Gerenciando o GDPR com Teams, Planner e Compliance Manager

Conduzindo para uma melhor conformidade

Após o anúncio no Ignite 2017 , a Microsoft lançou a prévia do seu Compliance Manager em 16 de novembro. O Compliance Manager está disponível para todas as organizações com uma assinatura paga ou de teste para um serviço da nuvem Microsoft, exceto os inquilinos das regiões do datazor do Office 365 na China e Alemanha.

A Microsoft descreve o Compliance Manager como: ” Um painel que resume o progresso da implementação do controle da Microsoft e da sua organização para o Office 365 em vários padrões e regulamentos, como o Regulamento Geral de Proteção de Dados (GDPR) da UE, ISO 27001 e ISO 27018 “.

Para acessar o Compliance Manager, faça login neste site usando suas credenciais de nuvem da Microsoft.

Office 365 e GDPR

Embora o Azure esteja no mix (devido no início de 2018), dada a presença generalizada de informações pessoais (PII) em documentos e e-mail, eu suspeito que a nova ferramenta interessa aos inquilinos do Office 365 que operam em qualquer lugar da União Européia e os outros países, como a Noruega e a Suíça, onde o Regulamento Geral de Proteção de Dados(GDPR) entra em vigor em seis meses.

O Office 365 já inclui muitos recursos de conformidade para ajudar uma organização a controlar dados, incluindo prevenção de perda de dados (DLP) e políticas de retenção, rótulos de classificação, criptografia e gerenciamento de direitos para documentos e e-mails, pesquisas de conteúdo e auditoria. Alguns dos recursos são mais fáceis de usar com planos de preços mais altos (como as políticas de etiqueta automática no Office 365 E5) e alguns software extras (como o Azure Information Protection P2).

A questão não é ter tecnologia suficiente para controlar o uso indevido de PII; é mais frequente que as pessoas na organização necessitem de ajuda para entender quais dados precisam de proteção e a melhor forma de proteger os dados.

Painel de controle do Compliance Manager

O Compliance Manager é um painel, mas é um instrumento passivo. Ao contrário de outros painéis do Office 365, como o Secure Score ou o Painel de Governança de Dados no Centro de Segurança e Conformidade, ele não tenta analisar as configurações de uma organização de destino em relação a quaisquer linhas de base para relatar lacunas e problemas. A Microsoft pretende melhorar a funcionalidade nesta área no futuro e gerará um “índice de conformidade” para um inquilino.

Por enquanto, o Compliance Manager lista os padrões e regulamentos que as organizações e os prestadores de serviços podem querer satisfazer e oferece alguns conselhos práticos sobre como os inquilinos podem começar a lidar com esses padrões. O plano é adicionar mais padrões ao painel de instrumentos ao longo do tempo. Quando comecei no Compliance Manager, ofereci a opção de trabalhar com GDPR e ISO 27001-2013 (Figura 1).

Controles

Cada padrão aplicado a uma plataforma como o Office 365 é decomposto em um conjunto de controles. Você pode pensar em um controle como algo que um provedor de serviços (neste caso, a Microsoft) ou um inquilino devem fazer como parte do trabalho para satisfazer um regulamento ou cumprir um padrão. O maior benefício do Compliance Manager é como a Microsoft quebrou regulamentos complexos como o GDPR nos controles. Para o GDPR, 71 controles são atribuídos à Microsoft e 47 ao cliente.

Os controles da Microsoft são todos aprovados após o teste por um auditor independente. Dado que todos os 71 controles são verificados, uma interpretação é que a Microsoft acredita que o Office 365 satisfaz o GDPR, mesmo que não tenham feito tal pedido. A Microsoft não diz quem realizou a auditoria ou o plano ou outro software (como complementos) usado pelo locatário do Office 365. Isso é decepcionante porque existe uma grande diferença na funcionalidade de conformidade disponível em planos diferentes. Por exemplo, se você executar o Office 365 E5, você pode implantar políticas de etiqueta automática para encontrar e classificar documentos que possuem dados PII.

Atribuindo Work Through Controls

Com 47 controles para satisfazer, qualquer inquilino do Office 365 tem muito trabalho a fazer para garantir que eles possam lidar com o GDPR. O Compliance Manager diz-lhes o que precisa ser feito, mas não oferece assistência prática para gerenciar o trabalho atual. Você pode atribuir pessoas para trabalhar em um controle (a lista de nomes vem da GAL), mas você não pode atribuir um grupo ou várias pessoas (Figura 2).

Figura 2

Aproveitando o Office 365 para satisfazer o GDPR

Se o Office 365 tiver alguma coisa, possui tecnologia de colaboração. Por que não aproveitar a tecnologia para automatizar o que é essencialmente um exercício na papelada que provavelmente envolveu a colaboração com pessoas de toda a organização.

Dois candidatos óbvios se apresentam. Planner para rastrear as tarefas envolvidas na satisfação de controles e o Teams para colaboração. Os grupos Outlook ou Yammer também podem ser usados, mas as Teams e o Planner estão mais integrados neste ponto.

Criando um Plano GDPR

Para implementar a solução, criei um novo plano com o Planner. Criar um novo plano também cria um novo Grupo do Office 365, ao qual adicionei as pessoas que trabalhariam nos controles GDPR como membros. Em seguida, criei um conjunto de buckets no plano que corresponde às categorias usadas pela Microsoft para dividir os controles GDPR.

Em seguida, criei uma tarefa para cada controle na balde apropriada e atribuí-la às pessoas responsáveis ​​(Figura 3). A descrição é cortada e colada no Centro de Compliance. Você pode adaptar o texto para satisfazer as necessidades exclusivas da organização, adicionar itens da lista de verificação e adicionar anexos que a pessoa atribuída a tarefa pode precisar entender o que deve ser feito. O Planejador também possui abas coloridas para tarefas que podem ser usadas para indicar departamentos, como TI, Finanças, Legal e assim por diante.

Figura 3

Depois que as tarefas são criadas e atribuídas, é fácil acompanhar o progresso através do Planejador (Figura 4). Embora o Planejador tenha apenas alguns gráficos agora, os desenvolvedores do Planejador prometeram que uma nova visão de cronograma estará disponível em breve.

Envolvendo equipes

As equipes também usam os Grupos do Office 365 para sua identidade e associação, por isso não demorou muito para habilitar o grupo. Em seguida, adicionei uma guia Planejador e liguei-a ao plano (Figura 5). Os membros da equipe podem colaborar para alcançar os controles necessários. Qualquer documento necessário pode ser montado em Equipes e armazenado na biblioteca de documentos do SharePoint para o grupo.

Figura 5

Agora tenho a capacidade de as pessoas trabalharem nos controles necessários para a organização o GDPR.

 

Anúncios