Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre las configuraciones para reducir el riesgo de divulgación inapropiada de información clasificada de seguridad a través de los servicios de Microsoft 365. Su propósito es ayudar a las organizaciones a mejorar su posición de seguridad de la información. Las instrucciones de este artículo se alinean con los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
La configuración de las directivas descritas en este artículo requiere conocimientos de Prevención de pérdida de datos de Microsoft Purview (DLP). Para obtener instrucciones introductorias sobre DLP de Microsoft Purview, consulte Información sobre la prevención de pérdida de datos.
Restricción de la distribución de correo electrónico de información clasificada
Las directivas DLP que protegen elementos clasificados usarán principalmente las condiciones de directiva DLP del elemento que contiene la etiqueta de confidencialidad. La configuración de la herencia de etiquetas y el etiquetado automático basado en cliente ayudarán a garantizar la precisión de las etiquetas, lo que mejorará la seguridad de los datos.
Para obtener los niveles más altos de flexibilidad en términos de condiciones y acciones DLP, las directivas que se aplican al correo electrónico solo deben tener como destino el servicio exchange. Esto garantiza que las condiciones de directiva, como el dominio de destinatario, estén disponibles para la selección.
Las directivas DLP que se aplican a las etiquetas de confidencialidad requieren el uso de la plantilla de directiva personalizada.
Restricción de la distribución de correo electrónico de información clasificada a organizaciones no autorizadas
El requisito 77 de PSPF 2024 establece que debe haber un acuerdo antes de que la información clasificada se comparta con un usuario u organización externos:
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 77 | Un acuerdo o acuerdo, como un contrato o una propiedad, que establece requisitos y protecciones de control, se establece antes de que la información o los recursos clasificados en seguridad se divulguen o compartan con una persona u organización fuera del gobierno. |
Para cumplir con este requisito de PSPF, las organizaciones gubernamentales deben tener en cuenta lo siguiente:
- Procesos empresariales para identificar, establecer y revisar acuerdos con entidades con las que comparten información clasificada de seguridad.
- Procesos de cambio técnico para las modificaciones de configuración para permitir o impedir que los usuarios envíen información clasificada de seguridad a organizaciones externas.
Las organizaciones pueden esperar tener distintos requisitos de seguridad de la información para cada clasificación de seguridad o subconjunto (por ejemplo, Marcador de administración de información (IMM) o Advertencia). Se deben crear directivas o reglas independientes para abordar los requisitos de cada clasificación o subconjunto.
Para crear una regla DLP para evitar la distribución por correo electrónico de información clasificada de seguridad a organizaciones no aprobadas:
- Seleccionar una condición de contenido se comparte desde Microsoft 365, con personas ajenas a mi organización.
- Seleccione una segunda condición de contenido que contenga, etiqueta de confidencialidad y las etiquetas adecuadas seleccionadas (por ejemplo, etiqueta PROTEGIDA y subetiquetas asociadas).
- Seleccione un segundo grupo de condiciones vinculado a través del operando AND .
- El segundo grupo se establece en NOT.
- El segundo grupo contiene una condición de dominio de destinatario junto con una lista de dominios aprobados para recibir las clasificaciones de seguridad seleccionadas.
- Seleccione una acción que bloquee o redirija el correo electrónico a los destinatarios que no pertenecen a uno de los dominios de destinatario configurados.
Regla DLP de ejemplo: Bloquear correo electrónico protegido en organizaciones no aprobadas
La siguiente regla restringe el envío de correo electrónico protegido a organizaciones que no aparecen como aprobadas para recibir la información. Mientras un usuario está redactando un correo electrónico con una etiqueta PROTEGIDA aplicada, si un usuario agrega un destinatario de una organización no aprobada, aparece una sugerencia de directiva DLP para advertir al usuario. El correo electrónico se bloquea si el usuario omite la sugerencia de directiva e intenta enviarla.
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización AND El contenido contiene etiquetas de confidencialidad: - Todas las etiquetas PROTEGIDAs AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de correo electrónico protegido |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure una sugerencia de directiva de: "Un destinatario de este correo electrónico es de una organización que no está autorizada para recibir información protegida. Este correo electrónico se bloquea a menos que se quiten destinatarios no autorizados del campo para . Si no es correcto, póngase en contacto con el soporte técnico para analizar sus necesidades". Configure las opciones de notificación y gravedad de incidentes adecuadas. |
Sugerencia
Las organizaciones gubernamentales australianas deben considerar la posibilidad de configurar reglas DLP que restrinjan el correo electrónico a organizaciones no aprobadas para las clasificaciones de seguridad PROTECTED y OFFICIAL: Sensitive.
Puede encontrar más ejemplos de directivas DLP que bloquean el correo electrónico a organizaciones no aprobadas en Plano técnico de ASD para la nube segura en Directivas de prevención de pérdida de datos.
El ejemplo de directiva DLP anterior se aplica solo al correo electrónico etiquetado . Si un usuario responde a un elemento heredado desde su bandeja de entrada, se le pedirá que seleccione una etiqueta para aplicarla. El etiquetado automático basado en cliente funcionará para asegurarse de que la etiqueta sea precisa comprobando las marcas existentes en el correo electrónico. El etiquetado automático basado en el servicio garantizará que la etiqueta aplicada se alinee con cualquier marca de asunto existente. Estas dos funcionalidades funcionan conjuntamente para garantizar la precisión de la etiqueta y que la DLP pertinente se aplique a los elementos.
Permitir la distribución por correo electrónico de información clasificada a invitados autorizados
Con el requisito de necesidad de conocimiento, las organizaciones gubernamentales deben integrar un enfoque basado en dominio con acceso de invitado y varios niveles de acceso de invitado en función de la etiqueta aplicada y del grupo o dominio invitado.
El permiso de invitado autorizado se logra mediante:
Creación de grupos mantenidos manualmente (por ejemplo, invitados protegidos), que contiene invitados de organizaciones externas aprobadas que han comprobado su estado de autorización; o
Creación de grupos dinámicos configurados para incluir cuentas de invitado de dominios especificados. Esto se puede lograr mediante el uso de consultas dinámicas que evalúan los nombres principales de usuario (UPN). Por ejemplo:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
Para obtener más información sobre la pertenencia dinámica a grupos, consulte reglas de pertenencia dinámica para grupos de Microsoft Entra ID.
Las ventajas de limitar la capacidad de recibir información protegida a un subconjunto de dominios Y cuentas de invitado se muestran en los siguientes escenarios basados en correo electrónico.
| Escenario de invitado | Solo control basado en dominio | Control basado en dominio e invitado |
|---|---|---|
| Invitado del dominio no aprobado |
Riesgo mitigado No se puede recibir información clasificada de seguridad1 |
Riesgo mitigado No se puede recibir información clasificada de seguridad1 |
| Invitado del dominio aprobado para la información clasificada de seguridad |
Riesgo presente Todos los usuarios de dominio que pueden recibir información clasificada de seguridad independientemente de la necesidad de conocer |
Riesgo mitigado No se puede recibir información clasificada de seguridad2 |
| Invitado del dominio no aprobado |
Riesgo mitigado No se puede recibir información clasificada de seguridad1 |
Riesgo mitigado No se puede recibir información clasificada de seguridad2 |
| Invitado del dominio aprobado |
Riesgo presente Todos los usuarios de dominio que pueden recibir información clasificada de seguridad independientemente de la necesidad de conocer |
Riesgo mitigado No se puede recibir información clasificada de seguridad2 |
| Invitado del dominio aprobado y parte del grupo de invitados protegidos |
Riesgo presente Todos los usuarios de dominio que pueden recibir información clasificada de seguridad independientemente de la necesidad de conocer |
Riesgo mitigado Solo los usuarios de dominio que se agregan como invitados protegidos pueden recibir información clasificada de seguridad. |
Nota:
1 Se han seguido las configuraciones que se describen para evitar la distribución por correo electrónico de información clasificada a organizaciones no autorizadas .
2 La recepción de información clasificada se ha restringido a los invitados aprobados, además de los controles basados en dominios.
Las organizaciones que usan esta configuración requieren procesos empresariales para admitir el mantenimiento de la pertenencia a grupos invitados. Los invitados protegidos o grupos equivalentes también deben incluirse como excepciones a las reglas DLP que restringen la distribución de correo electrónico clasificado.
Para crear reglas DLP para evitar la distribución por correo electrónico de información clasificada de seguridad a invitados autorizados:
- Seleccionar una condición de contenido se comparte desde Microsoft 365, con personas ajenas a mi organización.
- Seleccione una segunda condición de contenido que contenga, etiqueta de confidencialidad y las etiquetas adecuadas seleccionadas (por ejemplo, etiqueta PROTEGIDA y subetiquetas asociadas).
- Seleccione un segundo grupo de condiciones, que está vinculado a través del operando AND .
- El segundo grupo se establece en NOT.
- Contiene una condición de que el destinatario sea miembro deinvitados protegidos.
- Seleccione una acción que bloquee o redirija el correo electrónico a los destinatarios que no forman parte del grupo seleccionado.
Regla DLP de ejemplo: Bloquear correo electrónico protegido para invitados no aprobados
La siguiente regla se basa en el ejemplo proporcionado anteriormente para permitir el envío de correo electrónico protegido a los usuarios que proceden de dominios aprobados Y que están incluidos en un grupo de invitados protegidos .
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365: con personas ajenas a mi organización AND El contenido contiene etiquetas de confidencialidad: - Todas las etiquetas PROTEGIDAs AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de correo electrónico protegido AND Group NOT El destinatario es miembro de: - Invitados protegidos |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure una sugerencia de directiva adecuada: "Un destinatario de este correo electrónico no está autorizado para recibir información protegida. Este correo electrónico se bloquea a menos que se quiten destinatarios no autorizados del campo para . Si no es correcto, póngase en contacto con el soporte técnico para analizar sus requisitos". Configure las opciones de notificación y gravedad de incidentes adecuadas. |
Impedir la distribución por correo electrónico de información clasificada a usuarios no autorizados
El requisito 75 de la PSPF 2024 se refiere a los niveles de autorización necesarios para el acceso a la información clasificada de seguridad:
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 75 | El acceso a información o recursos clasificados de seguridad solo se proporciona a personas ajenas a la entidad con la autorización de seguridad adecuada (cuando sea necesario) y una necesidad de conocer, y se transfiere de acuerdo con los requisitos mínimos de protección y control. |
En las organizaciones gubernamentales con tipos de usuario de autorización de seguridad mixtos, algunos usuarios no tendrán las autorizaciones necesarias para acceder a los tipos de información que conserva la organización. Estas organizaciones requieren controles para evitar que los usuarios que no deberían tener acceso a la información clasificada de seguridad la reciban por correo electrónico.
Las reglas DLP que restringen el correo electrónico a los usuarios no claros requieren un método para determinar qué usuarios internos pueden recibir información clasificada. Como en el ejemplo anterior, se puede usar un grupo para esto (por ejemplo, un grupo de usuarios protegidos ). Estos grupos pueden ser dinámicos con la pertenencia mantenida en función de los atributos que se alineen con la autorización de seguridad de cada individuo. Esto se puede obtener de sistemas de identidad o RR. HH. Como alternativa, las condiciones del patrón de coincidencia de atributos de AD de destinatario se pueden configurar en la directiva DLP.
La configuración de directiva DLP para cumplir estos requisitos necesita:
- Una condición de Contenido se comparte desde Microsoft 365, con personas de mi organización.
- Una condición de Contenido contiene cualquiera de estas etiquetas de confidencialidad con etiquetas pertinentes (por ejemplo, todas las etiquetas PROTEGIDAs) seleccionadas.
- Un grupo de condiciones, que se vincula a través del operando AND . El segundo grupo establecido en NOT con contiene una condición de destinatario es miembro deusuarios protegidos.
- Las reglas requieren una acción que bloquee o redirija el correo electrónico a los destinatarios que no forman parte del grupo configurado.
Regla DLP de ejemplo: Bloquear correo electrónico protegido a usuarios internos no claros
Esta regla impide que los usuarios que no forman parte del grupo de usuarios protegidos reciban correo electrónico con etiquetas PROTEGIDAs aplicadas.
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365 Solo con personas dentro de mi organización AND El contenido contiene la etiqueta de confidencialidad: - Todas las etiquetas PROTEGIDAs AND Group NOT El destinatario es miembro de: - Usuarios protegidos |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure una sugerencia de directiva adecuada, por ejemplo: "Un usuario que especificó no está aprobado para el acceso a elementos protegidos". Configure las opciones de notificación y gravedad de incidentes adecuadas. |
El efecto de la regla anterior es que, al proporcionar el etiquetado automático se ha configurado de acuerdo con el ejemplo de configuración de etiquetado automático basado en correo electrónico, el correo electrónico marcado recibido de organizaciones externas se etiquetará en la recepción. Después de etiquetarse, si el destinatario no forma parte del grupo Usuarios protegidos , se bloqueará la recepción del correo electrónico protegido.
Adición de consideración de las marcas de protección
La siguiente regla amplía el ejemplo anterior comprobando si hay marcas PROTEGIDAs aplicadas a través de x-protective-marking x-headers o marcadores de sujeto. A continuación, la regla bloquea el correo electrónico si el destinatario no forma parte del grupo del usuario protegido .
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365: solo con personas dentro de mi organización AND Group NOT El destinatario es miembro de: - Usuarios protegidos Y GROUP El encabezado coincide con el patrón: X-Protective-Marking : SEC=PROTECTED O El asunto coincide con el patrón: \[SEC=PROTECTED |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure una sugerencia de directiva adecuada, por ejemplo: "Un usuario que especificó no está aprobado para el acceso a elementos protegidos". Configure las opciones de notificación y gravedad de incidentes adecuadas. |
Prevención del correo electrónico de información clasificada por parte de usuarios no autorizados
Es importante evitar que los usuarios no autorizados reciban información clasificada ya dentro de un inquilino. Sin embargo, considere una situación en la que un usuario obtiene acceso a un elemento PROTEGIDO a través de un almacenamiento local, USB o algún otro método basado en nonemail. A continuación, el usuario adjunta el elemento a un correo electrónico y lo envía a otros usuarios que no están hospedados. Comprobar que un usuario está autorizado para enviar información clasificada de seguridad ayuda a reducir el riesgo de una vulneración de datos.
Reglas DLP para comprobar si un usuario está autorizado para acceder a información clasificada antes de que pueda enviarla:
- Una condición de Contenido contiene cualquiera de estas etiquetas de confidencialidad con etiquetas pertinentes (por ejemplo, todas las etiquetas PROTEGIDAs) seleccionadas.
- Un grupo de condiciones, que se vincula a través del operando AND . El segundo grupo establecido en NOT con contiene una condición de destinatario es miembro deusuarios protegidos.
- Contener una condición de remitente es miembro deusuarios protegidos.
- Las reglas requerirán una acción que bloquee o redirija el correo electrónico a los destinatarios que no forman parte del grupo configurado.
Para asegurarse de que el envío interno y externo está protegido, la regla debe duplicarse con condiciones para que el contenido se comparta desde Microsoft 365 establecido en Solo con personas de mi organización y Solo con personas ajenas a mi organización retrospectivamente.
Reglas DLP de ejemplo que restringen la distribución de correo electrónico clasificado de seguridad por usuarios no autorizados
Las siguientes reglas DLP garantizan que solo los usuarios autorizados para acceder a la información protegida puedan enviarla. Estas reglas garantizan que, en un evento de seguridad (por ejemplo, el uso compartido accidental o malintencionado, permisos inadecuados o configuraciones de seguridad), los usuarios no claros que obtienen acceso a elementos clasificados no pueden exacerbar una vulneración de datos mediante la distribución adicional de información clasificada de seguridad.
| Rule | Condiciones | Acción |
|---|---|---|
| Restricción del envío interno de correo electrónico PROTEGIDO | El contenido se comparte desde Microsoft 365: Solo con personas dentro de mi organización AND El contenido contiene la etiqueta de confidencialidad: - Todas las etiquetas PROTEGIDAs AND Group NOT Sender es miembro de: - Usuarios protegidos |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure sugerencias de directiva si lo desea. Configuración de la gravedad y las alertas de incidentes adecuadas |
| Restricción del envío externo de correo electrónico protegido | El contenido se comparte desde Microsoft 365: Solo con personas ajenas a mi organización AND El contenido contiene la etiqueta de confidencialidad: - Todas las etiquetas PROTEGIDAs AND Group NOT Sender es miembro de: Usuarios protegidos |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure sugerencias de directiva si lo desea. Configuración de la gravedad y las alertas de incidentes adecuadas |
Impedir el uso compartido de información clasificada de seguridad
Nota:
Blueprint for Secure Cloud de ASD incluye instrucciones para la configuración de uso compartido de SharePoint. ASD recomienda restringir todos los vínculos de uso compartido solo a los usuarios de la organización. Establecer todo el uso compartido en solo interno es un buen estado predeterminado para las organizaciones que operan en el nivel PROTEGIDO.
Algunas organizaciones deben ajustar su configuración de uso compartido para atender casos de uso avanzados, como la colaboración segura con otras organizaciones. Se han seguido instrucciones como las incluidas en el control de colaboración externo alto y en otras secciones pertinentes del plano técnico de ASD para la nube segura , por lo que esto se puede hacer con un bajo nivel de riesgo y puede dar lugar fácilmente a una configuración que mejor se adapte a la seguridad de la información que a los enfoques tradicionales de los datos adjuntos de archivos de correo electrónico.
Cada organización tiene una configuración de uso compartido predeterminada, que se configura a través de la configuración de uso compartido de SharePoint. Esto permite configurar una lista de dominios que se aprueban para la recepción de vínculos de uso compartido. Esta configuración está alineada con el requisito 77 de PSPF 2024.
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 77 | Un acuerdo o acuerdo, como un contrato o una propiedad, que establece requisitos y protecciones de control, se establece antes de que la información o los recursos clasificados en seguridad se divulguen o compartan con una persona u organización fuera del gobierno. |
La configuración del grupo de etiquetas y del sitio puede restringir aún más el uso compartido de elementos de ubicaciones etiquetadas, como se describe en configuración de uso compartido de etiquetas. Con la configuración configurada, un elemento clasificado de seguridad, como un documento PROTEGIDO, tiene opciones de uso compartido limitadas mientras se encuentra en una ubicación PROTEGIDA. Las configuraciones de los grupos de ejemplo y la configuración de sitios restringen el uso compartido de dichas ubicaciones solo a destinatarios internos. Si un elemento PROTEGIDO se mueve fuera de una ubicación PROTEGIDA, se aplicarán alertas de datos fuera de lugar .
Además de las restricciones de uso compartido basadas en ubicación, las organizaciones deben implementar directivas DLP para bloquear o advertir y disuadir a los usuarios del uso compartido externo de elementos que no son adecuados para la distribución externa. La siguiente directiva de ejemplo se aplica a los documentos PROTEGIDOs, lo que impide que se compartan con usuarios externos:
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365: Solo con personas ajenas a mi organización AND El contenido contiene la etiqueta de confidencialidad: - Todas las etiquetas PROTEGIDAs |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear solo a personas ajenas a la organización Configure una sugerencia de directiva adecuada, por ejemplo: "Los elementos PROTEGIDOs no son adecuados para compartir con destinatarios externos". Configuración de la gravedad y las alertas de incidentes adecuadas |
Sugerencia
Como las directivas DLP basadas en SharePoint son ubicación en lugar de basadas en usuarios, las excepciones no se aplican por usuario o por grupo. Sin embargo, las directivas que se aplican a OneDrive se pueden limitar a usuarios específicos.
Las sugerencias de directiva DLP se pueden configurar para proporcionar a los usuarios comentarios útiles. Los archivos que coinciden con una sugerencia de directiva que se almacenan en ubicaciones de SharePoint se benefician de las marcas de iconos dentro de las bibliotecas de documentos. Como la directiva DLP de ejemplo anterior contiene una sugerencia de directiva y la directiva impone restricciones de acceso, un icono que muestra un círculo con un guion en él está visible en la biblioteca de documentos para recordar a los usuarios que el elemento está sujeto a restricciones:
Cuando un usuario omite la sugerencia de directiva e intenta compartir un elemento PROTEGIDO externamente, la sugerencia de directiva se muestra en el diálogo de uso compartido:
Si un usuario intenta omitir la directiva DLP mediante, por ejemplo, enviar por correo electrónico un tipo de vínculo más permisivo a un usuario externo, como un vínculo cualquiera, la directiva DLP seguirá desencadenando, generando informes y, si se configura, envía al usuario una notificación DLP.
Impedir la distribución de elementos clasificados de seguridad a través del chat de Teams
Para obtener información sobre el uso de DLP de Microsoft Purview para proteger Microsoft Teams, consulte prevención de pérdidas y Microsoft Teams.
Las actividades de uso compartido de archivos en Teams funcionan a través de vínculos de uso compartido y se pueden proteger mediante la configuración de directiva DLP que se describe para evitar el uso compartido de información clasificada de seguridad.
Un chat de Teams no puede tener una etiqueta de confidencialidad aplicada. Por lo tanto, las directivas DLP basadas en clasificación no son aplicables. Sin embargo, las directivas que detectan información confidencial y marcas de seguridad se describen en limitar el chat externo a través de DLP.
Otros escenarios de uso compartido
En esta sección se describen otros escenarios de uso compartido que las organizaciones gubernamentales consideran aplicables.
¿Qué ocurre si un miembro de una ubicación segura, como un equipo protegido, comparte un elemento de forma inapropiada?
El enfoque de confianza pero comprobación de Microsoft permite a todos los usuarios de un equipo compartir contenido de acuerdo con la directiva de uso compartido de la ubicación. Si se necesitan más restricciones, las opciones incluyen:
La configuración de sitios y grupos de etiquetas de confidencialidad se usa para aplicar directivas de acceso condicional para ubicaciones etiquetadas. El contexto de autenticación también comprueba que el usuario forma parte de un grupo de usuarios autorizados antes de permitir el acceso al contenido en una ubicación etiquetada.
Las ubicaciones etiquetadas se pueden restringir aún más. El uso de PowerShell para establecer la configuración de una etiqueta para poner a
MemberShareNonelos propietarios del sitio o del equipo en control de la distribución de información desde ubicaciones con la etiqueta aplicada. Para obtener más información sobre las restricciones de uso compartido de miembros, consulte Uso compartido de miembros.Barreras de información Los controles de grupo implícitos de Microsoft 365 se pueden usar para bloquear el uso compartido de elementos con miembros que no pertenecen al equipo. Esta funcionalidad es adecuada para situaciones en las que es necesario evitar la comunicación y la colaboración entre grupos de usuarios.
¿Qué ocurre si un usuario mueve un elemento PROTEGIDO a otra ubicación donde el uso compartido es más permisivo?
Si un usuario intenta omitir los controles de acceso y uso compartido moviendo un elemento PROTEGIDO a una ubicación de confidencialidad inferior, como otro equipo donde el uso compartido es más permisivo, haga lo siguiente:
- Se desencadenarán alertas de datos fuera de lugar, lo que advertirá al usuario de la acción.
- Los equipos de seguridad pueden recibir alertas a través de la configuración de alertas de supervisión de datos fuera de lugar.
La configuración de uso compartido de SharePoint se usa para configurar una lista de dominios con los que los usuarios pueden compartir. Una vez configurados, los usuarios no pueden compartir elementos fuera de las organizaciones aprobadas.
Una ubicación de OneDrive podría tener una directiva de uso compartido más permisiva que la que se aplica a una ubicación etiquetada. Para mitigar los riesgos relacionados con el uso compartido de usuarios desde OneDrive para omitir controles basados en la ubicación, las directivas DLP se pueden configurar para limitar el uso compartido de elementos con determinadas etiquetas de OneDrive. Las directivas también se pueden aplicar a través de grupos, lo que permite a los usuarios aprobados compartir elementos etiquetados desde sus ubicaciones de OneDrive con invitados, a la vez que se restringen los usuarios no aprobados.
Importante
Un usuario autorizado para acceder a elementos protegidos puede compartir dichos elementos desde su OneDrive en línea con la configuración global de uso compartido de OneDrive de la organización y la configuración de uso compartido de OneDrive aplicada a su cuenta.
¿Qué ocurre si un insider malintencionado intenta filtrar repetidamente información clasificada de seguridad?
Es probable que un insider malintencionado motivado realice numerosos intentos de circunavigar los controles de seguridad de datos presentados en este artículo. La funcionalidad Administración de riesgos internos de Microsoft se usa para determinar el nivel de riesgo de un usuario en función de su actividad. Insider Risk Management permite a los equipos de seguridad supervisar las secuencias de actividad sospechosas, como:
- Descargar información de ubicaciones de Microsoft 365 y copiarla a USB.
- Reducción o eliminación de la etiqueta de confidencialidad aplicada a un elemento y, a continuación, compartirlo con un usuario externo.
- Ofuscar información que se ha identificado como confidencial y, a continuación, filtrarla a través de un servicio en la nube.
Para obtener recomendaciones sobre las configuraciones de Insider Risk Management pertinentes para las organizaciones gubernamentales australianas, consulte Administración del riesgo interno.
Nota:
Otros métodos de identificación y protección de elementos clasificados de seguridad a través del tipo de información confidencial (SIT) en lugar de la etiqueta de sensibilidad se incluyen en Prevención de la distribución inapropiada de información confidencial.
Impedir la carga de elementos clasificados de seguridad en ubicaciones no administradas
Defender for Cloud Apps es una solución de Microsoft que proporciona visibilidad y control sobre las aplicaciones basadas en SaaS. Ofrece integración con Microsoft Purview a través de dlp y controles de uso compartido de datos.
Defender for Cloud Apps directivas se configuran en la consola de Microsoft 365 Defender en el menúDirectivas deaplicaciones> en la nube. Los administradores pueden crear directivas destinadas a archivos con etiquetas PROTEGIDAs e impedir que se compartan con dominios no aprobados. Esta configuración se alinea con el requisito 77 de PSPF 2024, que indica que los elementos clasificados de seguridad solo deben compartirse con organizaciones aprobadas formalmente:
| Requisito | Detalles |
|---|---|
| Versión 2024 de PSPF: Sección 12: Uso compartido de información: requisito 77 | Un acuerdo o acuerdo, como un contrato o una propiedad, que establece requisitos y protecciones de control, se establece antes de que la información o los recursos clasificados en seguridad se divulguen o compartan con una persona u organización fuera del gobierno. |
Para obtener más información sobre las integraciones entre Defender for Cloud Apps y Microsoft Purview Information Protection, consulte integración de Microsoft Purview Information Protection.
Impedir la copia o impresión de elementos clasificados de seguridad
Las organizaciones gubernamentales deben tener en cuenta los vectores de pérdida de datos que no son servicios basados en Internet, como los que se podrían lograr a través del dispositivo de un usuario. Por ejemplo, situaciones en las que:
- Un usuario copia un elemento PROTEGIDO en una unidad USB sin cifrar, que luego se pierde o se roba.
- Los elementos PROTEGIDOs se copian en un recurso compartido de red local o en una ubicación, lo que no es adecuado para el almacenamiento de elementos protegidos.
- La información contenida en los elementos PROTEGIDOs se copia y pega en un nuevo elemento sin aplicar los mismos controles, lo que permite la filtración de la información.
- Los elementos clasificados de seguridad se imprimen y, a continuación, la copia impresa se pierde o se roba.
La prevención de pérdida de datos de punto de conexión (DLP de punto de conexión) permite que las directivas DLP se apliquen a las acciones del usuario en los puntos de conexión registrados. Para obtener información sobre los procedimientos de incorporación para DLP de punto de conexión, consulte Introducción a DLP de punto de conexión.
Como requisito previo para los controles DLP de EndPoint eficaces, las organizaciones gubernamentales deben limitar los exploradores web solo a aquellos que son compatibles con DLP de Microsoft 365. Chromium es compatible con DLP y Google Chrome y Firefox se pueden hacer conscientes de DLP a través de un complemento de explorador. Para obtener más información sobre la extensión de Chrome de Microsoft Purview, consulte Introducción a la extensión chrome de Microsoft Purview.
Para dirigirse a dispositivos con DLP de punto de conexión, cree una directiva DLP que tenga como ámbito la ubicación Dispositivos .
Al igual que con otros ejemplos de DLP, las directivas se pueden configurar con contenido que contiene, Etiqueta de confidencialidad como condiciones. En Acciones de directiva, puede optar por Auditar, Bloquear con invalidación o Bloquear las siguientes acciones:
- Cargar elemento en un dominio de servicio en la nube restringido (por ejemplo, Google Drive) (común a bloquear en organizaciones gubernamentales)
- Copia del elemento al Portapapeles
- Copiar elemento en un USB extraíble (común a Bloquear con invalidación en organizaciones gubernamentales)
- Copiar en un recurso compartido de red
- Imprimir
- Copiar o mover mediante una aplicación Bluetooth no permitida (común a Bloquear en organizaciones gubernamentales)
- Copiar o mover mediante el Protocolo de Escritorio remoto (común a bloquear en organizaciones gubernamentales)
Nota:
EndPoint DLP permite a las organizaciones configurar una variedad de opciones, incluidas las aplicaciones, las exclusiones de ruta de acceso, los exploradores permitidos, las impresoras permitidas y los dispositivos USB permitidos. Esta configuración se puede usar con directivas para definir situaciones en las que se permite el uso de elementos etiquetados.