Tutorial: Detección y protección de información confidencial de una organización

En un mundo ideal, todos los empleados entienden la importancia de la protección de la información y trabajan dentro de las directivas. En el mundo real, es probable que un asociado ocupado que trabaja con frecuencia con información de cuentas cargue accidentalmente un documento confidencial en el repositorio de Box con permisos incorrectos. Una semana más adelante se da cuenta de que se ha filtrado información confidencial de su empresa a la competencia.

Para ayudarle a evitar que esto ocurra, Microsoft Defender for Cloud Apps proporciona una amplia gama de funcionalidades de DLP que abarcan los diversos puntos de fuga de datos que existen en las organizaciones.

En este tutorial, aprenderá a usar Defender for Cloud Apps para detectar datos confidenciales potencialmente expuestos y aplicar controles para evitar su exposición:

• Detección de los datos
• Clasificación de información confidencial
• Protección de los datos
• Supervisión e informes de los datos

Cómo detectar y proteger información confidencial de una organización

Nuestro enfoque para la protección de la información se puede dividir en las siguientes fases que le permiten proteger los datos a través de su ciclo de vida completo, en varias ubicaciones y dispositivos.

Fase 1: Detección de los datos

1. Conectar aplicaciones: el primer paso para detectar qué datos se usan en la organización consiste en conectar las aplicaciones en la nube que se usan en la organización a Defender for Cloud Apps. Una vez que se conecta, Defender for Cloud Apps puede examinar datos, agregar clasificaciones y aplicar directivas y controles. La forma en que se conectan las aplicaciones afectará a cómo y cuándo se aplican las detecciones y los controles. Puede conectar las aplicaciones de alguna de las siguientes maneras:

   • Usar un conector de aplicaciones: los conectores de aplicaciones de Microsoft usan las API que los proveedores de las aplicaciones proporcionan. Proporcionan mayor visibilidad y control sobre las aplicaciones que se usan en la organización. Las detecciones se realizan periódicamente (cada 12 horas) y en tiempo real (se desencadena cada vez que se detecta un cambio). Para más información e instrucciones sobre cómo añadir aplicaciones, consulte Conexión de aplicaciones.

   • Usar el control de aplicaciones de acceso condicional: nuestra solución de control de aplicaciones de acceso condicional se integra de forma única en el sistema de acceso condicional de Microsoft Entra y le permite aplicar controles a cualquier aplicación.

     Los usuarios de Microsoft Edge tienen acceso directo a la protección integrada del explorador. El control de aplicaciones de acceso condicional se aplica en otros exploradores mediante una arquitectura de proxy inverso. Para obtener más información, consulte Proteger aplicaciones con control de aplicaciones de acceso condicional de Microsoft Defender for Cloud Apps y Protección integrada del explorador con Microsoft Edge para empresas (versión preliminar).

2. Investigar: después de conectar una aplicación a Defender for Cloud Apps mediante su conector de API, Defender for Cloud Apps examina todos los archivos utilizados. En el Portal de Microsoft Defender, en Aplicaciones en la nube, vaya a Archivos para obtener información general sobre los archivos compartidos por las aplicaciones en la nube, su accesibilidad y su estado. Para obtener más información, vea Investigar archivos.

Fase 2: Clasificación de información confidencial

1. Definir qué información es confidencial: antes de buscar información confidencial en los archivos, primero debe definir qué recuentos son confidenciales para su organización. Como parte de nuestro servicio de clasificación de datos, ofrecemos más de 100 tipos de información confidencial de fábrica, o puede crear el suyo propio para adaptarse a su directiva de empresa. Defender for Cloud Apps está integrado de forma nativa con Microsoft Purview Information Protection y los mismos tipos y etiquetas de confidencialidad están disponibles en ambos servicios. Por lo tanto, cuando quiera definir información confidencial, diríjase al portal de Microsoft Purview Information Protection para crearlos y, una vez definidos, estarán disponibles en Defender for Cloud Apps. También puede usar tipos de clasificaciones avanzadas, como huella digital o coincidencia exacta de datos (EDM).

   Para aquellos que ya han realizado el trabajo duro de identificar información confidencial y aplicar las etiquetas de confidencialidad adecuadas, puede usar esas etiquetas en las directivas sin tener que volver a analizar el contenido.

2. Habilitación de la integración de Microsoft Information Protection

   1. En el portal de Microsoft Defender, seleccione Configuración. A continuación, seleccione Aplicaciones en la nube.
   2. En Protección de información, vaya a Microsoft Information Protection. Seleccione Analizar automáticamente los nuevos archivos para las etiquetas de confidencialidad de Microsoft Information Protection y las advertencias de inspección de contenido.

   Para obtener más información, consulte Integración de Microsoft Purview Information Protection.

3. Crear directivas para identificar información confidencial en archivos: una vez que conozca los tipos de información que desea proteger, es el momento de crear directivas para detectarlos. Empiece por crear las siguientes directivas:

   Directiva de archivo
   Use este tipo de directiva para examinar el contenido de los archivos almacenados en las aplicaciones en la nube conectadas a la API casi en tiempo real y en reposo. Los archivos se examinan mediante uno de nuestros métodos de inspección admitidos, incluido el contenido cifrado de Microsoft Purview Information Protection gracias a su integración nativa con Defender for Cloud Apps.

   1. En el Portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas.

   2. Seleccione Crear directiva y, después, Directiva de archivo.

   3. En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:

      • Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Microsoft 365, Microsoft Purview Information Protection y Defender for Cloud Apps para proporcionar una experiencia de etiquetado unificada. Este es el método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.

   4. Para archivos altamente confidenciales, seleccione Crear una alerta para todos los archivos coincidentes y elija las alertas que necesita, de modo que se le informe cuando haya archivos con información confidencial desprotegida en su organización.

   5. Seleccione Crear.

   Directiva de sesión
   Use este tipo de directiva para examinar y proteger archivos en tiempo real al acceder a:

   • Impedir la filtración de datos: puede bloquear la descarga, cortar, copiar e imprimir documentos confidenciales en, por ejemplo, dispositivos no administrados.
   • Protección de archivos al descargar: requerir que los documentos estén etiquetados y protegidos con Microsoft Purview Information Protection. Esta acción garantiza que el documento está protegido y el acceso del usuario se restringe en una sesión potencialmente arriesgada.
   • Impida la carga de archivos sin etiquetar: Exija que un archivo tenga la etiqueta y la protección adecuadas antes de que un archivo sensible sea cargado, distribuido y utilizado por otros. Con esta acción, puede asegurarse de que los archivos sin etiqueta con contenido confidencial se bloqueen para que no se carguen hasta que el usuario clasifique el contenido.

   1. En el Portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Directivas ->Administración de directivas.

   2. Seleccione Crear directiva y, a continuación, seleccione Directiva de sesión.

   3. En Tipo de control de sesión, elija una de las opciones con DLP.

   4. En Método de inspección, elija y configure uno de los siguientes servicios de clasificación:

      • Servicios de clasificación de datos: usa las decisiones de clasificación que ha tomado en Microsoft 365, Microsoft Purview Information Protection y Defender for Cloud Apps para proporcionar una experiencia de etiquetado unificada. Este es el método de inspección de contenido preferido, ya que proporciona una experiencia coherente y unificada en todos los productos de Microsoft.
      • DLP integrado: inspecciona los archivos de información confidencial mediante nuestro motor de inspección de contenido DLP integrado.

   5. Para archivos altamente confidenciales, seleccione Crear una alerta y elija las alertas que necesita, de modo que se le informe cuando haya archivos con información confidencial desprotegida en su organización.

   6. Seleccione Crear.

Debe crear tantas directivas como sea necesario para detectar datos confidenciales conforme a la directiva de la empresa.

Fase 3: Proteger los datos

Por lo tanto, ahora puede detectar archivos con información confidencial, pero lo que realmente le interesa es proteger esa información frente a posibles amenazas. Una vez que tiene constancia de un incidente, puede corregir manualmente la situación o puede usar una de las acciones de gobernanza automáticas proporcionadas por Defender for Cloud Apps para proteger los archivos. Algunas de estas son los controles nativos de Microsoft Purview Information Protection, las acciones proporcionadas por la API y la supervisión en tiempo real. El tipo de gobernanza que puede aplicar depende del tipo de directiva que esté configurando, como se indica a continuación:

1. Acciones de gobernanza de directivas de archivos: usa la API del proveedor de aplicaciones en la nube y nuestras integraciones nativas para proteger archivos, entre las que se incluyen:

   • Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente
   • Administrar etiquetas aplicadas a un archivo para aplicar controles nativos de Microsoft Purview Information Protection
   • Cambio del acceso compartido a un archivo
   • Poner un archivo en cuarentena.
   • Eliminación de permisos específicos de archivos o carpetas en Microsoft 365
   • Mover un archivo a la papelera

2. Controles de directiva de sesión: usa funcionalidades de proxy inverso para proteger archivos, entre los que se incluyen:

   • Desencadenar alertas y enviar notificaciones por correo electrónico sobre el incidente
   • Supervisar todas las actividades: permite explícitamente la descarga o carga de archivos y supervisa todas las actividades relacionadas.
   • Bloquear: bloquea explícitamente la descarga o carga de archivos. Use esta opción para proteger los archivos confidenciales de la organización frente a la filtración o infiltración de cualquier dispositivo, incluidos los dispositivos no administrados.
   • Proteger: aplica automáticamente una etiqueta de confidencialidad a los archivos que coinciden con los filtros de archivo de la directiva. Use esta opción para proteger la descarga de archivos confidenciales.

Fase 4: Supervisión e informes de los datos

Las directivas están diseñadas para inspeccionar y proteger los datos. Ahora, deberá comprobar el panel diariamente para ver qué nuevas alertas se han activado. Es un buen lugar para vigilar el estado del entorno en la nube. El panel le ayudará a tener una idea de lo que está ocurriendo y, si es necesario, iniciar una investigación.

Una de las formas más efectivas de supervisar los incidentes con los archivos confidenciales consiste en consultar la página Directivas y revisar las coincidencias con las directivas configuradas. Además, si ha configurado las alertas, también debe considerar la opción de supervisar periódicamente las alertas de archivos en la página Alertas, especificando la categoría como DLP y revisando qué directivas relacionadas con los archivos se van a activar. Revisar estos incidentes puede ayudarle a ajustar las directivas para que se centren en las amenazas que son de interés para la organización.

En conclusión, administrar de esta forma la información confidencial garantiza que los datos que se guardan en la nube tienen la máxima protección contra la filtración e infiltración malintencionadas. Además, si un archivo se comparte o se pierde, solo podrán acceder a él los usuarios autorizados.

Consulte también

Descripción de los datos y filtros de archivos

Directivas de archivo

Inspección de contenido

Si tiene algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abre una incidencia de soporte técnico.