Compartir a través de


Establecimiento de una estrategia de DLP

Las directivas de prevención de pérdida de datos (DLP) actúan como medidas de seguridad para ayudar a evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información en el inquilino. Las directivas DLP imponen reglas para qué conectores están habilitados para cada entorno y qué conectores se pueden usar juntos. Los conectores se clasifican como solo datos profesionales, no se permiten datos profesionales o bloqueados. Un conector en el grupo de solo datos profesionales solo se podrá usar con otros conectores de ese grupo en la misma aplicación o flujo. Más información: Administrar Microsoft Power Platform: directivas de prevención de pérdida de datos

El establecimiento de sus directivas DLP irán de la mano de su estrategia de entorno.

Algunos datos

  • Las políticas de datos prevención de pérdidas (DLP) actúan como barreras de protección para ayudar a evitar que los usuarios expongan datos de forma involuntaria.
  • Las directivas DLP pueden acotarse en el nivel de entorno e inquilino, lo que ofrece flexibilidad para elaborar directivas que sean sensatas y no bloqueen la alta productividad.
  • Las directivas DLP del entorno no pueden anular las directivas DLP en el nivel de todo el suscriptor.
  • Si se configuran varias directivas para un entorno, la directiva más restrictiva se aplica a la combinación de conectores.
  • De manera predeterminada, no se implementan directivas DLP en el inquilino.
  • Las directivas no se pueden aplicar en el nivel de usuario, solo en el nivel de entorno o inquilino.
  • Las directivas DLP son compatibles con el conector, pero no controlan las conexiones que se realizan mediante el conector, es decir, las directivas DLP no saben si utiliza el conector para conectarse a un entorno de desarrollo, de prueba o de producción.
  • Los conectores de administración y PowerShell pueden administrar directivas.
  • Los usuarios de recursos en entornos pueden ver las directivas que se aplican.

Clasificación de conectores

Las clasificaciones empresariales y no empresariales establecen límites en torno a los conectores que se pueden usar juntos en una aplicación o flujo determinados. Los conectores se pueden clasificar en los siguientes grupos mediante directivas DLP:

  • Negocio: una aplicación de Power App o un recurso determinado pueden usar uno o más conectores de un grupo empresarial. Power Automate Si una Power App o recurso de Power Automate utiliza un conector empresarial, no puede utilizar ningún conector que no sea empresarial.
  • No comercial: una aplicación de Power App o un recurso determinado pueden usar uno o más conectores de un grupo no comercial. Power Automate Si una Power App o recurso de Power Automate utiliza un conector no empresarial, no puede utilizar ningún conector empresarial.
  • Bloqueado: ninguna aplicación de Power o recurso puede usar un conector de un grupo bloqueado. Power Automate Se pueden bloquear todos los conectores premium propios y los conectores de terceros (estándar y premium). Microsoft Los conectores estándar y los conectores propios no se pueden bloquear. Microsoft Common Data Service

Los nombres "empresariales" y "no empresariales" no tienen ningún significado especial; son simplemente etiquetas. La agrupación de los conectores en sí es importante, no el nombre del grupo en el que se encuentran.

Más información: Administrar Microsoft Power Platform: clasificación de conectores

Estrategias para crear directivas DLP

Como administrador que asume el control de un entorno o empieza a ofrecer soporte para el uso de Power Apps y Power Automate, las directivas DLP deben ser una de las primeras cosas que configure. Esto garantiza que exista un conjunto básico de directivas. Después puede centrarse en controlar las excepciones y en crear directivas DLP específicas que implementen estas excepciones una vez aprobadas.

Se recomienda el siguiente punto de partida para las directivas DLP para entornos compartidos de productividad de usuarios y equipos:

  • Cree una directiva que abarque todos los entornos excepto los seleccionados (por ejemplo, sus entornos de producción), mantenga los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar y bloquee el acceso a todo lo demás. Esta directiva se aplicará al entorno predeterminado y a los entornos de formación que tenga para ejecutar eventos de formación internos. Además, esta directiva también se aplicará a cualquier entorno nuevo que se cree.
  • Cree directivas DLP adecuadas y más permisivas para sus entornos compartidos de productividad de usuarios y equipos. Estas directivas podrían permitir a los creadores usar conectores como servicios de Azure además de servicios de Office 365. Los conectores disponibles en estos entornos dependerán de su organización y de dónde almacene los datos comerciales.

Se recomienda el siguiente punto de partida para las directivas DLP para entornos de producción (unidad de negocio y proyecto):

  • Excluya esos entornos de las directivas de productividad compartidas de equipos y usuarios.
  • Trabaje con la unidad de negocio y el proyecto para establecer qué conectores y combinaciones de conectores usarán y cree una directiva de inquilinos para incluir solo los entornos seleccionados.
  • Los administradores de entornos de esos entornos pueden usar directivas de entorno para categorizar conectores personalizados solo como datos comerciales, si fuera necesario.

También recomendamos:

  • Crear un número mínimo de directivas por entorno. No hay una jerarquía estricta entre las directivas de inquilino y de entorno, y en el diseño y el runtime, todas las directivas que sean aplicables al entorno en el que reside la aplicación o el flujo se evalúan conjuntamente para decidir si el recurso cumple o infringe las directivas DLP. Varias políticas DLP aplicadas a un ambiente fragmentarán su espacio de conectores de formas complicadas y podrían dificultar la comprensión de los problemas que enfrentan sus creadores.
  • Administrar centralmente las directivas DLP mediante directivas de nivel de inquilino y usar directivas de entorno solo para clasificar conectores personalizados o en casos excepcionales.

Con una estrategia base implementada, planifique la manera de tratar las excepciones. Usted puede:

  • Denegar la solicitud.
  • Agregar el conector a la directiva DLP predeterminada.
  • Agregue los entornos a la lista Todos excepto para la DLP predeterminada global y cree una directiva DLP específica del caso de uso con la excepción incluida.

Ejemplo: estrategia de DLP de Contoso

Veamos cómo Contoso Corporation, nuestra organización de ejemplo para esta guía, configuró sus directivas DLP. La configuración de sus directivas DLP está estrechamente relacionada con su estrategia de entorno.

Los administradores de Contoso desean admitir aplicaciones empresariales y escenarios de productividad de equipos y usuarios, además de la administración de actividades del Centro de excelencia (CoE).

La estrategia de entorno y DLP que los administradores de Contoso han aplicado aquí consta de:

  1. Una directiva DLP restrictiva para todo el inquilino que se aplica a todos los entornos del inquilino, excepto a algunos entornos específicos que se han excluido del ámbito de la directiva. Los administradores tienen la intención de mantener los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar bloqueando el acceso a todo lo demás. Esta directiva también se aplicará al entorno predeterminado.

  2. Los administradores de Contoso han creado otro entorno compartido para que los usuarios creen aplicaciones para casos de uso de productividad de usuarios y equipos. Este entorno tiene una directiva DLP de nivel de inquilino asociada que no es tan reacia al riesgo como una directiva predeterminada y permite a los creadores usar conectores como los servicios de Azure además de los servicios de Office 365. Debido a que este entorno es un entorno no predeterminado, los administradores pueden controlar activamente la lista de creadores del entorno para él. Se trata de un enfoque por niveles para el entorno de productividad compartido de usuarios y equipos y la configuración de DLP asociada.

  3. Además, para que las unidades de negocios creen aplicaciones de línea de negocios, han creado entornos de desarrollo, prueba y producción para sus subsidiarias de impuestos y auditoría en varios países o regiones. El acceso del creador del entorno a estos entornos se administra cuidadosamente, y los conectores apropiados propios y de terceros están disponibles mediante directivas DLP a nivel de inquilino en consulta con las partes interesadas de la unidad de negocio.

  4. De manera similar, los entornos de desarrollo, pruebas y producción se crean para que el departamento de TI central los utilice para desarrollar e implementar aplicaciones adecuadas o relevantes. Estos escenarios de aplicaciones empresariales suelen tener un conjunto bien definido de conectores que deben estar disponibles para los creadores, evaluadores y usuarios en estos entornos. El acceso a estos conectores se administra mediante una directiva de nivel de inquilino dedicada.

  5. Contoso también tiene un entorno de finalidad especial dedicado a sus actividades del Centro de excelencia. En Contoso, la directiva de DLP para el entorno de propósito especial seguirá siendo de alto nivel dada la naturaleza experimental del libro de equipos teóricos. En este caso, los administradores de inquilinos delegaron la administración de DLP para este entorno directamente a un administrador de entorno de confianza del equipo del CoE y lo excluyeron de un grupo de directivas en el nivel de todo el inquilino. Este entorno solo se administra mediante la directiva DLP de nivel de entorno, que es una excepción y no la regla en Contoso.

Como era de esperar, cualquier entorno nuevo que se cree en Contoso se asignará a la directiva original para todos los entornos.

Esta configuración de directivas DLP centradas en inquilinos no impide que los administradores del entorno propongan sus propias directivas DLP en el entorno si desean introducir otras restricciones o clasificar conectores personalizados.

Cómo configura Contoso su directiva DLP.

Configurar directivas de datos

  1. Cree su directiva en el centro de administración de Power Platform. Más información: Administrar directivas de datos

  2. Utilice el SDK de DLP para agregar conectores personalizados a una directiva DLP.

Comunique con claridad las directivas DLP de su organización a los creadores

Configure un sitio o wiki de SharePoint que comunique claramente:

  • Directivas DLP de nivel de inquilino y de nivel de entorno clave (por ejemplo, entorno predeterminado, entorno de prueba) aplicadas en la organización, incluidas listas de conectores clasificadas como empresariales, no empresariales y bloqueadas.
  • El id. de correo electrónico de su grupo de administración para que los creadores puedan ponerse en contacto en situaciones de excepción. Por ejemplo, los administradores pueden ayudar a los creadores a volver al cumplimiento editando una directiva DLP existente, moviendo la solución a un entorno diferente, creando un nuevo entorno y una nueva directiva DLP, y trasladando al creador y al recurso a este nuevo entorno.

También debe transmitirles con claridad a los creadores la estrategia del entorno de la organización.