Tutorial: Detección y protección de información confidencial en su organización
En un mundo perfecto, todos los empleados entienden la importancia de la protección de la información y trabajan dentro de sus directivas. En el mundo real, es probable que un asociado ocupado que trabaja con frecuencia con información contable cargue accidentalmente un documento confidencial en el repositorio de Box con permisos incorrectos. Una semana después se da cuenta de que la información confidencial de su empresa se filtró a su competencia.
Para evitar que esto suceda, Microsoft Defender for Cloud Apps proporciona un amplio conjunto de funcionalidades DLP que cubren los distintos puntos de fuga de datos que existen en las organizaciones.
En este tutorial, aprenderá a usar Defender for Cloud Apps para detectar datos confidenciales potencialmente expuestos y aplicar controles para evitar su exposición:
Detección y protección de información confidencial en su organización
Nuestro enfoque de protección de la información se puede dividir en las siguientes fases que le permiten proteger los datos a través de su ciclo de vida completo, en varias ubicaciones y dispositivos.
Fase 1: Detección de datos
Conectar aplicaciones: el primer paso para detectar qué datos se usan en su organización es conectar las aplicaciones en la nube que se usan en la organización a Defender for Cloud Apps. Una vez conectado, Defender for Cloud Apps puede examinar datos, agregar clasificaciones y aplicar directivas y controles. Dependiendo de cómo se conecten las aplicaciones afecta a cómo y cuándo se aplican exámenes y controles. Puede conectar las aplicaciones de una de las siguientes maneras:
Usar un conector de aplicación: nuestros conectores de aplicaciones usan las API proporcionadas por los proveedores de aplicaciones. Proporcionan una mayor visibilidad y control sobre las aplicaciones que se usan en su organización. Los exámenes se realizan periódicamente (cada 12 horas) y en tiempo real (se desencadenan cada vez que se detecta un cambio). Para obtener más información e instrucciones sobre cómo agregar aplicaciones, consulte Conexión de aplicaciones.
Usar el control de aplicaciones de acceso condicional: nuestra solución de control de aplicaciones de acceso condicional usa una arquitectura de proxy inverso que se integra de forma única con Microsoft Entra acceso condicional y le permite aplicar controles a cualquier aplicación.
Los usuarios de Microsoft Edge se benefician de la protección directa en el explorador. El control de aplicación de acceso condicional se aplica en otros exploradores mediante una arquitectura de proxy inverso. Para obtener más información, consulte Protección de aplicaciones con Microsoft Defender for Cloud Apps control de aplicaciones de acceso condicional y Protección en el explorador con Microsoft Edge para negocios (versión preliminar).
Investigar: después de conectar una aplicación a Defender for Cloud Apps mediante su conector de API, Defender for Cloud Apps examina todos los archivos que usa. En Microsoft Defender Portal, en Aplicaciones en la nube, vaya a Archivos para obtener información general sobre los archivos compartidos por las aplicaciones en la nube, su accesibilidad y su estado. Para obtener más información, vea Investigar archivos.
Fase 2: clasificar información confidencial
Definir qué información es confidencial: antes de buscar información confidencial en los archivos, primero debe definir qué recuentos son confidenciales para su organización. Como parte de nuestro servicio de clasificación de datos, ofrecemos más de 100 tipos de información confidencial integrados, o puede crear los suyos propios para adaptarse a la directiva de su empresa. Defender for Cloud Apps se integra de forma nativa con Microsoft Purview Information Protection y los mismos tipos y etiquetas confidenciales están disponibles en ambos servicios. Por lo tanto, cuando quiera definir información confidencial, vaya al portal de Microsoft Purview Information Protection para crearlas y, una vez definidas, estarán disponibles en Defender for Cloud Apps. También puede usar tipos de clasificaciones avanzadas, como huella digital o Coincidencia exacta de datos (EDM).
Para aquellos que ya han realizado el trabajo duro de identificar información confidencial y aplicar las etiquetas de confidencialidad adecuadas, puede usar esas etiquetas en las directivas sin tener que volver a examinar el contenido.
Habilitación de la integración de Microsoft Information Protection
- En el portal de Microsoft Defender, seleccione Configuración. A continuación, elija Aplicaciones en la nube.
- En Information Protection, vaya a Microsoft Information Protection. Seleccione Examinar automáticamente los nuevos archivos en busca de etiquetas de confidencialidad de Microsoft Information Protection y advertencias de inspección de contenido.
Para obtener más información, consulte integración Microsoft Purview Information Protection.
Crear directivas para identificar información confidencial en los archivos: una vez que sepa los tipos de información que desea proteger, es el momento de crear directivas para detectarlas. Para empezar, cree las siguientes directivas:
Directiva de archivo
Use este tipo de directiva para examinar el contenido de los archivos almacenados en las aplicaciones en la nube conectadas a la API casi en tiempo real y en reposo. Los archivos se analizan mediante uno de nuestros métodos de inspección compatibles, incluido Microsoft Purview Information Protection contenido cifrado gracias a su integración nativa con Defender for Cloud Apps.En Microsoft Defender Portal, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas.
Seleccione Crear directiva y, a continuación, seleccione Directiva de archivo.
En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:
- Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Microsoft 365, Microsoft Purview Information Protection y Defender for Cloud Apps para proporcionar una experiencia de etiquetado unificada. Este es el método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.
En el caso de los archivos altamente confidenciales, seleccione Crear una alerta para cada archivo coincidente y elija las alertas que necesite para que se le informe cuando haya archivos con información confidencial desprotegida en su organización.
Seleccione Crear.
Directiva de sesión
Use este tipo de directiva para examinar y proteger archivos en tiempo real sobre el acceso a:- Evitar la filtración de datos: bloquee la descarga, cortar, copiar e imprimir documentos confidenciales en, por ejemplo, dispositivos no administrados.
- Proteger archivos durante la descarga: requerir que los documentos se etiqueten y protejan con Microsoft Purview Information Protection. Esta acción garantiza que el documento está protegido y que el acceso del usuario está restringido en una sesión potencialmente arriesgada.
- Impedir la carga de archivos sin etiquetar: requerir que un archivo tenga la etiqueta y la protección adecuadas antes de que otros usuarios carguen, distribuyan y usen un archivo confidencial. Con esta acción, puede asegurarse de que los archivos sin etiquetar con contenido confidencial no se carguen hasta que el usuario clasifique el contenido.
En Microsoft Defender Portal, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas.
Seleccione Create Policy (Crear directiva) y, a continuación, seleccione Session policy (Directiva de sesión).
En Tipo de control de sesión, elija una de las opciones con DLP.
En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:
- Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Microsoft 365, Microsoft Purview Information Protection y Defender for Cloud Apps para proporcionar una experiencia de etiquetado unificada. Este es el método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.
- DLP integrado: inspecciona los archivos para obtener información confidencial mediante nuestro motor de inspección de contenido DLP integrado.
En el caso de los archivos altamente confidenciales, seleccione Crear una alerta y elija las alertas que necesite para que se le informe cuando haya archivos con información confidencial desprotegida en su organización.
Seleccione Crear.
Debe crear tantas directivas como sea necesario para detectar datos confidenciales en cumplimiento con la directiva de la empresa.
Fase 3: Protección de los datos
Por lo tanto, ahora puede detectar archivos con información confidencial, pero lo que realmente quiere hacer es proteger esa información frente a posibles amenazas. Una vez que tenga conocimiento de un incidente, puede corregir manualmente la situación o puede usar una de las acciones de gobernanza automática proporcionadas por Defender for Cloud Apps para proteger los archivos. Las acciones incluyen, pero no se limitan a, Microsoft Purview Information Protection controles nativos, acciones proporcionadas por la API y supervisión en tiempo real. El tipo de gobernanza que puede aplicar depende del tipo de directiva que esté configurando, como se indica a continuación:
Acciones de gobernanza de directivas de archivos: usa la API del proveedor de aplicaciones en la nube y nuestras integraciones nativas para proteger archivos, entre los que se incluyen:
- Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente
- Administración de etiquetas aplicadas a un archivo para aplicar controles de Microsoft Purview Information Protection nativos
- Cambio del acceso compartido a un archivo
- Poner en cuarentena un archivo
- Eliminación de permisos de archivos o carpetas específicos en Microsoft 365
- Mover un archivo a la carpeta de la papelera
Controles de directiva de sesión: usa funcionalidades de proxy inverso para proteger archivos, como:
- Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente
- Permitir explícitamente la descarga o carga de archivos y supervisa todas las actividades relacionadas.
- Bloquee explícitamente la descarga o carga de archivos. Use esta opción para proteger los archivos confidenciales de su organización frente a la filtración o infiltración de cualquier dispositivo, incluidos los dispositivos no administrados.
- Aplique automáticamente una etiqueta de confidencialidad a los archivos que coincidan con los filtros de archivo de la directiva. Use esta opción para proteger la descarga de archivos confidenciales.
Para obtener más información, vea Crear directivas de sesión de Microsoft Defender for Cloud Apps.
Fase 4: Supervisión e informe de los datos
Las directivas están todas en vigor para inspeccionar y proteger los datos. Ahora, querrá comprobar el panel diariamente para ver qué nuevas alertas se han desencadenado. Es un buen lugar para vigilar el estado de su entorno en la nube. El panel le ayuda a obtener una idea de lo que sucede y, si es necesario, a iniciar una investigación.
Una de las formas más eficaces de supervisar incidentes de archivos confidenciales es ir a la página Directivas y revisar las coincidencias de las directivas que ha configurado. Además, si configuró alertas, también debe considerar la posibilidad de supervisar periódicamente las alertas de archivos dirigiéndose a la página Alertas , especificando la categoría como DLP y revisando qué directivas relacionadas con archivos se desencadenan. Revisar estos incidentes puede ayudarle a ajustar las directivas para centrarse en las amenazas que son de interés para su organización.
En conclusión, la administración de información confidencial de esta manera garantiza que los datos guardados en la nube tengan una protección máxima frente a filtraciones e infiltraciones malintencionadas. Además, si un archivo se comparte o se pierde, solo los usuarios autorizados pueden acceder a él.
Recursos adicionales
Si tiene algún problema, estamos aquí para ayudarle. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.