacy, conservazione e riservatezza.
• Riduci i costi di gestione, archiviazione e backup dei dati identificando ed eliminando i dati ridondanti.
• Razionalizza le operazioni aziendali facilitando ricerche più rapide ed efficienti.
• Ottimizza l'architettura del database e migliora la funzionalità delle piattaforme di sicurezza.

Per ottenere questi benefici è necessaria una classificazione dei dati accurata e affidabile. I processi manuali sono carenti per svariate ragioni. Gli individui possono interpretare i criteri di classificazione in modo diverso, portando a etichette incoerenti. I dipendenti impegnati possono trascurare del tutto il compito, o semplicemente scegliere etichette a caso per completare il lavoro rapidamente. Inoltre, l'etichettatura manuale è così onerosa e richiede tanto tempo che l'enorme volume di contenuti già memorizzati nei vostri sistemi probabilmente non verrà mai classificato. Di conseguenza, è fondamentale utilizzare una soluzione di classificazione dei dati automatizzata.

Classificazione dei dati con Microsoft Purview

Lo strumento principale per la classificazione dei dati Microsoft è Microsoft Purview (precedentemente noto come Microsoft 365 Compliance e Azure Purview). Questa soluzione aiuta le organizzazioni a scoprire, classificare e proteggere i dati in ambienti Microsoft, inclusi Microsoft 365 e server on-premises.

Microsoft Purview può applicare etichette di sensibilità a documenti, email e altri dati automaticamente in base a regole create dagli amministratori. Ad esempio, può identificare automaticamente numeri di identificazione personale, dettagli finanziari e informazioni confidenziali di progetti e applicare le etichette corrispondenti. Questa automazione aiuta a garantire che i dati siano classificati in modo coerente e affidabile. Le etichette di sensibilità possono anche essere applicate manualmente dagli utenti in applicazioni come Word, Excel, PowerPoint e Outlook.

Una volta applicate, i servizi di Microsoft 365 fanno rispettare le impostazioni di protezione configurate sui contenuti. Le etichette di sensibilità sono riconosciute in vari carichi di lavoro di Microsoft 365, inclusi Word, Excel, PowerPoint, SharePoint Online, OneDrive for Business e Microsoft Teams. Le etichette possono anche essere utilizzate da processi interni e soluzioni di terze parti per migliorare la protezione dei dati e la conformità. Ad esempio, uno strumento di data loss prevention (DLP) potrebbe utilizzare le etichette di sensibilità per controllare o prevenire la condivisione di informazioni sensibili, mentre una politica di conservazione dei dati potrebbe sfruttare le etichette per archiviare o eliminare i dati secondo il loro ciclo di vita dato.

Come creare e pubblicare etichette

È possibile creare e pubblicare etichette utilizzando l'interfaccia Microsoft Purview o PowerShell.

Prerequisiti

Per creare e utilizzare etichette di sensibilità, è necessario disporre di una licenza attiva Microsoft 365 E5/A5/G5. In aggiunta:

• Il tuo account deve essere assegnato ad almeno uno dei seguenti ruoli o gruppi di ruoli:
• Amministratore Globale
• Amministratore della conformità
• Amministratore della sicurezza
• Amministratore dei dati di conformità
• È necessario dare il consenso per utilizzare le etichette di sensibilità. Per farlo, accedi al portale di conformità Microsoft Purview, vai al menu Protezione delle informazioni e procedi alla pagina Etichette. Nella sezione “Estendi l'etichettatura agli asset nella mappa dei dati...”, clicca sul pulsante Attiva come mostrato di seguito. Nella finestra di conferma che appare, clicca su Sì.

• Abilita le etichette di sensibilità per i file di Office in SharePoint e OneDrive nel Microsoft 365 Admin Center.

Creazione e pubblicazione di etichette utilizzando l'interfaccia Purview

Passaggio 1. Crea un'etichetta

Passaggio 1a. Nella pagina Etichette, fare clic su Create a label. Quindi specificare le seguenti informazioni:

• Nome
• Nome visualizzato, che sarà ciò che gli utenti vedranno nelle app dove l'etichetta viene pubblicata
• Priorità
• Descrizione per gli utenti aziendali
• Descrizione per gli amministratori che gestiranno l'etichetta
• Colore dell'etichetta

Passaggio 1b. Nella schermata successiva, scegli quali tipi di elementi classificare, come file, email e riunioni:

Passaggio 1c. Specificare se applicare o rimuovere la crittografia e se aggiungere intestazioni, piè di pagina o filigrane personalizzate ai documenti, come mostrato di seguito. Se si sceglie una di queste opzioni, sarà necessario fornire ulteriori informazioni.

Passaggio 1d. Specificare se Microsoft Purview dovrebbe assegnare automaticamente l'etichetta a un file o un'email se corrisponde alle condizioni che si specificano:

Passaggio 1e. Le etichette di sensibilità possono essere applicate anche per proteggere i contenuti attraverso vari contenitori, inclusi i siti di Microsoft Teams, i gruppi di Microsoft 365 e i siti SharePoint. Assegnando un'etichetta di sensibilità a uno di questi contenitori supportati, la classificazione di sensibilità designata e le impostazioni di protezione preconfigurate vengono automaticamente applicate al rispettivo sito o gruppo. Come mostrato di seguito, in questo esempio non stiamo scegliendo ulteriori contenitori.

Hai ora creato un'etichetta.

Passaggio 2. Pubblica l'etichetta

Ora è il momento di creare una policy che farà distribuire le etichette per la pubblicazione.

Passaggio 2a. Vai a Criteri di etichettatura > Pubblica etichette e seleziona le etichette che desideri pubblicare:

Passaggio 2b. Seleziona gli utenti e i gruppi che possono utilizzare l'etichetta. Puoi scegliere tutti gli utenti e i gruppi oppure assegnare account specifici come mostrato di seguito.

Passaggio 2c. Configurate le impostazioni della policy che desiderate applicare. Nell'esempio sottostante abbiamo scelto di richiedere agli utenti di fornire una giustificazione prima di rimuovere un'etichetta o sostituirla con un'altra che abbia un numero d'ordine inferiore come mostrato nello screenshot seguente.

Passaggio 2d. Dovrai poi scegliere un'etichetta predefinita per tutti gli elementi che hai specificato nel processo di creazione delle etichette. Questi possono essere documenti, email, riunioni, ecc. Nello screenshot qui sotto abbiamo selezionato la policy chiamata General – Low Risk come etichetta predefinita per i documenti Word.

Passaggio 2e. L'ultimo passaggio consiste nel nominare la policy creata come mostrato di seguito. Quindi rivedere e terminare per completare.

Creazione e pubblicazione di etichette utilizzando PowerShell

Puoi anche utilizzare PowerShell per creare e abilitare etichette di sensibilità in Microsoft 365. Ecco una panoramica di come realizzare la classificazione e l'etichettatura Microsoft

1) Installate il modulo PowerShell di Security & Compliance Center se non lo avete già fatto

2) Avviare una sessione utilizzando uno dei seguenti cmdlet:

Connect-ExchangeOnline o Connect-IpPsSession.

3) Creare un'etichetta di sensibilità. Utilizzare il cmdlet New-Label e specificare parametri come il nome dell'etichetta, la descrizione, il suggerimento e le impostazioni di protezione. Ecco un esempio:

New-Label -Name "Confidential" -Description "Questa etichetta applica una forte protezione ai contenuti sensibili." -Tooltip "Utilizzare per documenti aziendali sensibili."

4) Creare una policy che pubblichi le etichette di sensibilità. Utilizzare il cmdlet “New-LabelPolicy” per specificare quali etichette includere e a chi devono essere pubblicate, come in questo esempio:

New-LabelPolicy -Name "Default Label Policy" -Labels "Confidential" -Users "All"

Monitoraggio dell'uso delle etichette

Una volta che le etichette sono state create e pubblicate, Microsoft Purview etichetterà automaticamente i contenuti sensibili utilizzando le regole che hai impostato, e gli utenti potranno iniziare ad applicare queste etichette a documenti ed email. Assicurati di utilizzare gli strumenti di reportistica in Microsoft Purview per monitorare come vengono utilizzate le etichette; ciò può aiutarti a comprendere lo stato di conformità e identificare le aree che necessitano attenzione.

Sfide nell'utilizzo di Microsoft Purview per la Data Classification

L'implementazione dell'etichettatura automatica con Microsoft Purview migliora la protezione e la gestione delle informazioni. Tuttavia, poiché si basa su schemi predefiniti, parole chiave o tipi di dati per identificare informazioni sensibili, può portare a entrambi i seguenti problemi:

• Falsi positivi — Etichettare in modo errato informazioni non sensibili come sensibili può portare al blocco dell'accesso ai dati da parte degli utenti, dati che dovrebbero essere in grado di utilizzare, ostacolando la produttività.
• Falsi negativi — Non etichettare i dati che sono effettivamente sensibili espone l'organizzazione a data breaches e rischi di conformità.

Inoltre, l'etichettatura automatica è limitata ai file Office e potrebbe non essere compatibile con versioni più vecchie dei prodotti Microsoft. E, come indicato nella sezione Prerequisiti sopra, richiede piani di sottoscrizione specifici di Microsoft 365.

Un'alternativa alla Data Classification di Microsoft 365

Per le organizzazioni che cercano di migliorare le pratiche di gestione dei dati e mantenere la conformità, le soluzioni Netwrix aiutano a garantire accuratezza e sicurezza nella classificazione dei vostri dati più sensibili.

Netwrix Access Analyzer offre funzionalità di auditing e reporting robuste per aiutare a ottenere visibilità nel panorama dei dati e monitorare l'attività degli utenti in vari ambienti IT. Alcune caratteristiche degne di nota sono le seguenti:

• Identifica e categorizza i dati sensibili in tutta la tua infrastruttura IT.
• Rileva vari tipi di dati, inclusi informazioni personali identificabili (PII), registrazioni finanziarie, proprietà intellettuale e altro ancora.
• Crea regole e politiche di classificazione personalizzabili che possono aiutare a definire i criteri di gestione dei dati, garantendo la conformità con i requisiti normativi come il GDPR, HIPAA o PCI DSS.
• Fornire intuizioni sui modelli di accesso ai dati e sul comportamento degli utenti.

Netwrix Data Classification è un'altra soluzione completa progettata per identificare e classificare grandi quantità di dati con elevata precisione e affidabilità. I suoi vantaggi notevoli includono i seguenti:

• Risultati di classificazione più accurati, grazie a tecniche avanzate come la ricerca di termini composti e lo stemming
• Supporto per una varietà di tipi di file, non solo documenti Office
• Supporto sia per dati strutturati che non strutturati in una vasta gamma di repository di dati on-premises e cloud, inclusi quelli non Microsoft
• Tassonomie predefinite allineate con specifiche normative e tipi di dati
• Tassonomie personalizzate per gestire contenuti specifici dell'azienda, come la proprietà intellettuale
• Assistenza clienti dedicata e una comunità di utenti attiva
• Un'interfaccia intuitiva e un processo di configurazione semplice

Inoltre, Netwrix Data Classification può essere una scelta più conveniente per le organizzazioni rispetto all'aggiornamento a un piano Microsoft 365 che offre Microsoft Purview.

La classificazione dei dati è una capacità fondamentale per ogni organizzazione oggi. Scegliendo la soluzione automatizzata giusta, la tua organizzazione può ridurre significativamente il rischio di data breach e sanzioni per non conformità assicurando che le informazioni sensibili e regolamentate siano identificate con precisione e adeguatamente protette. Inoltre, è possibile migliorare l'efficienza operativa e la produttività degli utenti. Microsoft Purview offre funzionalità preziose, ma assicurati di considerare anche soluzioni di terze parti, che possono essere più robuste ed economiche.

FAQ

Cos'è la classificazione dei dati in Microsoft?

La classificazione dei dati di Microsoft si riferisce al processo di categorizzazione e organizzazione dei dati in base alla loro sensibilità, importanza o altri attributi. Questa classificazione aiuta nella gestione e nella sicurezza dei dati in modo efficace, assicurando che vengano prese le misure appropriate per proteggere le informazioni sensibili. Lo strumento principale per la classificazione dei dati di Microsoft è Microsoft Purview.

Quali sono i 4 tipi di Netwrix Data Classification?

Generalmente ci sono quattro tipi comuni di Netwrix Data Classification:

1. Riservato: I dati riservati sono altamente sensibili e dovrebbero essere accessibili solo da individui autorizzati. Questo tipo di dati spesso include segreti commerciali, informazioni finanziarie, informazioni personali identificabili (PII) e altri dati critici aziendali. L'accesso ai dati riservati è solitamente ristretto e vengono applicate misure di sicurezza aggiuntive per prevenire accessi o divulgazioni non autorizzati.
2. Interno: I dati interni sono essenziali per l'organizzazione ma potrebbero non essere sensibili come i dati confidenziali. Includono informazioni che sono cruciali per le operazioni quotidiane ma non rappresentano un rischio significativo se accessibili ai dipendenti interni. Tuttavia, sono ancora in atto controlli di accesso per garantire che solo il personale autorizzato possa visualizzare o modificare i dati interni.
3. Pubblico: I dati pubblici non sono sensibili e possono essere liberamente condivisi con il pubblico o all'interno dell'organizzazione. Questa categoria include tipicamente informazioni destinate al consumo pubblico, come materiali di marketing, cataloghi prodotti o informazioni generali sull'azienda. Le misure di sicurezza sono minime per i dati pubblici, poiché la loro divulgazione non rappresenta un rischio per l'organizzazione.
4. Riservato: I dati riservati si collocano tra le classificazioni confidenziali e interne. Sono più sensibili dei dati interni ma non così critici come i dati confidenziali. L'accesso ai dati riservati è limitato a specifici individui o team all'interno dell'organizzazione, e possono essere applicate misure di sicurezza aggiuntive per proteggerli da accessi o divulgazioni non autorizzati.

Cos'è la classificazione dei dati di Azure?

La classificazione dei dati in Azure si riferisce al processo di categorizzazione e organizzazione dei dati all'interno di Microsoft Azure in base alla loro sensibilità, importanza o altri attributi. Azure offre vari strumenti e servizi per aiutare le organizzazioni a classificare e proteggere i loro dati nel cloud. I componenti chiave e le funzionalità relative alla Data Classification in Azure includono:

1. Azure Information Protection (AIP): AIP è una soluzione basata sul cloud che consente alle organizzazioni di classificare, etichettare e proteggere i loro dati in base alle politiche. Si integra con altri servizi Azure e offre un approccio unificato alla protezione dei dati in tutto l'ambiente cloud dell'organizzazione.
2. Azure Purview: Azure Purview è un servizio di data governance che aiuta le organizzazioni a scoprire, classificare e gestire i loro asset di dati in ambienti on-premises, multi-cloud e SaaS (Software as a Service). Fornisce una visione olistica del panorama dei dati di un'organizzazione, aiutando nella scoperta e classificazione dei dati.
3. Azure Security Center: Azure Security Center aiuta le organizzazioni a proteggere i loro carichi di lavoro nel cloud. Include funzionalità legate al rilevamento delle minacce, gestione delle policy di sicurezza e conformità. La Data Classification è parte delle sue capacità per aiutare le organizzazioni a identificare e proteggere le informazioni sensibili.
4. Azure Policy: Azure Policy è un servizio che consente alle organizzazioni di creare, assegnare e gestire policy per le risorse nel loro ambiente Azure. Questo può includere policy relative alla Netwrix Data Classification, assicurando che specifiche pratiche di gestione dei dati siano seguite in tutta l'organizzazione.
5. Azure Data Factory: Azure Data Factory è un servizio di integrazione dati basato sul cloud che consente alle organizzazioni di creare, pianificare e gestire pipeline di dati. Sebbene si concentri sul movimento e sulla trasformazione dei dati, le organizzazioni possono implementare la Netwrix Data Classification come parte dei loro flussi di lavoro di elaborazione dei dati.
6. Azure Sentinel: Azure Sentinel è un servizio SIEM (Security Information and Event Management) nativo del cloud che fornisce analisi di sicurezza intelligenti. Include funzionalità per il rilevamento delle minacce e le indagini. La Netwrix Data Classification gioca un ruolo nell'identificazione e nella protezione delle informazioni sensibili all'interno del contesto di sicurezza.