Narrative, SAT, UC, Scholarship, Descriptive essay examples

Cree, pruebe y ajuste una política de DLP: cumplimiento de Microsoft 365 | Documentos de Microsoft

Cree, pruebe y ajuste una política de DLP: cumplimiento de Microsoft 365 | Documentos de Microsoft
13 enero, 2021
Author:

La prevención de pérdida de datos (DLP) es una función de cumplimiento diseñada para ayudar a su organización a prevenir la exposición accidental o no intencionada de información confidencial a partes no deseadas. DLP tiene sus raíces en Exchange Server y Exchange Online, y también es aplicable en SharePoint Online y OneDrive para empresas.

DLP utiliza un motor de análisis de contenido para examinar el contenido de los mensajes y archivos de correo electrónico, buscando información confidencial como números de tarjetas de crédito e información de identificación personal (PII). Por lo general, la información confidencial no debe enviarse por correo electrónico ni incluirse en documentos sin tomar medidas adicionales, como cifrar el mensaje de correo electrónico o los archivos. Con DLP puede detectar información confidencial y tomar medidas como:

  • Registre el evento con fines de auditoría
  • Mostrar una advertencia al usuario final que envía el correo electrónico o comparte el archivo
  • Bloquear activamente el intercambio de archivos o correos electrónicos

A veces, los clientes descartan DLP porque no consideran que tengan el tipo de datos que necesitan protección. La suposición es que los datos sensibles, como registros médicos o información financiera, solo existen para industrias como la atención médica o para empresas que tienen tiendas en línea. Pero cualquier empresa puede manejar información confidencial de forma regular, incluso si no se da cuenta. Una hoja de cálculo de nombres de empleados y fechas de nacimiento es tan sensible como una hoja de cálculo de nombres de clientes y detalles de tarjetas de crédito. Y este tipo de información tiende a flotar más de lo que cabría esperar, ya que los empleados realizan silenciosamente sus tareas diarias, sin pensar en exportar un archivo CSV de un sistema y enviarlo por correo electrónico a alguien.También se sorprenderá de la frecuencia con la que los empleados envían correos electrónicos que contienen datos bancarios o de tarjetas de crédito sin considerar las consecuencias.

Permisos

Los miembros de su equipo de cumplimiento que crearán políticas de DLP necesitan permisos para el Centro de seguridad y cumplimiento. De forma predeterminada, su administrador de inquilinos tendrá acceso a esta ubicación y puede otorgar a los oficiales de cumplimiento y otras personas acceso al Centro de seguridad y cumplimiento, sin otorgarles todos los permisos de un administrador de inquilinos. Para hacer esto, le recomendamos que:

Cree un grupo en Microsoft 365 y agréguele oficiales de cumplimiento.

Cree un grupo de roles en la página Permisos del Centro de seguridad y cumplimiento.

Al crear el grupo de funciones , use la sección Elegir funciones para agregar la siguiente función al grupo de funciones : Administración de cumplimiento de DLP .

Use la sección Elegir miembros para agregar el grupo de Microsoft 365 que creó antes al grupo de roles.

También puede crear un grupo de roles con privilegios de solo lectura para las políticas de DLP y los informes de DLP al otorgar el rol de Administración de cumplimiento de DLP de solo lectura .

Estos permisos solo son necesarios para crear y aplicar una política de DLP. La aplicación de políticas no requiere acceso al contenido.

Cómo DLP detecta la información confidencial

La información confidencial se identifica mediante la coincidencia de patrones de expresión regular (RegEx), en combinación con otros indicadores, como la proximidad de ciertas palabras clave a los patrones de coincidencia. Un ejemplo de esto son los números de tarjetas de crédito. Un número de tarjeta de crédito VISA tiene 16 dígitos. Sin embargo, esos dígitos se pueden escribir de diferentes formas, como 1111-1111-1111-1111, 1111 1111 1111 1111 o 1111111111111111.

Cualquier cadena de 16 dígitos no es necesariamente un número de tarjeta de crédito, podría ser un número de ticket de un sistema de mesa de ayuda o un número de serie de una pieza de hardware. Para saber la diferencia entre un número de tarjeta de crédito y una cadena inofensiva de 16 dígitos, se realiza un cálculo (suma de comprobación) para confirmar que los números coinciden con un patrón conocido de las distintas marcas de tarjetas de crédito.

Además, la proximidad de palabras clave como “VISA” o “AMEX”, junto con la proximidad a los valores de fecha que podrían ser la fecha de vencimiento de la tarjeta de crédito, también se considera para tomar una decisión sobre si los datos son un número de tarjeta de crédito o no. .

En otras palabras, DLP suele ser lo suficientemente inteligente como para reconocer la diferencia entre estos dos textos en un correo electrónico:

  • “¿Me pueden pedir una computadora portátil nueva? Use mi número de VISA 1111-1111-1111-1111, con vencimiento el 22/11, y envíeme la fecha de entrega estimada cuando la tenga”.
  • “El número de serie de mi computadora portátil es 2222-2222-2222-2222 y fue comprado el 11/2010. Por cierto, ¿mi visa de viaje ya está aprobada?”

Una buena referencia para mantener un marcador son las definiciones de entidad de tipo de información confidencial que explica cómo se detecta cada tipo de información.

Por dónde empezar con la prevención de pérdida de datos

Cuando los riesgos de fuga de datos no son del todo obvios, es difícil determinar dónde debe comenzar exactamente con la implementación de DLP. Afortunadamente, las políticas de DLP se pueden ejecutar en “modo de prueba”, lo que le permite evaluar su eficacia y precisión antes de activarlas.

Las políticas de DLP para Exchange Online se pueden administrar a través del centro de administración de Exchange. Pero puede configurar políticas de DLP para todas las cargas de trabajo a través del Centro de seguridad y cumplimiento, de modo que eso es lo que usaré para las demostraciones en este artículo. En el Centro de seguridad y cumplimiento, encontrará las políticas de DLP en Prevención de pérdida de datos > Política . Haga clic en Crear una política para comenzar.

Microsoft 365 proporciona una variedad de plantillas de políticas de DLP que puede usar para crear políticas de DLP. Digamos que es una empresa australiana. Puede filtrar las plantillas de políticas para mostrar solo aquellas que son relevantes para Australia, que se incluyen en las categorías generales de Finanzas, Medicina y Salud y Privacidad.

Para esta demostración, elegiré Datos de información de identificación personal (PII) de Australia, que incluyen los tipos de información de Número de archivo fiscal australiano (TFN) y Número de licencia de conducir.

Dé un nombre a su nueva política de DLP. El nombre predeterminado coincidirá con la plantilla de política de DLP, pero debe elegir un nombre más descriptivo, ya que se pueden crear varias políticas a partir de la misma plantilla.

Elija las ubicaciones a las que se aplicará la política. Las políticas de DLP pueden aplicarse a Exchange Online, SharePoint Online y OneDrive para la empresa. Dejaré esta política configurada para que se aplique a todas las ubicaciones.

En el primer paso de Configuración de políticas, simplemente acepte los valores predeterminados por ahora. Hay mucha personalización que puede hacer en las políticas de DLP, pero los valores predeterminados son un buen lugar para comenzar.

Después de hacer clic en Siguiente, se le presentará una página de configuración de políticas adicional con más opciones de personalización. Para una política que está probando, aquí es donde puede comenzar a hacer algunos ajustes.

  • Por ahora, desactivé las sugerencias de políticas, lo cual es un paso razonable si solo está probando cosas y todavía no desea mostrar nada a los usuarios. Las sugerencias de políticas muestran advertencias a los usuarios de que están a punto de violar una política de DLP. Por ejemplo, un usuario de Outlook verá una advertencia de que el archivo que ha adjuntado contiene números de tarjeta de crédito y hará que su correo electrónico sea rechazado. El objetivo de los consejos sobre políticas es detener el comportamiento de incumplimiento antes de que suceda.
  • También reduje el número de instancias de 10 a 1, de modo que esta política detectará cualquier intercambio de datos PII australianos, no solo el intercambio masivo de datos.
  • También agregué otro destinatario al correo electrónico del informe de incidentes.

Finalmente, configuré esta política para que se ejecute en modo de prueba inicialmente. Tenga en cuenta que también hay una opción aquí para deshabilitar las sugerencias de políticas mientras está en modo de prueba. Esto le brinda la flexibilidad de tener las sugerencias de políticas habilitadas en la política, pero luego decidir si mostrarlas o suprimirlas durante la prueba.

En la pantalla de revisión final, haga clic en Crear para terminar de crear la política.

Probar una política de DLP

Su nueva política de DLP comenzará a entrar en vigencia en aproximadamente 1 hora. Puede sentarse y esperar a que se active con la actividad normal del usuario, o puede intentar activarlo usted mismo. Anteriormente me vinculé a las definiciones de entidad de tipo de información confidencial, que le proporciona información sobre cómo activar coincidencias de DLP.

Como ejemplo, la política DLP que creé para este artículo detectará los números de archivo de impuestos australianos (TFN). Según la documentación, la coincidencia se basa en los siguientes criterios.

Para demostrar la detección de TFN de una manera bastante directa, un correo electrónico con las palabras “Número de archivo de impuestos” y una cadena de 9 dígitos en las proximidades navegará sin problemas. La razón por la que no activa la política DLP es que la cadena de 9 dígitos debe pasar la suma de comprobación que indica que es un TFN válido y no solo una cadena de números inofensiva.

En comparación, un correo electrónico con las palabras “Número de archivo de impuestos” y un TFN válido que pase la suma de verificación activará la política. Para que conste aquí, el TFN que estoy usando se tomó de un sitio web que genera TFN válidos, pero no genuinos. Estos sitios son muy útiles porque uno de los errores más comunes al probar una política de DLP es usar un número falso que no es válido y no pasa la suma de verificación (y por lo tanto no activa la política).

El correo electrónico del informe de incidentes incluye el tipo de información confidencial que se detectó, cuántas instancias se detectaron y el nivel de confianza de la detección.

Si deja su política de DLP en modo de prueba y analiza los correos electrónicos de informes de incidentes, puede empezar a tener una idea de la precisión de la política de DLP y de su eficacia cuando se aplique. Además de los informes de incidentes, puede utilizar los informes de DLP para ver una vista agregada de las coincidencias de políticas en su inquilino.

Ajustar una política de DLP

A medida que analiza los impactos de sus políticas, es posible que desee realizar algunos ajustes en el comportamiento de las políticas. Como ejemplo simple, puede determinar que un TFN en el correo electrónico no es un problema (creo que todavía lo es, pero vayamos con él por el bien de la demostración), pero dos o más instancias son un problema. Varias instancias podrían ser un escenario de riesgo, como que un empleado envíe por correo electrónico una exportación CSV desde la base de datos de recursos humanos a una parte externa, por ejemplo, un servicio de contabilidad externo. Definitivamente algo que preferirías detectar y bloquear.

En el Centro de seguridad y cumplimiento, puede editar una política existente para ajustar el comportamiento.

Puede ajustar la configuración de la ubicación para que la política se aplique solo a cargas de trabajo específicas o a sitios y cuentas específicos.

También puede ajustar la configuración de la política y editar las reglas para que se adapten mejor a sus necesidades.

Al editar una regla dentro de una política de DLP, puede cambiar:

  • Las condiciones, incluido el tipo y la cantidad de instancias de datos confidenciales que activarán la regla.
  • Las acciones que se toman, como restringir el acceso al contenido.
  • Notificaciones de usuario, que son sugerencias de políticas que se muestran al usuario en su cliente de correo electrónico o navegador web.
  • Anulaciones de usuario, que determina si los usuarios pueden optar por continuar con su correo electrónico o compartir archivos de todos modos.
  • Informes de incidentes, para notificar a los administradores.

Para esta demostración, agregué notificaciones de usuario a la política (tenga cuidado de hacer esto sin una capacitación adecuada en concientización del usuario) y les permití anular la política con una justificación comercial o marcándola como un falso positivo. Tenga en cuenta que también puede personalizar el correo electrónico y el texto de la sugerencia de política si desea incluir información adicional sobre las políticas de su organización o solicitar a los usuarios que se pongan en contacto con el soporte si tienen preguntas.

La política contiene dos reglas para el manejo de volúmenes altos y bajos, así que asegúrese de editar ambas con las acciones que desee. Esta es una oportunidad para tratar los casos de manera diferente según sus características. Por ejemplo, puede permitir anulaciones para infracciones de bajo volumen, pero no permitir anulaciones para infracciones de alto volumen.

Además, si realmente desea bloquear o restringir el acceso al contenido que infringe la política, debe configurar una acción en la regla para hacerlo.

Después de guardar esos cambios en la configuración de la política, también necesito volver a la página principal de configuración de la política y habilitar la opción para mostrar sugerencias de política a los usuarios mientras la política está en modo de prueba. Esta es una forma eficaz de presentar políticas de DLP a sus usuarios finales y realizar una formación de concienciación del usuario, sin correr el riesgo de demasiados falsos positivos que afecten su productividad.

En el lado del servidor (o en el lado de la nube, si lo prefiere), es posible que el cambio no se aplique de inmediato, debido a varios intervalos de procesamiento. Si está realizando un cambio de política de DLP que mostrará nuevos consejos de política a un usuario, es posible que el usuario no vea que los cambios surtan efecto inmediatamente en su cliente de Outlook, que comprueba los cambios de política cada 24 horas. Si desea acelerar las pruebas, puede usar esta corrección de registro para borrar la última marca de tiempo de descarga de la clave PolicyNudges. Outlook descargará la información de política más reciente la próxima vez que lo reinicie y comience a redactar un mensaje de correo electrónico.

Si tiene habilitadas las sugerencias de políticas, el usuario comenzará a ver las sugerencias en Outlook y podrá informarle de falsos positivos cuando se produzcan.

Investigar falsos positivos

Las plantillas de políticas de DLP no son perfectas desde el primer momento. Es probable que encuentre algunos falsos positivos en su entorno, razón por la cual es tan importante comenzar con facilidad en una implementación de DLP, tomándose el tiempo para probar y ajustar adecuadamente sus políticas.

Aquí tienes un ejemplo de falso positivo. Este correo electrónico es bastante inofensivo. El usuario proporciona su número de teléfono móvil a alguien e incluye su firma de correo electrónico.

Pero el usuario ve una sugerencia de política que le advierte que el correo electrónico contiene información confidencial, específicamente, un número de licencia de conducir australiano.

El usuario puede informar el falso positivo y el administrador puede investigar por qué ha ocurrido. En el correo electrónico del informe de incidentes, el correo electrónico se marca como falso positivo.

Este caso de licencia de conducir es un buen ejemplo para profundizar. La razón por la que se ha producido este falso positivo es que el tipo “Licencia de conducir australiana” se activará con cualquier cadena de 9 dígitos (incluso una que sea parte de una cadena de 10 dígitos), con una proximidad de 300 caracteres a las palabras clave “sydney nsw”. (no entre mayúsculas y minúsculas). Entonces, se activa por el número de teléfono y la firma del correo electrónico, solo porque el usuario se encuentra en Sydney.

Una opción es eliminar el tipo de información de la licencia de conducir australiana de la póliza. Está ahí porque es parte de la plantilla de política de DLP, pero no estamos obligados a usarla. Si solo está interesado en los números de archivo de impuestos y no en las licencias de conducir, simplemente puede eliminarlo. Por ejemplo, puede eliminarlo de la regla de volumen bajo en la política, pero dejarlo en la regla de volumen alto para que aún se detecten listas de varias licencias de conducir.

Otra opción es simplemente aumentar el recuento de instancias, de modo que un volumen bajo de licencias de conducir solo se detecte cuando hay varias instancias.

Además de cambiar el recuento de instancias, también puede ajustar la precisión de la coincidencia (o el nivel de confianza). Si su tipo de información confidencial tiene varios patrones, puede ajustar la precisión de coincidencia en su regla, de modo que su regla coincida solo con patrones específicos. Por ejemplo, para ayudar a reducir los falsos positivos, puede establecer la precisión de coincidencia de su regla para que coincida solo con el patrón con el nivel de confianza más alto. Comprender cómo se calcula el nivel de confianza es un poco complicado (y más allá del alcance de esta publicación), pero aquí hay una buena explicación de cómo usar el nivel de confianza para ajustar sus reglas.

Por último, si desea avanzar un poco más, puede personalizar cualquier tipo de información confidencial; por ejemplo, puede eliminar “Sydney NSW” de la lista de palabras clave para el número de licencia de conducir de Australia, para eliminar el falso positivo activado anteriormente. . Para aprender a hacer esto mediante XML y PowerShell, consulte este tema sobre la personalización de un tipo de información confidencial integrado.

Activar una política de DLP

Cuando esté satisfecho de que su política de DLP esté detectando de forma precisa y eficaz los tipos de información confidencial, y de que sus usuarios finales estén preparados para hacer frente a las políticas vigentes, podrá habilitar la política.

Si está esperando a ver cuándo entrará en vigencia la directiva, conéctese a PowerShell del Centro de cumplimiento y seguridad y ejecute el cmdlet Get-DlpCompliancePolicy para ver DistributionStatus.

Después de activar la política de DLP, debe ejecutar algunas pruebas finales propias para asegurarse de que se estén produciendo las acciones de política esperadas. Si está tratando de probar cosas como datos de tarjetas de crédito, hay sitios web en línea con información sobre cómo generar una tarjeta de crédito de muestra u otra información personal que pasará las sumas de verificación y activará sus políticas.

Las políticas que permiten anulaciones del usuario presentarán esa opción al usuario como parte de la sugerencia de política.

Las políticas que restringen el contenido presentarán la advertencia al usuario como parte de la sugerencia de política y evitarán que envíe el correo electrónico.

Resumen

Las políticas de prevención de pérdida de datos son útiles para organizaciones de todo tipo. Probar algunas políticas de DLP es un ejercicio de bajo riesgo debido al control que tiene sobre cosas como sugerencias de políticas, anulaciones de usuarios finales e informes de incidentes. Puede probar silenciosamente algunas políticas de DLP para ver qué tipo de infracciones ya se están produciendo en su organización, y luego diseñar políticas con bajas tasas de falsos positivos, educar a sus usuarios sobre lo que está permitido y lo que no, y luego implementar sus políticas de DLP en el organización.