Diseño de una directiva de prevención de pérdida de datos
Tomarse el tiempo necesario para diseñar una directiva antes de implementarla le permite obtener los resultados deseados más rápido, con menos problemas no deseados, que crearla y, a continuación, ajustarla solo por prueba y error. La documentación de los diseños de directivas también le ayudará en comunicaciones, revisiones de directivas, solución de problemas y optimización adicional.
Si no está familiarizado con DLP de Microsoft Purview, es útil trabajar con estos artículos antes de empezar a diseñar una directiva:
Sugerencia
Empiece a trabajar con Microsoft Security Copilot para explorar nuevas formas de trabajar de forma más inteligente y rápida con el poder de la inteligencia artificial. Obtenga más información sobre Microsoft Security Copilot en Microsoft Purview.
Antes de empezar
Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales que necesitará al implementar DLP:
- Administrative units
- Más información sobre Prevención de pérdida de datos de Microsoft Purview: en este artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
- Planear la prevención de pérdida de datos (DLP): al trabajar con este artículo, hará lo siguiente:
- Referencia de directiva de prevención de pérdida de datos: en este artículo se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
- Diseñar una directiva DLP : este artículo (el que está leyendo ahora) le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
- Crear e implementar directivas de prevención de pérdida de datos : en este artículo se presentan algunos escenarios comunes de intención de directivas que se asignan a las opciones de configuración y, a continuación, se le guía por la configuración de esas opciones.
- Más información sobre la investigación de alertas de prevención de pérdida de datos : en este artículo se presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.
Información general sobre el diseño de directivas
Diseñar una directiva consiste principalmente en definir claramente las necesidades empresariales, documentarlas en una instrucción de intención de directiva y, a continuación, asignarlas a la configuración de la directiva. Use las decisiones que tomó en la fase de planeación para informar de algunas de las decisiones de diseño de directivas.
Definición de la intención de la directiva
Debería poder resumir, en una sola instrucción, la intención empresarial de cada directiva que tenga. El desarrollo de esta instrucción impulsa conversaciones en su organización y, cuando se completa, esta declaración vincula directamente la directiva a un propósito empresarial y proporciona una hoja de ruta para el diseño de directivas. Los pasos del artículo Planear la prevención de pérdida de datos (DLP) le ayudan a empezar a trabajar en la instrucción de intención de directiva.
Recuerde que, como se describe en la introducción a la configuración de directivas DLP, todas las directivas DLP requieren lo siguiente:
- Elegir lo que quiere supervisar
- Elija el ámbito de directiva.
- Elija dónde desea supervisar .
- Elija las condiciones que deben coincidir para que una directiva se aplique a un elemento.
- Elija la acción que se va a realizar cuando se cumplan las condiciones de la directiva.
Por ejemplo, este es un primer borrador ficticio de una instrucción de intención que proporciona respuestas a las cinco preguntas:
"Somos una organización basada en Ee. UU., y necesitamos detectar documentos de Office que contienen información confidencial de atención médica cubierta por HIPAA que se almacenan en OneDrive/SharePoint y para proteger contra esa información que se comparte en los mensajes de chat y canal de Teams y impedir que todos los usuarios los compartan con terceros no autorizados".
A medida que desarrolle un diseño de directiva, es probable que modifique y extienda la instrucción.
Asignación de las necesidades empresariales a la configuración de directivas
Vamos a desglosar la instrucción de borrador de ejemplo y asignarla a puntos de configuración de directiva DLP. En este ejemplo se supone que usa una cuenta de administrador DLP sin restricciones y que las unidades administrativas no están configuradas.
Importante
Asegúrese de comprender la diferencia entre un administrador sin restricciones y un administrador restringido de unidad administrativa ; para ello, lea Unidades administrativas antes de empezar.
Instrucción | Pregunta de configuración respondida y asignación de configuración |
---|---|
"Somos una organización con sede en Ee. UU., y necesitamos detectar documentos de Office que contienen información confidencial de atención médica cubierta por HIPAA... |
-
Qué supervisar: Documentos de Office, use la plantilla - de la Ley de Seguro Médico de Ee. UU. (HIPAA)Condiciones para una coincidencia: (preconfigurado pero modificable): el elemento contiene el número de la U.SSN y la Agencia antidrogas (DEA), clasificación internacional de enfermedades (ICD-9-CM), clasificación internacional de enfermedades (ICD-10-CM), el contenido se comparte con personas ajenas a mi organización , impulsa conversaciones para aclarar el umbral desencadenante de la detección, como niveles de confianza y recuento de instancias (denominado tolerancia a fugas). |
... que se almacenan en OneDrive/SharePoint y protegen contra esa información que se comparte en mensajes de canal y chat de Teams... | - Dónde supervisar: ámbito de ubicación mediante la inclusión o exclusión de sitios de OneDrive y SharePoint y cuentas de chat o canal de Teams o grupos de distribución. Ámbito de directiva (versión preliminar): directorio completo |
... y impedir que todos compartan esos elementos con terceros no autorizados". |
-
Acciones que debe realizar: agregueRestringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: controla la conversación sobre qué acciones realizar cuando se desencadena una directiva, incluidas acciones de protección como restricciones de uso compartido, acciones de reconocimiento, como notificaciones y alertas, y acciones de empoderamiento del usuario, como permitir invalidaciones de usuarios de una acción de bloqueo. |
En este ejemplo no se tratan todos los puntos de configuración de una directiva DLP; tendría que expandirse. Sin embargo, debería hacer que piense en la dirección correcta a medida que desarrolle sus propias instrucciones de intención de directiva DLP.
Importante
Tenga en cuenta que las ubicaciones que elija afectarán a si puede usar tipos de información confidencial, etiquetas de confidencialidad y etiquetas de retención. Las ubicaciones que elija también afectarán a las acciones que están disponibles. Consulte Referencia de directivas de prevención de pérdida de datos para obtener más información.
Diseño complejo de reglas
El contenido hipaa anterior en SharePoint y OneDrive es un ejemplo sencillo de una directiva DLP. El generador de reglas DLP admite lógica booleana (AND, OR, NOT) y grupos anidados.
Importante
- Todas las excepciones existentes se reemplazan por una condición NOT en un grupo anidado dentro de las condiciones.
- Debe crear grupos para poder usar varios operadores.
Importante
Cuando una acción en aplicaciones cliente de escritorio de Office (Word, Outlook, Excel y PowerPoint) coincide con una directiva que usa condiciones complejas, el usuario solo verá sugerencias de directiva para las reglas que usan la condición Contenido contiene información confidencial.
Ejemplo 1 Es necesario bloquear los correos electrónicos a todos los destinatarios que contengan números de tarjeta de crédito, O que tengan aplicada la etiqueta de confidencialidad "extremadamente confidencial", pero NO bloquear el correo electrónico si se envía desde alguien del equipo financiero a adele.vance@contoso.com
Ejemplo 2 Contoso debe bloquear todos los correos electrónicos que contienen un archivo protegido con contraseña O una extensión de archivo de documento zip ('zip' o '7z'), pero NO bloquear el correo electrónico si el destinatario está en el dominio de contoso.com o el dominio fabrikam.com, O si el remitente es miembro del grupo de RR. HH. de Contoso.
Importante
- El uso de la condición NOT en un grupo anidado reemplaza la funcionalidad Excepciones .
- Debe crear grupos para poder usar varios operadores.
Importante
Cuando una acción en aplicaciones cliente de escritorio de Office (Word, Outlook, Excel y PowerPoint) coincide con una directiva que usa condiciones complejas, el usuario solo verá sugerencias de directiva para las reglas que usan la condición Contenido contiene información confidencial.
Proceso de diseño de directivas
Complete los pasos descritos en Planear la prevención de pérdida de datos (DLP): para ello, siga estos pasos:
Familiarícese con la referencia de directiva de prevención de pérdida de datos para comprender todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
Familiarícese con lo que incluyen las plantillas de directiva DLP.
Desarrolle la declaración de intenciones de la directiva con las partes interesadas clave. Consulte el ejemplo anterior de este artículo.
Determine cómo encaja esta directiva en su estrategia de directiva DLP general.
Importante
No se puede cambiar el nombre de las directivas una vez creadas. Si debe cambiar el nombre de una directiva, tendrá que crear una nueva con el nombre deseado y retirar la anterior. Por lo tanto, desde el principio, decida la estructura de nomenclatura que usarán todas las directivas.
Asigne los elementos de la instrucción de intención de directiva a las opciones de configuración.
Decida desde qué plantilla de directiva va a empezar: predefinida o personalizada.
Consulte la plantilla y reúna toda la información necesaria antes de crear la directiva. Es probable que descubra que hay algunos puntos de configuración que no se tratan en la instrucción de intención de directiva. Eso está bien. Volver a las partes interesadas para establecer los requisitos de los puntos de configuración que faltan.
Documente la configuración de todas las opciones de directiva y revíselas con las partes interesadas. Puede volver a usar la asignación de la instrucción de intención de directiva a puntos de configuración, que ahora está totalmente completa.
Cree un borrador de directiva y refiérase al plan de implementación de directivas .
Consulta también
- Obtenga más información acerca de la prevención contra la pérdida de datos
- Planear la prevención de pérdida de datos (DLP)
- Referencia de directiva de prevención de pérdida de datos
- Referencia de sugerencias de directiva de prevención de pérdida de datos
- Creación e implementación de directivas de prevención de pérdida de datos