Configuración de DLP (Prevención de pérdida de datos) en Microsoft Purview

Configuración de DLP (Prevención de pérdida de datos) en Microsoft Purview

01/04/2024

Este artículo técnico y educativo tiene como objetivo guiar a los analistas de seguridad, administradores de TI e ingenieros de sistemas en la configuración e implementación de políticas de Prevención de pérdida de datos (DLP) en Microsoft Purview. DLP es una estrategia y un conjunto de herramientas que ayudan a las organizaciones a prevenir la exposición, el uso indebido o la pérdida de datos confidenciales, garantizando que la información crítica permanezca segura y cumpla con las regulaciones [1].

Introducción

En un mundo cada vez más digital con regulaciones de privacidad de datos más estrictas (como GDPR, LGPD, HIPAA), proteger la información confidencial es una máxima prioridad. La pérdida de datos, ya sea por accidente, error humano o intención maliciosa, puede provocar daños financieros importantes, multas regulatorias y daños graves a la reputación. Microsoft Purview ofrece una solución DLP integral que ayuda a las organizaciones a identificar, monitorear y proteger datos confidenciales en Microsoft 365, Azure, puntos finales, aplicaciones en la nube y otras ubicaciones [2].

Esta guía práctica cubrirá los pasos esenciales para configurar políticas de DLP en Microsoft Purview, desde la identificación de datos confidenciales hasta la creación e implementación de políticas, validación y mejores prácticas. Se proporcionarán instrucciones paso a paso, ejemplos de configuración y métodos de validación para que el lector pueda implementar una estrategia DLP eficaz, protegiendo la información confidencial y garantizando el cumplimiento normativo.

¿Por qué es crucial Microsoft Purview DLP?

  • Identificación integral: Detecta una amplia gama de tipos de información confidencial (TIS) y se puede ampliar con clasificadores entrenables.
  • Cobertura multisitio: protege los datos en reposo, en uso y en tránsito a través de Microsoft Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, dispositivos Windows/macOS y aplicaciones en la nube.
  • Control Granular: Le permite definir políticas con condiciones y acciones específicas para diferentes tipos de datos, usuarios y ubicaciones.
  • Cumplimiento normativo: ayuda a las organizaciones a cumplir con los requisitos de privacidad de datos y las regulaciones de la industria.
  • Visibilidad e informes: proporciona informes detallados sobre la actividad de datos y las detecciones de políticas DLP.

Requisitos previos

Para configurar DLP en Microsoft Purview, necesitará los siguientes elementos:

  1. Licencia: una licencia que incluye Microsoft Purview DLP. Esto suele formar parte de paquetes como Microsoft 365 E5 Compliance, Microsoft 365 E5 o se puede comprar como complemento [3].
  2. Acceso administrativo: una cuenta con permisos de Administrador de cumplimiento, Administrador de datos de cumplimiento o Administrador global en el portal de cumplimiento de Microsoft Purview (https://compliance.microsoft.com).
  3. Datos en Microsoft 365: Para probar políticas, es ideal tener algunos datos (correos electrónicos, documentos) que contengan información confidencial en su entorno de Microsoft 365.

Paso a paso: Configuración de políticas de prevención de pérdida de datos (DLP)

Creemos una política DLP para detectar y bloquear el intercambio de números de tarjetas de crédito con usuarios externos por correo electrónico.

1. Acceso al portal de cumplimiento de Microsoft Purview

  1. Abra su navegador y navegue hasta https://compliance.microsoft.com.
  2. Inicie sesión con una cuenta que tenga los permisos necesarios.

2. Identificación de información confidencial

Microsoft Purview DLP utiliza Tipos de información confidencial (TIS) para identificar datos confidenciales. Viene con cientos de TIS preconfigurados, pero también puedes crear el tuyo propio.

  1. En el panel de navegación izquierdo, seleccione Clasificación de datos > Tipos de información confidencial.
  2. Puede buscar TIS existentes (por ejemplo, "Número de tarjeta de crédito") para ver sus definiciones y cómo se detectan.

3. Creación de una política DLP

Creemos una política DLP usando una plantilla predefinida y personalicémosla.

  1. En el panel de navegación izquierdo, seleccione Prevención de pérdida de datos > Políticas.
  2. Haga clic en + Crear política.

Paso 1: elija una plantilla o cree una política personalizada

  1. Categorías: seleccione "Financiero".
  2. Plantillas: seleccione "Datos financieros de EE. UU.".
  3. Haga clic en Siguiente.

Paso 2: nombre la política

  1. Nombre: Bloquear tarjeta de crédito para terceros.
  2. Descripción: Detecta y bloquea el envío de números de tarjetas de crédito a destinatarios externos por correo electrónico.
  3. Haga clic en Siguiente.

Paso 3: Elija las ubicaciones para aplicar la política

  1. Ubicaciones: para este ejemplo, nos centraremos en los correos electrónicos. Habilite "Buzones de correo de Exchange".
    • (Opcional) Puede habilitar otras ubicaciones como "Sitios de SharePoint", "Cuentas de OneDrive", "Mensajes de Teams" y "Dispositivos" (para Endpoint DLP) si tiene las licencias y configuraciones necesarias.
  2. Aplicar a: seleccione "Todos los usuarios" o "Elegir usuarios, grupos o grupos de distribución específicos" para obtener un alcance más granular.
  3. Haga clic en Siguiente.

Paso 4: Personalizar la configuración de la política

  1. Seleccione Personalizar configuración de política avanzada.
  2. Haga clic en Siguiente.

Paso 5: Configuración de personalización avanzada

Verá una regla predeterminada creada por la plantilla. Editémoslo.

  1. Haga clic en la regla existente (por ejemplo, "Detectar contenido financiero de EE. UU.").
  2. Condiciones: Asegúrese de que la condición "El contenido contiene" esté establecida en "Número de tarjeta de crédito" (con un recuento mínimo de 1 y una precisión de "Cualquiera").
  3. Agregar condición: Haga clic en "Agregar condición" y seleccione "El destinatario es" > "Externo".
  4. Acciones: En la sección Acciones, configure:
    • Bloquear el acceso o cifrar el contenido: marque Bloquear el acceso de los usuarios al contenido (Bloquear todo).
    • Notificaciones de usuario: marque Notificar a los usuarios con un consejo sobre políticas y personalice el mensaje si lo desea.
    • Anulaciones de usuarios: (Opcional) Permite a los usuarios evitar el bloqueo con una justificación. Para datos de tarjetas de crédito, generalmente no se recomienda.
    • Reportes de incidentes: Marque Enviar una alerta a los administradores y Enviar un informe de incidentes a los administradores.
  5. Haga clic en Guardar.
  6. Haga clic en Siguiente.

Paso 6: Configuración de políticas

  1. Modo de política: seleccione "Probar primero" (para monitorear el impacto sin bloquear) o "Activar ahora" (para aplicar acciones inmediatamente).
    • Consejo: Comience siempre con "Probar primero" para evaluar el impacto y ajustar la política antes de aplicar el bloqueo.
  2. Haga clic en Siguiente.

Paso 7: Finalizar

  1. Revise el resumen de la política.
  2. Haga clic en Crear.

4. Configuración de Endpoint DLP (opcional, pero recomendado)

Para proteger los datos en dispositivos Windows y macOS, debe configurar Endpoint DLP. Esto le permite monitorear y restringir acciones como copiar a USB, pegar en aplicaciones no permitidas, cargar servicios en la nube, etc.

  1. En el portal de cumplimiento de Microsoft Purview, vaya a Prevención de pérdida de datos > Configuración.
  2. Seleccione Configuración de DLP de endpoint.
  3. Asegúrese de que "Monitoreo de dispositivo" esté "Activado".
  4. Configure las Restricciones para grupos de dominio y servicios en la nube no permitidos y Restricciones para aplicaciones no permitidas.
  5. Para que los dispositivos sean monitoreados, deben estar integrados en Microsoft Defender para Endpoint y tener el conector DLP habilitado [4].

Validación y pruebas

Validar las políticas de DLP es fundamental para garantizar que funcionen como se espera y no causen falsos positivos.

1. Prueba de la política DLP de correo electrónico

  1. Cree un correo electrónico de prueba: en un cliente de correo electrónico (Outlook Web App o Outlook Desktop), cree un nuevo correo electrónico.
  2. Incluya información confidencial: en el cuerpo del correo electrónico, ingrese un número de tarjeta de crédito válido (use un número de prueba no real o un generador de números de prueba para fines de simulación, como "4111-1111-1111-1111").
  3. Enviar a un destinatario externo: envíe el correo electrónico a una dirección de correo electrónico fuera de su organización.
  4. Tenga en cuenta el consejo de política: si la política está en modo de prueba, el usuario debería ver un consejo de política que indica que el correo electrónico contiene información confidencial.
  5. Consultar informes: en el portal de cumplimiento de Microsoft Purview, vaya a Prevención de pérdida de datos > Alertas o Informes.
    • Verifique si se ha generado una alerta para la detección de políticas DLP.
    • Revise el informe de coincidencias de políticas de DLP para ver els detalles del correo electrónico detectado.

2. Prueba de la política DLP del endpoint (si está configurada)

  1. En un dispositivo integrado de Windows para Endpoint DLP, cree un documento (por ejemplo, Word, Bloc de notas) e ingrese un número de tarjeta de crédito de prueba.
  2. Intente copiar el número de la tarjeta de crédito en un dispositivo USB o intentar pegarlo en una aplicación no permitida.
  3. La política de Endpoint DLP debe bloquear la acción y/o notificar al usuario, según la configuración.
  4. Verifique los informes de Endpoint DLP en el portal de Microsoft Purview.

Consejos de seguridad y mejores prácticas

  • Implementación gradual: Comience con políticas en modo auditoría ("Probar primero") para comprender el impacto y perfeccionar las reglas antes de aplicar el bloqueo.
  • Educación del usuario: capacite a los usuarios sobre qué son los datos confidenciales, por qué existen las políticas de DLP y cómo prevenir infracciones. Los consejos sobre políticas son herramientas valiosas para la educación en tiempo real.
  • Clasificación de datos: combine DLP con clasificación y etiquetado de datos (Microsoft Information Protection) para una protección más efectiva. Las políticas de DLP pueden activarse mediante etiquetas de confidencialidad.
  • Revisión y ajuste continuo: El entorno de datos y las regulaciones cambian. Revise y ajuste sus políticas de DLP periódicamente para asegurarse de que sigan siendo relevantes y efectivas.
  • Monitoreo de incidentes: supervise activamente las alertas e informes de DLP para identificar patrones de infracción, usuarios de alto riesgo y brechas en la protección.
  • Alcance de la política: Sea granular en el alcance de la política. Aplique políticas más restrictivas a grupos de usuarios o datos de alto riesgo.

Solución de problemas comunes

  • Falsos positivos (bloqueos inadecuados): si se bloquean correos electrónicos o acciones legítimos, revise las condiciones de la política. Ajuste el recuento de instancias o la precisión de TIS. Considere agregar excepciones para remitentes o dominios confiables (con precaución).
  • Falsos negativos (paso de datos confidenciales): si no se detectan datos confidenciales, verifique que el TIS esté configurado correctamente y que el recuento de instancias y la precisión sean adecuados. Asegúrese de que la política se aplique a las ubicaciones y usuarios correctos.
  • Sugerencias sobre políticas que no aparecen: verifique si las notificaciones de usuario están habilitadas en la política. Asegúrese de que su cliente de correo electrónico (Outlook) esté actualizado y admita sugerencias de políticas.
  • Endpoint DLP no funciona: compruebe que los dispositivos estén integrados en Microsoft Defender para Endpoint y que el conector Endpoint DLP esté habilitado en el portal Purview. Verifique los registros de eventos en el dispositivo para detectar errores.
  • Retrasos en la aplicación de políticas: Es posible que las políticas de DLP tarden algún tiempo en propagarse y aplicarse en todos los servicios. Espere unas horas y vuelva a realizar la prueba.

Conclusión

La configuración de políticas de Prevención de pérdida de datos (DLP) en Microsoft Purview es un paso fundamental para proteger la información confidencial de una organización y garantizar el cumplimiento normativo. Al identificar, monitorear y controlar el flujo de datos confidenciales en múltiples ubicaciones, Microsoft Purview DLP permite a las empresas mitigar el riesgo de fugas de datos, ya sea accidental o intencional. La implementación exitosa de una estrategia DLP requiere una planificación cuidadosa, pruebas rigurosas y un compromiso continuo con la educación de los usuarios y el perfeccionamiento de las políticas. Con las herramientas y la orientación proporcionadas en este artículo, los equipos de seguridad pueden crear una defensa sólida que proteja los activos de información más valiosos de la organización.

Referencias:

[1] Microsoft aprende. Obtenga más información sobre la prevención de pérdida de datos. Disponible en: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft aprende. ¿Qué es el ámbito de Microsoft?. Disponible en: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft aprende. Requisitos de licencia para la prevención de pérdida de datos. Disponible en: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft aprende. Introducción a la prevenciónProtéjase contra la pérdida de datos de endpoints. Disponible en: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started