Salta al contenuto

Governance Microsoft 365: DLP, retention, audit, sensitivity label, eDiscovery

Governance & compliance

Governance & compliance Microsoft 365 è la disciplina di gestire il tenant aziendale in modo da rispettare normative (GDPR, NIS2, ISO 27001), prevenire data leak, mantenere visibilità su accessi e modifiche, gestire retention e cancellazione dati. È il livello superiore al setup tecnico iniziale: una volta che il tenant funziona, governance è ciò che lo mantiene compliant nel tempo.

Microsoft 365 fornisce la piattaforma **Microsoft Purview** (ex Microsoft 365 Compliance Center) come hub unificato per governance: DLP (Data Loss Prevention) per impedire esportazione dati sensibili, sensitivity label per classificare documenti (Pubblico/Interno/Riservato/Confidenziale), retention policy per conservazione fiscale/legale (es. 10 anni per fatture), audit log centralizzato di tutte le azioni utente, eDiscovery per produrre dati per cause legali, Information Protection per encryption granulare di file specifici, Insider Risk Management per anomaly detection comportamentale.

In SynSphere ci occupiamo del setup completo Microsoft Purview per il tenant cliente, dell'analisi compliance requirements specifici (settore, dimensione, paesi di operazione), del design delle policy DLP appropriate (ogni azienda ha dati sensibili specifici), del rollout dei sensitivity label con formazione utenti, dell'implementazione retention policy per compliance fiscale italiana (10 anni fatture, 5 anni contratti, ecc.), del setup eDiscovery per scenari legali, e del monitoring continuativo della compliance posture aziendale.

Richiedi una consulenza Vai alle FAQ

A chi è rivolto

Profili e dimensioni aziendali per cui Governance & compliance è la scelta più efficace.

  • PMI con compliance requirements specifici (settori regolati: sanità, finance, legale, PA)
  • Aziende che devono adempiere a NIS2 (in arrivo 2024-2025) per cybersecurity governance
  • Realtà che gestiscono dati personali sensibili (GDPR art.9: sanitari, biometrici, religiosi, ecc.)
  • Studi professionali con obbligo di conservazione decennale documenti (commercialisti, legali, notai)
  • Aziende preoccupate da data leak interno (insider threats, esfiltrazione dati da dipendenti)

Funzionalità chiave

Cosa è incluso in Governance & compliance e perché ha valore per la tua azienda.

  • Microsoft Purview

    Hub unificato governance: portal compliance.microsoft.com, gestione policy/audit/eDiscovery centralizzata, dashboard compliance score.

  • Data Loss Prevention (DLP)

    Policy che impediscono esportazione dati sensibili via email/sharing/copy: codici fiscali, IBAN, numeri carta credito, dati custom regex.

  • Sensitivity label

    Classificazione documenti (Pubblico/Interno/Riservato/Confidenziale CdA), encryption automatica per scenari sensibili, watermark visibili.

  • Retention policy

    Conservazione automatica per scenari legali/fiscali: email 10 anni, fatture 10 anni, contratti 5+ anni. Cancellazione obbligatoria post-retention (GDPR right to be forgotten).

  • Audit log

    Log centralizzato di TUTTE le azioni utente nel tenant (Exchange, SharePoint, Teams, Entra ID): ricerca query Kusto, esportazione per audit esterni.

  • eDiscovery

    Ricerca legale strutturata: holds (preservazione dati per cause), case management, export evidence per legal team. Conformità a procedure giudiziarie.

  • Insider Risk Management

    AI-powered detection di anomalie comportamentali (es. dipendente che downloada quantità inusuali di file prima di dimettersi): early warning per HR/security.

  • Information Protection

    Encryption granulare file con sensitivity label: file con label "Riservato CdA" sempre cifrati anche fuori dal tenant, accessibili solo a destinatari autorizzati.

  • Compliance Manager

    Tool per assessment compliance vs framework specifici (GDPR, ISO 27001, NIS2, SOC 2): score con raccomandazioni di miglioramento.

Casi d'uso reali

Scenari concreti basati su clienti che abbiamo seguito o profili tipici per cui Governance & compliance ha senso.

  • Studio legale 30 avvocati — DLP + sensitivity label — Roma

    Situazione di partenza

    Studio legale gestisce dati sensibili clienti (procedimenti penali, divorzi, dati GDPR art. 9). DPO vuole controlli stricter su esportazione documenti, audit GDPR superato a stento.

    Soluzione SynSphere

    Setup Microsoft Purview governance: 1) Sensitivity label aziendali (Pubblico, Studio Interno, Cliente Riservato, Cliente Confidenziale). 2) DLP policy: blocco esportazione documenti con label 'Cliente Confidenziale' verso email esterne, USB, cloud non autorizzato. 3) Auto-classification: documenti contenenti specifici keyword (es. nome cliente VIP) auto-labelati come 'Riservato'. 4) Audit log centralizzato per DPO. Compliance GDPR significativamente rafforzata.

  • Studio commercialista — retention 10 anni fatture — Milano

    Situazione di partenza

    Studio commercialista gestisce fatture clienti per 200 PMI. Obbligo conservazione 10 anni AdE. Oggi gestione manuale (cartelle SharePoint senza retention), rischio cancellazione accidentale.

    Soluzione SynSphere

    Retention policy automatiche Microsoft Purview: cartella 'Fatture Clienti' su SharePoint con retention 10 anni dalla creazione. File non possono essere cancellati durante retention period (anche admin), audit log di ogni accesso/modifica, alerting su tentativi di cancellazione. Conformità AdE garantita.

  • Manifattura — preparazione NIS2 — Vicenza

    Situazione di partenza

    Manifattura mid-market 200 utenti, NIS2 in arrivo (deadline 17 ottobre 2024) richiede framework cybersecurity documentato. Audit assessment iniziale identifica gap significativi.

    Soluzione SynSphere

    Setup Microsoft Purview Compliance Manager con framework NIS2: 1) Assessment automatico vs controlli NIS2. 2) Implementazione gap identificati (DLP per dati operativi sensibili, audit log centralizzato, Insider Risk Management). 3) Documentazione compliance per audit esterno. 4) Training privacy/security per dipendenti. 5) Monitoring continuo compliance score. Risultato: NIS2-compliant entro deadline.

  • Mid-market — eDiscovery per causa legale — Milano

    Situazione di partenza

    Mid-market 300 utenti, ricevuta lettera legale di pre-causa. Necessità di preservare e produrre tutta la corrispondenza email + file relativi a un cliente specifico negli ultimi 5 anni per discovery legale.

    Soluzione SynSphere

    Microsoft Purview eDiscovery: 1) Apertura caso con scope (utenti coinvolti, intervallo temporale, keyword). 2) Hold automatico (preservazione forzata di tutti i dati matching, no più cancellabili da utenti). 3) Ricerca cross-tenant (email + Teams chat + SharePoint + OneDrive). 4) Review evidence con interfaccia dedicata legal team. 5) Esportazione PST/PDF per produzione legale. Tutto auditabile per credibilità procedura.

Si integra con

Governance & compliance è parte di un ecosistema. Ecco i prodotti con cui lavora nativamente.

Modello di ingaggio

Come SynSphere conduce un progetto di governance Microsoft 365 e quali licenze Microsoft sono necessarie.

Governance & compliance Microsoft 365 è un servizio consulenziale, fornito tipicamente come progetto di setup iniziale + retainer di gestione continua.

Licenze Microsoft necessarie:

Microsoft 365 Business Premium (per PMI standard):

  • DLP, sensitivity label base, retention policy base, audit log standard.
  • Sufficient per la maggior parte delle PMI italiane.

Microsoft 365 E3:

  • Aggiunge DLP avanzato (auto-classification, exact data match), Information Protection scan automatico.
  • Per scenari mid-market.

Microsoft 365 E5 Compliance (add-on a E3):

  • eDiscovery Premium (advanced + holds + case management).
  • Insider Risk Management.
  • Customer Lockbox.
  • Communication Compliance.
  • Per scenari enterprise con compliance requirements stringenti.

Microsoft Purview Suite (standalone):

  • Per scenari dove serve governance senza tutto il bundle E5.
  • Componenti acquistabili separatamente: Data Map, Data Catalog, eDiscovery Standalone.

Servizi SynSphere — Setup iniziale (a progetto):

1. Assessment compliance (1-2 settimane):

  • Workshop con cliente per identificare requirements (settore, normative applicabili, dati sensibili da proteggere).
  • Compliance Manager assessment vs framework target (GDPR, ISO 27001, NIS2, SOC 2).
  • Gap analysis tra stato attuale e requisiti.

2. Design policy (1-2 settimane):

  • Tassonomia sensitivity label appropriata per cliente.
  • DLP policy basate su dati sensibili specifici (oltre ai pattern standard codici fiscali/IBAN).
  • Retention policy basate su normative applicabili (10 anni fatture, scadenze GDPR, ecc.).
  • Insider Risk policy basate su comportamenti rischiosi specifici per ruolo.

3. Implementazione (2-4 settimane):

  • Setup Microsoft Purview portal.
  • Deploy sensitivity label con auto-classification dove applicabile.
  • Deploy DLP policy con monitoring iniziale (no enforcement immediato — analisi falsi positivi).
  • Deploy retention policy.
  • Configurazione audit log e alerting.
  • Setup eDiscovery (per future cause legali).

4. Formazione e go-live (1-2 settimane):

  • Formazione admin interni (gestione policy, eDiscovery, troubleshooting).
  • Formazione utenti finali (uso sensitivity label, comportamento con dati sensibili).
  • Switch DLP da monitoring a enforcement (graduale per evitare frustrazione utenti).

Servizi SynSphere — Retainer continuo (mensile):

  • Monitoring compliance posture e Microsoft Secure Score.
  • Review periodica DLP alerts (analisi falsi positivi, tuning policy).
  • Aggiornamento policy per nuove normative o cambi business.
  • Supporto eDiscovery per scenari legali ad-hoc.
  • Audit log review e reporting periodico.
  • Pacchetto ore mensili in base a dimensione e criticità (10/20/40 ore/mese tipiche).

Tempi e costi indicativi setup:

  • PMI 30-80 utenti, governance base GDPR + retention: 1-2 mesi, costo 10-25k€.
  • PMI 80-200 utenti, governance estesa con DLP avanzato: 2-3 mesi, costo 25-60k€.
  • Mid-market 200+ utenti, governance enterprise con NIS2/ISO 27001: 3-6 mesi, costo 60-150k€.
  • Retainer mensile: 1-5k€/mese in base a pacchetto ore e criticità.

Domande frequenti

Risposte rapide alle domande che ci fanno più spesso su Governance & compliance.

Cosa è NIS2 e ci riguarda?
NIS2 (Network and Information Security Directive 2) è la direttiva UE 2022 per cybersecurity governance. In Italia recepita con D.Lgs. 138/2024, deadline implementazione 17 ottobre 2024. Ambito: 'medium e large entities' in 18 settori critici (energia, trasporti, banche, sanità, infrastrutture digitali, manifattura, alimentare, ecc.). Per PMI italiane: applicabile a aziende >50 dipendenti e >10M€ fatturato in settori critici. Richiede: governance documentata, risk management, incident reporting, supply chain security. Microsoft Purview aiuta significativamente nell'implementazione.
Quali licenze Microsoft 365 servono per governance enterprise?
Per PMI standard: Microsoft 365 Business Premium include DLP base, sensitivity label, retention, audit log standard — tipicamente sufficient. Per mid-market o requirements stringenti: M365 E3 con E5 Compliance add-on (include eDiscovery Premium, Insider Risk Management, Customer Lockbox). Per enterprise full compliance: M365 E5 (include tutto). SynSphere fa assessment specifico per scenario cliente.
Sensitivity label: come funzionano?
Etichette di classificazione applicate a documenti Office (Word, Excel, PowerPoint, PDF), email, siti SharePoint. Esempi label: Pubblico (no protezione), Interno (no condivisione esterna), Riservato (encryption + watermark), Confidenziale CdA (encryption + accesso solo a gruppo CdA). Possono essere applicate manualmente dall'utente o automaticamente in base a contenuto (es. documento contenente codici fiscali → auto-label 'Riservato'). Le label viaggiano con il file: anche se il file viene mandato fuori dal tenant, le restrictions di accesso/encryption si applicano.
DLP genera molti falsi positivi?
All'inizio sì, è normale. Pattern preconfezionati Microsoft (es. codici fiscali italiani, IBAN, numeri carta credito) sono buoni ma non perfetti — ogni azienda ha dati specifici. Setup tipico: deploy DLP in modalità 'monitoring only' per 2-4 settimane (no blocchi, solo log), analisi alert per identificare falsi positivi (es. 'numero seriale prodotto' che assomiglia a numero carta credito), tuning policy con eccezioni, switch a 'enforcement'. SynSphere gestisce questo processo iterativo per evitare frustrazione utenti.
eDiscovery: serve davvero?
Per la maggior parte delle PMI: forse no in scenario standard, ma indispensabile in caso di causa legale o investigazione interna. Quando arriva una richiesta legale di produrre evidenze (email, documenti) relative a un caso, eDiscovery permette di farlo in modo strutturato e auditable. Senza: rischio di produrre evidenze incomplete, di cancellare accidentalmente dati sotto subpoena, di non poter dimostrare 'good faith effort' al giudice. Setup eDiscovery preventivo è raccomandato per scenari mid-market e enterprise.
Audit log: per quanto tempo conserviamo?
Default Microsoft 365: 90 giorni (Business Premium), 180 giorni (E3), 1 anno (E5). Estendibile: con E5 + add-on Audit Premium fino a 10 anni. Per compliance specifica (GDPR raccomanda almeno 1-2 anni, alcune normative settoriali richiedono 5+ anni): scegliere licensing appropriato. SynSphere consiglia minimo 1 anno per scenari standard, 5+ anni per settori regolati.
Quanto costa il setup governance?
Variabile in base a scope. PMI 30-50 utenti con governance base (DLP standard + retention + sensitivity label base): ~10-20k€ setup + ~500-1000€/mese retainer. Mid-market con governance avanzata (DLP custom + Insider Risk + eDiscovery + NIS2 readiness): ~30-80k€ setup + ~1-3k€/mese retainer. Costi licenze M365 separate (E5 Compliance add-on per features avanzate).

Altri prodotti in Microsoft 365 Cloud

Continua a esplorare le tecnologie della categoria.

Vuoi capire se Governance & compliance è la scelta giusta per te?

Parla con un nostro consulente: in 30 minuti analizziamo i tuoi processi attuali e ti diciamo se e come Governance & compliance può aiutarti, con quale piano e con quali tempi di adozione.

Contattaci