LS
Lucas SilvaSecurity & Blue Team
DLPMicrosoft 365Blue TeamPurview

Como Implementar DLP e Classificação de Dados no Microsoft 365

LS
Lucas Silva
2025-03-1510 min de leitura

A maioria das empresas só descobre que precisa de DLP depois que um vazamento acontece. Eu tive a oportunidade de implementar esses controles antes que qualquer incidente ocorresse, e neste artigo vou compartilhar o processo, os erros que evitei e as decisões que fizeram diferença.

O que é DLP e por que sua empresa precisa disso ontem

Data Loss Prevention não é um produto. É uma estratégia que combina políticas, classificação de dados e controles técnicos para garantir que informações sensíveis não saiam do perímetro autorizado.

No contexto do Microsoft 365, isso significa controlar:

  • E-mails enviados com dados confidenciais via Exchange Online
  • Arquivos compartilhados externamente pelo SharePoint e OneDrive
  • Mensagens e anexos trocados no Microsoft Teams
  • Uploads feitos a partir de endpoints corporativos

Sem DLP, um colaborador pode anexar uma planilha com dados financeiros sensíveis em um e-mail pessoal e enviá-la para fora da organização. Com DLP, essa ação é bloqueada automaticamente ou gera um alerta para o time de segurança.

Antes de tocar em qualquer configuração

O erro mais comum que vejo é ir direto para o painel do Purview e começar a criar políticas. Antes de qualquer configuração técnica, você precisa responder três perguntas:

  1. Quais dados são sensíveis para o negócio? Nem todo dado precisa de proteção máxima. Classificar tudo como "Confidencial" é o mesmo que não classificar nada.
  2. Quem precisa acessar o quê? Mapeie os fluxos de dados reais. Onde os dados nascem, por onde transitam e onde são armazenados.
  3. Qual é o apetite de risco da empresa? Algumas organizações preferem bloquear e explicar depois. Outras preferem alertar e deixar o usuário decidir. Isso muda completamente a arquitetura das políticas.

Classificação de dados com Sensitivity Labels

Sensitivity Labels são rótulos que você aplica a documentos e e-mails para classificar o nível de sensibilidade. No Microsoft Purview, esses rótulos podem ser aplicados de três formas:

  • Manualmente pelo usuário: o colaborador escolhe o rótulo ao criar ou editar um documento
  • Automaticamente por regras: o sistema detecta padrões como CPF, CNPJ ou números de cartão e aplica o rótulo
  • Recomendação: o sistema sugere um rótulo ao usuário, que decide se aplica ou não

Na prática, a estrutura que implementei segue quatro níveis:

  • Público: informações que podem ser compartilhadas externamente sem restrições
  • Interno: dados de uso geral dentro da organização
  • Confidencial: dados restritos a grupos específicos, com criptografia e restrição de compartilhamento
  • Altamente Confidencial: dados críticos com criptografia forçada, marca d'água e bloqueio total de compartilhamento externo

Políticas de DLP na prática

Com os rótulos definidos, as políticas de DLP atuam como regras de enforcement. Uma política de DLP no Microsoft Purview funciona assim:

  1. Condição: o que dispara a política (exemplo: documento com rótulo "Confidencial" sendo compartilhado externamente)
  2. Ação: o que acontece quando a condição é atendida (bloquear, alertar, exigir justificativa)
  3. Notificação: quem é avisado (usuário, gestor, equipe de SI)

Uma estratégia que funciona bem é começar em modo de auditoria. Você ativa a política sem bloquear nada, apenas monitorando. Isso permite:

  • Identificar falsos positivos antes que impactem a operação
  • Entender o volume real de dados sensíveis trafegando
  • Ajustar as regras com base em dados concretos, não em suposições

Depois de duas a quatro semanas de auditoria, você tem informação suficiente para ativar o modo de enforcement com confiança.

O desafio do ambiente multi-tenant

Quando você administra mais de um tenant Microsoft 365, a complexidade aumenta significativamente. Cada tenant tem seu próprio Purview, suas próprias políticas e seus próprios rótulos.

Os pontos críticos são:

  • Consistência de nomenclatura: os rótulos devem ter os mesmos nomes e níveis em todos os tenants para evitar confusão
  • Políticas de compartilhamento entre tenants: definir regras claras para quando dados de um tenant podem ser acessados por usuários do outro
  • Sincronização de padrões: se você cria um novo tipo de informação sensível (como um formato interno de código de projeto), ele precisa existir em todos os tenants

Erros comuns que você deve evitar

Classificar tudo como confidencial. Quando tudo é urgente, nada é urgente. O mesmo vale para classificação de dados. Se 90% dos documentos recebem o rótulo "Confidencial", os usuários passam a ignorar completamente a classificação.

Não envolver os usuários. DLP funciona quando os usuários entendem por que os controles existem. Sem treinamento e comunicação, você vai ter uma enxurrada de tickets pedindo exceções.

Ignorar os logs. As políticas de DLP geram logs detalhados no Purview. Esses logs são ouro. Eles mostram tentativas de vazamento, padrões de comportamento e gaps nas políticas. Se você não está analisando esses logs semanalmente, está desperdiçando metade do valor da ferramenta.

Copiar políticas genéricas da internet. Cada empresa tem fluxos de dados diferentes. Uma política que funciona para um escritório de advocacia não funciona para uma empresa de energia. Sempre parta do mapeamento real dos dados da sua organização.

Resultados mensuráveis

Depois de implementar DLP com Sensitivity Labels, os resultados que observei foram:

  • Redução de compartilhamentos externos não autorizados detectados nos logs
  • Visibilidade completa sobre onde dados sensíveis estão armazenados e como estão sendo usados
  • Base documental de classificação que serve como insumo para auditorias e conformidade regulatória
  • Cultura de segurança: os colaboradores passaram a pensar antes de compartilhar, porque o sistema os lembra da classificação

Conclusão

Implementar DLP não é sobre comprar uma ferramenta e ativar políticas. É sobre entender os dados da sua organização, classificá-los de forma inteligente e criar controles que protejam sem travar a operação.

Se você está começando, meu conselho é: comece pelo mapeamento de dados, defina uma taxonomia de classificação simples e ative tudo em modo de auditoria primeiro. Os dados vão te mostrar o caminho.

A segurança da informação mais eficiente é aquela que o usuário nem percebe que está ali, mas que funciona quando precisa funcionar.

Voltar ao Blog
Compartilhar:

Continue lendo .

2025-02-20·12 min de leitura

Como Estruturar Políticas de Segurança da Informação do Zero em uma Empresa