Planear la prevención de pérdida de datos (DLP)

Cada organización planea e implementa la prevención de pérdida de datos (DLP) de forma diferente. ¿Por qué? Porque las necesidades empresariales, los objetivos, los recursos y la situación de cada organización son únicos. Sin embargo, hay elementos que son comunes a todas las implementaciones de DLP correctas. En este artículo se presentan los procedimientos recomendados para planear una implementación DLP.

Sugerencia

Si no es cliente de E5, use la prueba de soluciones de Microsoft Purview de 90 días para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de datos. Comience ahora en el centro de pruebas de portal de cumplimiento Microsoft Purview. Obtenga más información sobre los términos de suscripción y evaluación.

Antes de empezar

Si no está familiarizado con DLP de Microsoft Purview, esta es una lista de los artículos principales que necesita al implementar DLP:

1. Administrative units
2. Más información sobre Prevención de pérdida de datos de Microsoft Purview: en el artículo se presenta la materia de prevención de pérdida de datos y la implementación de DLP por parte de Microsoft.
3. Planear la prevención de pérdida de datos (DLP): al trabajar en el artículo que está leyendo ahora, hará lo siguiente:
   1. Identificación de las partes interesadas
   2. Describir las categorías de información confidencial que se van a proteger
   3. Establecer objetivos y estrategias
4. Referencia de directiva de prevención de pérdida de datos: en este artículo se presentan todos los componentes de una directiva DLP y cómo influye cada uno en el comportamiento de una directiva.
5. Diseñar una directiva DLP : este artículo le guiará a través de la creación de una instrucción de intención de directiva y su asignación a una configuración de directiva específica.
6. Crear e implementar directivas de prevención de pérdida de datos : en este artículo se presentan algunos escenarios de intención de directiva comunes que se asignarán a las opciones de configuración. A continuación, le guiará a través de la configuración de esas opciones.
7. Más información sobre la investigación de alertas de prevención de pérdida de datos : en este artículo se presenta el ciclo de vida de las alertas desde la creación hasta la corrección final y el ajuste de directivas. También le presenta las herramientas que usa para investigar alertas.

Varios puntos de partida

Muchas organizaciones optan por implementar DLP para cumplir con diversas regulaciones gubernamentales o del sector. Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la Ley de Portabilidad y Responsabilidad de Seguros De Salud (HIPAA) o la Ley de Privacidad del Consumidor de California (CCPA). También implementan la prevención de pérdida de datos para proteger su propiedad intelectual. Sin embargo, el lugar de inicio y el destino final del recorrido DLP varían.

Las organizaciones pueden iniciar su recorrido DLP desde varios puntos diferentes:

• Con un enfoque de plataforma, como querer proteger la información en mensajes de chat y canal de Teams o en Windows 10 o 11 dispositivos
• Conocer la información confidencial que quieren priorizar para proteger, como los registros de atención médica, y ir directamente a definir directivas para protegerla
• Sin saber cuál es su información confidencial, dónde está o quién está haciendo qué con ella; por lo tanto, comienzan con la detección y categorización y adoptan un enfoque más metódico
• Sin saber cuál es su información confidencial, dónde está o quién está haciendo qué con ella, van directamente a definir directivas y luego a usar esos resultados para refinarlas
• Saber que necesitan implementar la pila de Microsoft Purview Information Protection completa y un plan para adoptar un enfoque metódico a más largo plazo

Estos son solo algunos ejemplos de cómo los clientes pueden acercarse a DLP. No importa de dónde empieces; DLP es lo suficientemente flexible como para dar cabida a varios tipos de recorridos de protección de la información desde el principio hasta una estrategia de prevención de pérdida de datos totalmente realizada.

Introducción al proceso de planeación

En Learn about Prevención de pérdida de datos de Microsoft Purview se presentan los tres aspectos diferentes del proceso de planeación DLP. Aquí se detallan más los elementos que son comunes a todos los planes DLP.

Identificación de las partes interesadas

Cuando se implementa, las directivas DLP se pueden aplicar en grandes partes de la organización. El departamento de TI no puede desarrollar un plan amplio por sí solo sin consecuencias negativas. Debe identificar a las partes interesadas que pueden:

• las regulaciones, las leyes y los estándares del sector a los que está sujeta su organización
• las categorías de elementos confidenciales que se van a proteger
• los procesos empresariales en los que se usan
• el comportamiento de riesgo que debe limitarse
• priorizar qué datos deben protegerse primero, en función de la confidencialidad de los elementos y el riesgo implicados
• describir el proceso de revisión y corrección de eventos de coincidencia de directiva DLP

En general, estas necesidades tienden a ser un 85 % de protección normativa y de cumplimiento y un 15 % de protección de la propiedad intelectual. Estas son algunas sugerencias sobre los roles que se van a incluir en el proceso de planeamiento:

• Oficiales de cumplimiento y reglamentación
• Director de riesgos
• Oficiales legales
• Agentes de seguridad y cumplimiento
• Propietarios empresariales de los elementos de datos
• Usuarios empresariales
• TI

Describir las categorías de información confidencial que se van a proteger

Una vez identificados, las partes interesadas describen las categorías de información confidencial que se van a proteger y los procesos empresariales en los que se usan. Por ejemplo, DLP define estas categorías:

• Financiera
• Información médica y de salud
• Privacidad
• Personalizado

Las partes interesadas podrían identificar la información confidencial como "Somos un procesador de datos, por lo que tenemos que implementar protecciones de privacidad sobre la información del interesado y la información financiera".

Establecer objetivos y estrategias

Una vez que haya identificado a las partes interesadas, sepa qué información confidencial necesita protección y dónde se usa, las partes interesadas pueden establecer sus objetivos de protección y TI puede desarrollar un plan de implementación.

Establecer plan de implementación

El plan de implementación debe incluir:

• un mapa del estado inicial, el estado final deseado y los pasos para pasar de uno a otro
• un plan para abordar la detección de elementos confidenciales
• un plan para desarrollar directivas y el orden en que las implementará
• un plan para abordar los requisitos previos
• un plan para simular directivas antes de implementarlas para su aplicación
• un plan para entrenar a los usuarios finales
• un plan para ajustar las directivas
• un plan de cómo revisará y actualizará la estrategia de prevención de pérdida de datos en función de las cambiantes necesidades normativas, legales, estándar del sector o de protección de la propiedad intelectual y empresariales.

Asignación de la ruta de acceso desde el inicio hasta el estado final deseado

Documentar cómo va a obtener su organización desde su estado inicial hasta el estado final deseado es esencial para comunicarse con las partes interesadas y establecer el ámbito del proyecto. Este es un conjunto de pasos que se usan normalmente para implementar DLP. Querrá más detalles de los que muestra el gráfico, pero puede usarlo para enmarcar la ruta de adopción dlp.

Detección de elementos confidenciales

Hay varias maneras de descubrir qué elementos confidenciales individuales son y dónde se encuentran. Es posible que ya tenga etiquetas de confidencialidad implementadas o que haya decidido implementar una directiva DLP amplia en todas las ubicaciones que solo detectan y auditan elementos. Para obtener más información, consulte Conocer los datos.

Planeamiento de directivas

Al comenzar la adopción de DLP, puede usar estas preguntas para centrar los esfuerzos de diseño e implementación de directivas.

¿Qué leyes, regulaciones y estándares del sector debe cumplir su organización?

Dado que muchas organizaciones llegan a DLP con el objetivo de cumplimiento normativo, responder a esta pregunta es un lugar de partida natural para planear la implementación de DLP. Sin embargo, como implementador de TI, probablemente no esté en posición de responder a ella. En su lugar, debe consultar a su equipo legal y ejecutivos empresariales para obtener una respuesta.

Ejemplo Su organización está sujeta a las regulaciones financieras del Reino Unido.

¿Qué elementos confidenciales debe proteger su organización frente a las pérdidas?

Una vez que sepa dónde se encuentra su organización en términos de las necesidades de cumplimiento normativo, tendrá alguna idea de qué elementos confidenciales deben protegerse frente a pérdidas. También tendrá una idea sobre cómo desea priorizar la implementación de directivas para proteger esos elementos. Este conocimiento le ayuda a elegir las plantillas de directiva DLP más adecuadas. Microsoft Purview incluye plantillas DLP preconfiguradas para las plantillas de directiva financiera, médica y sanitaria y de privacidad. Además, puede crear los suyos propios mediante la plantilla Personalizada. A medida que diseña y crea las directivas DLP reales, tener un conocimiento práctico de los elementos confidenciales que necesita proteger le ayuda a elegir el tipo de información confidencial adecuado.

Ejemplo Para empezar a trabajar rápidamente, puede elegir la plantilla de directiva preconfigurada U.K. Financial Data , que incluye los Credit Card Numbertipos de información confidencial , EU Debit Card Numbery SWIFT Code .

Cómo desea que las directivas se establezcan en el ámbito

Si su organización ha implementado unidades administrativas, puede limitar las directivas DLP por unidad administrativa o dejar el ámbito predeterminado, que aplica las directivas al directorio completo. Para obtener más información, vea Ámbito de directivas.

¿Dónde están los elementos confidenciales y en qué procesos empresariales participan?

Los elementos que contienen la información confidencial de su organización se usan todos los días en el curso de la actividad empresarial. Debe saber dónde pueden producirse las instancias de esa información confidencial y en qué procesos empresariales se usan. Saber esto le ayuda a elegir las ubicaciones adecuadas para aplicar las directivas DLP. Las directivas DLP se pueden aplicar a las siguientes ubicaciones:

• Correo electrónico de Exchange
• Sitios de SharePoint
• Cuentas de OneDrive
• Mensajes de canales y chats de Teams
• dispositivos Windows 10, 11 y macOS
• Microsoft Defender for Cloud Apps
• Repositorios locales

Ejemplo Los auditores internos de su organización están realizando un seguimiento de un conjunto de números de tarjeta de crédito. Mantienen una hoja de cálculo de ellos en un sitio seguro de SharePoint. Varios de los empleados realizan copias y las guardan en su sitio de OneDrive de trabajo, que se sincroniza con su dispositivo Windows 10. Uno de estos empleados pega una lista de 14 números de tarjeta de crédito en un correo electrónico e intenta enviarlo a los auditores externos para su revisión. En este caso, querrá aplicar la directiva al sitio seguro de SharePoint, a todas las cuentas internas de OneDrive de auditores, a sus dispositivos Windows 10 y al correo electrónico de Exchange.

¿Cuál es la tolerancia de su organización a la fuga?

Los distintos grupos de su organización pueden tener vistas diferentes sobre lo que cuenta como un nivel aceptable de pérdida de elementos confidenciales. Lograr la perfección de la fuga cero puede suponer un costo demasiado alto para el negocio.

Ejemplo Tanto el grupo de seguridad como el equipo legal de su organización consideran que no debe haber ningún uso compartido de números de tarjeta de crédito con nadie fuera de la organización. Insisten en cero fugas. Sin embargo, como parte de su revisión periódica de la actividad de número de tarjeta de crédito, los auditores internos deben compartir algunos números de tarjetas de crédito con auditores de terceros. Si la directiva DLP prohíbe el uso compartido de números de tarjeta de crédito fuera de la organización, habrá una interrupción significativa del proceso empresarial y un costo adicional para mitigar la interrupción para que los auditores internos completen su seguimiento. Este costo adicional es inaceptable para la dirección ejecutiva. Para resolver este problema, debe haber una conversación interna para decidir un nivel aceptable de pérdida. Una vez que se decida, la directiva puede proporcionar excepciones para que determinados usuarios compartan la información, o bien, se puede aplicar en modo de solo auditoría.

Importante

Para obtener información sobre cómo crear una instrucción de intención de directiva y asignarla a configuraciones de directiva, consulte Diseño de una directiva de prevención de pérdida de datos.

Planeamiento de requisitos previos

Para poder supervisar algunas ubicaciones DLP, se deben cumplir los requisitos previos. Consulte las secciones Antes de comenzar de los artículos siguientes:

• Introducción al examinador de prevención de pérdida de datos en el entorno local
• Introducción a la prevención de pérdida de datos en punto de conexión
• Introducción a la extensión de cumplimiento de Microsoft
• Uso de directivas de prevención de pérdida de datos para aplicaciones en la nube que no son de Microsoft

Implementación de directivas

Al crear las directivas DLP, debe considerar la posibilidad de implementarlas gradualmente, de modo que pueda evaluar su impacto y probar su eficacia antes de aplicarlas por completo. Por ejemplo, no quiere que una nueva directiva DLP bloquee involuntariamente el acceso a miles de documentos o interrumpa un proceso empresarial existente.

Si está creando directivas DLP con un gran impacto potencial, se recomienda seguir esta secuencia:

1. Ejecute la directiva en modo simulatán, sin sugerencias de directiva y, a continuación, use los informes DLP y los informes de incidentes para evaluar el impacto de las directivas. Los informes DLP le sirven para ver el número, la ubicación, el tipo y la gravedad de las coincidencias de directivas. En función de los resultados, puede ajustar las directivas según sea necesario. En el modo de simulación, las directivas DLP no afectarán a la productividad de las personas que trabajan en su organización. También es bueno usar esta fase para probar el flujo de trabajo para la revisión de eventos DLP y la corrección de problemas.

2. Ejecute la directiva en modo de simulación con notificaciones y sugerencias de directiva para que pueda empezar a enseñar a los usuarios sobre las directivas de cumplimiento y prepararlas para cuando se apliquen las directivas. Es útil tener un vínculo a una página de directiva de organización que proporcione más detalles sobre la directiva en la sugerencia de directiva. En esta fase, también puede pedir a los usuarios que notifiquen falsos positivos, de modo que pueda refinar aún más las condiciones y reducir el número de falsos positivos. Pase a esta fase una vez que tenga confianza en que los resultados de la aplicación de las directivas coinciden con lo que tenían en mente las partes interesadas.

3. Inicie la aplicación completa de directivas para que se apliquen las acciones de las reglas y se proteja el contenido. Continúe supervisando los informes DLP y los informes de incidentes o las notificaciones para asegurarse de que los resultados sean los deseados.

Aprendizaje para usuarios finales

Puede configurar las directivas para que, cuando se desencadene una directiva DLP, las notificaciones por correo electrónico se envíen automáticamente y se muestren sugerencias de directiva a los administradores y usuarios finales. Las sugerencias de directiva son formas útiles de concienciar sobre comportamientos de riesgo en elementos confidenciales y entrenar a los usuarios para evitar esos comportamientos en el futuro.

Revisión de los requisitos de DLP y la estrategia de actualización

Las regulaciones, las leyes y los estándares del sector a los que está sujeta su organización cambiarán con el tiempo, al igual que sus objetivos empresariales para DLP. Asegúrese de incluir revisiones periódicas de todas estas áreas para que su organización se mantenga en cumplimiento y para que la implementación dlp continúe a la hora de satisfacer sus necesidades empresariales.

Enfoques para la implementación

Descripción de las necesidades empresariales del cliente	Enfoque
Contoso Bank está en un sector altamente regulado y tiene muchos tipos diferentes de elementos confidenciales en muchas ubicaciones diferentes. Contoso: - sabe qué tipos de información confidencial son de máxima prioridad - debe minimizar la interrupción del negocio a medida que se implementan las directivas - ha implicado a los propietarios de procesos empresariales - tiene recursos de TI y puede contratar expertos para ayudar a planear, diseñar e implementar - tiene un contrato de soporte técnico premier con Microsoft.	- Tómese tiempo para comprender qué regulaciones deben cumplir y cómo van a cumplir. - Tómese tiempo para comprender el valor "mejor juntos" de la pila de Microsoft Purview Information Protection: desarrollar un esquema de etiquetado de confidencialidad para los elementos con prioridad y aplicarlo : diseñar y aplicar directivas de código, implementarlos en modo de simulación y entrenar a los usuarios : repetir y refinar directivas
TailSpin Toys no sabe qué datos confidenciales tienen o dónde están, y tienen poca o ninguna profundidad de recursos. Usan Teams, OneDrive e Exchange ampliamente.	- Comience con directivas sencillas en las ubicaciones prioritarias. - Supervisión de lo que se identifica : aplicar etiquetas de confidencialidad en consecuencia : Refinar directivas y entrenar a los usuarios
Fabrikam es una pequeña startup. Quieren proteger su propiedad intelectual y deben moverse rápidamente. Están dispuestos a dedicar algunos recursos, pero no pueden permitirse contratar expertos externos. Otras consideraciones: - Los elementos confidenciales están todos en Microsoft 365 OneDrive / SharePoint : la adopción de OneDrive y SharePoint es lenta. Muchos empleados siguen usando DropBox y Google Drive para almacenar y compartir elementos : los empleados valoran la velocidad del trabajo sobre la materia de protección de datos: los 18 empleados tienen nuevos dispositivos Windows.	- Aprovechar las ventajas de la directiva DLP predeterminada en Teams : use la opción "restringido de forma predeterminada" para elementos de SharePoint: implementar directivas que impidan el uso compartido externo: implementar directivas en ubicaciones con prioridad: implementar directivas en dispositivos Windows: bloquear cargas en soluciones de almacenamiento en la nube distintas de OneDrive

Siguientes pasos

Importante

Para más información sobre la implementación de directivas DLP, consulte Implementación

Consulte también

• Obtenga más información acerca de la prevención contra la pérdida de datos