Creación de una directiva personalizada de administración de riesgos internos

  • 10 minutos

Las directivas de administración de riesgos internos ayudan a las organizaciones a detectar y responder a posibles riesgos que plantean las actividades internas. Estas directivas se adaptan a situaciones de riesgo específicas, como el robo de datos, las filtraciones de datos o las infracciones de la seguridad. Creación y administración de directivas personalizadas de forma eficaz garantiza que su organización pueda abordar de forma proactiva los riesgos de información privilegiada, respetando al mismo tiempo la privacidad.

Introducción a las directivas de administración de riesgos internos

Las directivas de administración de riesgos internos definen el ámbito de los usuarios y los tipos de actividades que generan alertas. Las directivas incluyen condiciones, umbrales e indicadores de riesgo que identifican un comportamiento potencialmente arriesgado.

Características clave de estas directivas:

  • Plantillas de directiva: Configuraciones predefinidas adaptadas a escenarios de riesgo específicos.
  • Indicadores personalizables: Detecte diversas actividades, como la extrusión de datos o las infracciones de las directivas.
  • Puntuación de riesgo: Asigne puntuaciones de riesgo en función de la actividad y el contenido de prioridad.
  • Privacidad por diseño: Incluye pseudonimización y controles de acceso basados en roles.

Las directivas se pueden aplicar a toda la organización o al ámbito de usuarios, grupos o tipos de contenido específicos.

Pasos para crear una directiva personalizada de administración de riesgos internos

Siga estos pasos para crear una nueva directiva de administración de riesgos internos:

1. Selección de una plantilla de directiva

Las plantillas de directiva proporcionan un punto de partida para configurar directivas personalizadas adaptadas a escenarios de riesgo específicos, como el robo de datos al salir de los usuarios o las infracciones de la directiva de seguridad. Elija la plantilla que se alinea con las necesidades de su organización.

  1. Inicie sesión en Microsoft Purview portal utilizando las credenciales con los permisos adecuados para la administración de riesgos internos.

  2. Vaya a Soluciones >Administración de riesgos internos>Directivas.

  3. Selecciona Crear directiva>Directiva personalizada.

  4. Revise las plantillas disponibles y elija una. Confirme que cumple los requisitos previos enumerados, como configurar el conector de RR. HH. o integrar Microsoft Defender para punto de conexión.

    Recorte de pantalla que muestra las plantillas de directiva disponibles en Administración de riesgos internos.

  5. Seleccione Siguiente para continuar.

2. Definición de los detalles de la directiva

En la página Nombre de la directiva, proporcione un nombre y una descripción para la directiva:

  • Nombre: Use un nombre descriptivo, por ejemplo, "Evitar pérdida de datos para usuarios que salen".
  • Descripción: Opcionalmente, describa el propósito de la directiva y los riesgos que aborda.

Recorte de pantalla que muestra la pantalla Nombre de su directiva al crear una directiva de riesgos internos.

Seleccione Siguiente para continuar.

3. Ámbito de usuarios y grupos

En la página Elegir usuarios, grupos y ámbitos adaptables, defina qué usuarios o grupos cubre la directiva:

  • Todos los usuarios, grupos y ámbitos adaptables: Cobertura amplia para toda la organización.
  • Usuarios, grupos y ámbitos adaptables específicos: Restrinja el ámbito a personas o equipos.
  • Excluir usuarios o grupos (opcional) (versión preliminar): Especifique exclusiones, como ejecutivos o departamentos específicos.

Nota:

Si seleccionó Todos los usuarios, grupos y ámbitos adaptables, aparecerá la página Excluir usuarios y grupos (opcional) (versión preliminar). Utilice esta página para excluir usuarios o grupos específicos del ámbito de la directiva. Por ejemplo, puede excluir roles de nivel ejecutivo o determinados departamentos.

Si su organización usa ámbitos adaptables o grupos de usuarios prioritarios, puede incluirlos en la directiva.

4. Priorizar el contenido (opcional)

  1. En la página Decidir si se debe priorizar el contenido, elija una de las siguientes opciones:

    • Quiero priorizar el contenido: Habilite la priorización para asignar puntuaciones de mayor riesgo a las actividades que implican tipos específicos de contenido.
    • No quiero priorizar el contenido en este momento: Omita la priorización de esta directiva. No se aplican cambios a las puntuaciones de riesgo basadas en el contenido.

  2. Si selecciona Quiero priorizar el contenido, puede configurar la directiva para priorizar determinados tipos de contenido:

    • Sitios de SharePoint: Especifique sitios críticos para detectar posibles riesgos relacionados con la actividad.
    • Etiquetas de confidencialidad: Elija etiquetas, como "Confidencial" o "Extremadamente confidencial".
    • Tipos de información confidencial: Seleccione tipos de información confidencial predefinidos o personalizados (por ejemplo, números de seguridad social o números de tarjeta de crédito).
    • Extensiones de archivo: Defina hasta 50 extensiones para priorizar (por ejemplo, .docx, .pdf).
    • Clasificadores que se pueden entrenar: Seleccione hasta cinco clasificadores para priorizar las actividades asociadas a patrones específicos, como el código fuente o los datos financieros.

  3. Complete la configuración seleccionando los sitios, etiquetas, tipos de información confidencial, extensiones de archivo o clasificadores que se pueden entrenar específicos de SharePoint que desea priorizar. Esta configuración garantiza que a las actividades relacionadas con este contenido se les asignen puntuaciones de riesgo más altas, lo que aumenta la probabilidad de generar alertas de gravedad alta.

    Recorte de pantalla que muestra qué contenido priorizar al crear una directiva de administración de riesgos internos.

5. Definición de desencadenadores de directiva

En la página Elegir evento desencadenante para esta directiva, defina las condiciones que hacen que los usuarios entren en el ámbito de aplicación de la directiva. Los desencadenadores disponibles dependen de la plantilla seleccionada:

  • Filtraciones de datos o Filtraciones de datos por usuarios prioritarios: Use el desencadenador El usuario coincide con una directiva de prevención de pérdida de datos (DLP) para basar la directiva en una coincidencia de DLP.
  • Robo o Filtración de datos por usuarios de riesgo: Use el desencadenador El usuario realiza una actividad de filtración para especificar actividades como descargar o compartir archivos externamente.
  • Infracciones de la directiva de seguridad por usuarios de riesgo: Seleccione Desencadenadores de riesgo del cumplimiento de comunicaciones (versión preliminar) para incluir usuarios marcados.
  • Robo de datos de usuarios que dejan la empresa: Habilite el desencadenador de eventos del conector de datos de RR.HH. para asignar usuarios en función de los eventos notificados por RR.HH., como las fechas de renuncia o finalización.

Nota:

Los desencadenadores disponibles dependen de la plantilla seleccionada. Si el desencadenador deseado no está disponible, asegúrese de que está habilitado en la configuración de su organización mediante la opción Habilitar indicadores.

Recorte de pantalla que muestra dónde definir los desencadenadores de directivas en la administración de riesgos internos.

6. Configurar indicadores de directiva

  1. En la página Indicadores, defina las actividades que detectará la directiva para los usuarios asignados. Seleccione entre categorías disponibles, como:

    • Indicadores de Office: Descargas de archivos, uso compartido y ediciones.
    • Indicadores de dispositivo: Uso de USB, transferencias de archivos o impresión.
    • Indicadores de exploración: Visitar sitios restringidos o malintencionados.

  2. En la página Opciones de detección, habilite las características de detección avanzadas si procede:

    • Detección de secuencia: Identifique patrones de actividades de riesgo relacionadas (por ejemplo, descargas de archivos seguidas de uso compartido externo).
    • Detección de filtración acumulativa: Detecte niveles inusualmente altos de actividad a lo largo del tiempo.
    • Potenciadores de la puntuación de riesgo: Amplificar las puntuaciones de riesgo para indicadores específicos.

  3. En la página Elegir el tipo de umbral para los indicadores, defina la confidencialidad de las alertas generadas por la directiva:

    • Aplicar umbrales proporcionados por Microsoft: Aplicar automáticamente umbrales configurados previamente para los indicadores seleccionados.
    • Elija sus propios umbrales: Ajuste los umbrales para alinearlos con la tolerancia al riesgo o las prioridades de su organización.
    • Para determinados indicadores, puede elegir umbrales basados en actividades anómalas en comparación con el comportamiento típico de un usuario.

Importante

Si algunos indicadores no se pueden seleccionar, asegúrese de que están habilitados en la configuración de administración de riesgos internos.

7. Revisar y enviar

Revise los detalles de la directiva para asegurarse de que todas las configuraciones son correctos:

  • Compruebe la plantilla y el ámbito.
  • Confirme los indicadores y el contenido con prioridad.
  • Solucione las advertencias o recomendaciones.

Una vez completados estos pasos para crear su primera directiva de administración de riesgos internos, comenzará a recibir alertas de los indicadores de actividad después de aproximadamente 24 horas.