Detección de documentos de información confidencial mediante la Creación de huella digital de documento

  • 5 minutos

Los trabajadores de la información de una organización controlan muchos tipos de información confidencial durante un día normal. En el portal de cumplimiento Microsoft Purview, la Creación de huella digital de documento facilita a una organización la protección de esta información. Para ello, identifica los formularios estándar que usa una organización.

En esta unidad se examinan los conceptos subyacentes a la Creación de huella digital de documento. También revisa cómo crear una huella digital del documento mediante Windows PowerShell.

Escenario básico para la creación de huella digital de documento

La creación de huella digital de documento es una característica de Prevención de pérdida de datos (DLP) de Microsoft Purview. Convierte un formulario estándar en un tipo de información confidencial. A continuación, una organización puede usar este tipo de información en sus directivas DLP. Por ejemplo, una organización puede completar los pasos siguientes:

  1. Crear una huella digital de documento basada en una plantilla de patente en blanco.
  2. Crear una directiva DLP que detecte y bloquee todas las plantillas de patentes salientes con contenido confidencial rellenado.
  3. Opcionalmente, configurar sugerencias de directiva para notificar a los remitentes que pueden estar enviando información confidencial. Cualquier remitente que reciba la sugerencia de directiva debe comprobar que los destinatarios tienen permiso para recibir las patentes.

Este proceso funciona con cualquier formulario basado en texto que se use en la organización. Otros ejemplos de formularios que una organización puede cargar incluyen:

  • Formularios de gobierno
  • Formularios de cumplimiento de Health Insurance Portability and Accountability Act (HIPAA)
  • Formularios de información sobre empleados para los departamentos de recursos humanos
  • Formularios personalizados creados específicamente para una organización

Veamos el siguiente ejemplo. Contoso ya tiene una práctica empresarial establecida de usar determinados formularios para transmitir información confidencial. Contoso comienza cargando un formulario vacío que más adelante convierte en una huella digital del documento. Una vez que crea la huella digital del documento, Contoso crea una nueva regla de clasificación de datos. Esta regla usa la huella digital del documento que creó anteriormente. Después, Contoso configura una directiva DLP correspondiente y agrega la regla a la directiva. Con la huella digital del documento ahora asignada a una directiva DLP, el servicio DLP detecta cualquier documento en el correo saliente que coincida con esa huella digital.

Funcionamiento de la creación de huella digital de documento

Todos sabemos que los documentos no tienen huellas digitales reales. Sin embargo, el nombre "creación de huella digital de documento" ayuda a explicar la característica. Del mismo modo que las huellas digitales de una persona tienen patrones únicos, los documentos tienen patrones de palabras únicos. Cuando una organización carga un archivo, Microsoft Purview DLP:

  1. Identifica el patrón de palabra único en el documento.
  2. Crea una huella digital del documento basada en ese patrón.
  3. Usa esa huella digital del documento para detectar documentos salientes que contienen el mismo patrón.

Este proceso muestra por qué al cargar un formulario o plantilla se crea el tipo más eficaz de huella digital de documento. Todos los usuarios que rellenan un formulario usan el mismo conjunto original de palabras. A continuación, agregan sus propias palabras al documento. Si el documento saliente contiene todo el texto del formulario original y no está protegido con contraseña, DLP puede determinar si coincide con la huella digital del documento.

Importante

Por ahora, DLP solo puede usar la creación de huella digital de documento como método de detección en Exchange Online.

Las organizaciones pueden usar cualquier formulario como base para crear una huella digital del documento. El siguiente ejemplo muestra qué sucede si crea una huella digital de documento con base en una plantilla de patente.

Diagrama en el que se muestra un documento de patente en comparación con la huella digital del documento de una plantilla de patente.

La plantilla de patentes contiene los campos en blanco "Título de patentes", "Inventores" y "Descripción" y descripciones para cada uno de esos campos, que es el patrón de palabra. La plantilla de patente original debe estar en uno de los tipos de archivo admitidos y en texto sin formato. Cuando la organización cargue la plantilla de patente:

  1. DLP convierte este patrón de palabra en una huella digital del documento. La huella digital es un pequeño archivo XML Unicode que contiene un valor hash único que representa el texto original.

  2. La organización guarda la huella digital de la patente como clasificación de datos en Active Directory.

    Nota:

    Como medida de seguridad, el sistema no almacena el propio documento original en el servicio; solo almacena el valor hash. El sistema no puede reconstruir el documento original a partir del valor hash.

  3. La huella digital de patentes se convierte en un tipo de información confidencial que la organización puede asociar a una directiva DLP.

  4. Una vez que la organización asocia la huella digital a una directiva DLP, DLP detecta los correos electrónicos salientes que contienen documentos que coinciden con la huella digital de la patente. A continuación, se ocupa de ellos según la directiva de la organización.

Por ejemplo, suponga que desea configurar una directiva DLP que impida que los empleados regulares envíen mensajes salientes que contengan patentes. DLP usa la huella digital de patente para detectar patentes y bloquear esos correos electrónicos. Como alternativa, es posible que desee permitir que su departamento legal envíe patentes a otras organizaciones porque tiene una necesidad empresarial para hacerlo. Puede permitir que departamentos específicos envíen información confidencial mediante la creación de excepciones para esos departamentos en la directiva DLP. O bien, puede permitirles invalidar una sugerencia de directiva con una justificación empresarial.

Tipos de archivo compatibles

La creación de huella digital de documento admite los mismos tipos de archivo que admiten las reglas de flujo de correo (también conocidas como reglas de transporte). Para obtener una lista de los tipos de archivo admitidos, consulte Tipos de archivo admitidos para la inspección del contenido de la regla de flujo de correo.

Nota:

Las reglas de flujo de correo y la huella digital de documentos no admiten el tipo de archivo .dotx. Esta situación puede resultar confusa porque .dotx es un archivo de plantilla en Word. Cuando ve la palabra "plantilla" en esta unidad, hace referencia a un documento que una organización ha establecido como un formulario estándar y no al tipo de archivo de plantilla.

La creación de huella digital de documento no detecta información confidencial en los siguientes casos:

  • Archivos protegidos con contraseña.
  • Archivos que solo contienen imágenes.
  • Documentos que no contienen todo el texto del formulario original utilizado para crear la huella digital de documento.
  • Archivos superiores a 10 MB.

Uso de PowerShell para crear un paquete de reglas de clasificación basado en la creación de huella digital de documento

Actualmente, solo puede crear una huella digital del documento mediante el módulo de Seguridad y cumplimiento de PowerShell.

DLP usa paquetes de reglas de clasificación para detectar contenido confidencial. Para crear un paquete de reglas de clasificación basado en una huella digital de documento, use los cmdlets New-DlpFingerprint y New-DlpSensitiveInformationType.

Nota:

Dado que el sistema no almacena los resultados de New-DlpFingerprint fuera de la regla de clasificación de datos, siempre debe ejecutar New-DlpFingerprint y New-DlpSensitiveInformationType o Set-DlpSensitiveInformationType en la misma sesión de PowerShell.

Veamos un ejemplo que muestra cómo crear un paquete de reglas de clasificación basado en la creación de huella digital de documento.

  1. En este ejemplo, creará una huella digital de documento basada en el archivo C:\Mis documentos\Contoso Employee Template.docx. La nueva huella digital se almacena como una variable para poder usarla con el cmdlet New-DlpSensitiveInformationType en la misma sesión de PowerShell.

    $Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))

$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

  2. Después de crear la huella digital del documento, debe crear una nueva regla de clasificación de datos. En este ejemplo, vamos a asignarle un nombre Contoso Employee Confidential. Esta regla usa la huella digital del documento del archivo C:\Mis documentos\Contoso Customer Information Form.docx.

    $Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))

$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

  3. Ahora puede usar el cmdlet Get-DlpSensitiveInformationType para buscar todos los paquetes de reglas de clasificación de datos DLP. En este ejemplo, Contoso Customer Confidential forma parte de la lista de paquetes de reglas de clasificación de datos. A continuación, agregue el paquete de reglas de clasificación de datos de Contoso Customer Confidential a una directiva DLP. Aunque puede completar este paso en el portal de cumplimiento Microsoft Purview, en este ejemplo se agrega una regla a una directiva DLP existente denominada ConfidentialPolicy.

    New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

  4. También puede usar el paquete de reglas de clasificación de datos en reglas de flujo de correo en Exchange Online. Para ejecutar este comando, primero debe conectarse a Exchange Online PowerShell. Tenga en cuenta que el paquete de reglas tarda tiempo en sincronizarse desde el portal de cumplimiento Microsoft Purview al Centro de administración de Exchange.

    New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

Prevención de pérdida de datos de Microsoft Purview ahora detecta documentos que coinciden con la huella digital del documento Form.docxcliente de Contoso.