Establecimiento de una estrategia de DLP

  • Artículo

Las directivas de prevención de pérdida de datos (DLP) actúan como medidas de seguridad para ayudar a evitar que los usuarios expongan accidentalmente los datos de la organización y para proteger la seguridad de la información en el inquilino. Las directivas DLP imponen reglas para qué conectores están habilitados para cada entorno y qué conectores se pueden usar juntos. Los conectores se clasifican como solo datos profesionales, no se permiten datos profesionales o bloqueados. Un conector en el grupo de solo datos profesionales solo se podrá usar con otros conectores de ese grupo en la misma aplicación o flujo. Más información: Administrar Microsoft Power Platform: directivas de prevención de pérdida de datos

El establecimiento de sus directivas DLP irán de la mano de su estrategia de entorno.

Algunos datos

  • Las directivas de directivas de prevención de pérdida de datos (DLP) actúan como barreras de protección para ayudar a evitar que los usuarios expongan involuntariamente los datos.
  • Las directivas DLP pueden acotarse en el nivel de entorno e inquilino, lo que ofrece flexibilidad para elaborar directivas que sean sensatas y no bloqueen la alta productividad.
  • Las directivas DLP para entornos no pueden reemplazar las directivas DLP para todos los inquilinos.
  • Si se configuran varias directivas para un entorno, la directiva más restrictiva se aplica a la combinación de conectores.
  • De manera predeterminada, no se implementan directivas DLP en el inquilino.
  • Las directivas no se pueden aplicar en el nivel de usuario, solo en el nivel de entorno o inquilino.
  • Las directivas DLP son compatibles con el conector, pero no controlan las conexiones que se realizan mediante el conector, es decir, las directivas DLP no saben si utiliza el conector para conectarse a un entorno de desarrollo, de prueba o de producción.
  • Los conectores de administración y PowerShell pueden administrar directivas.
  • Los usuarios de recursos en entornos pueden ver las directivas que se aplican.

Clasificación de conectores

Las clasificaciones empresariales y no empresariales establecen límites en torno a los conectores que se pueden usar juntos en una aplicación o flujo determinados. Los conectores se pueden clasificar en los siguientes grupos mediante directivas DLP:

  • Empresariales: un recurso de Power Automate o Power Apps puede usar uno o más conectores de un grupo empresarial. Si un recurso de Power Apps o Power Automate usa un conector empresarial, no puede utilizar ningún conector que no sea empresarial.
  • No empresariales: un recurso de Power Apps o Power Automate puede usar uno o más conectores de un grupo no empresarial. Si un recurso de Power Apps o Power Automate usa un conector no empresarial, no puede utilizar ningún conector empresarial.
  • Bloqueados: ningún recurso de Power Automate o Power Apps puede usar un conector de un grupo bloqueado. Todos los conectores premium propiedad de Microsoft y conectores de terceros (estándar y premium) se pueden bloquear. No se puede bloquear ningún conector estándar propiedad de Microsoft ni ningún conector de Common Data Service.

Los nombres "empresariales" y "no empresariales" no tienen ningún significado especial; son simplemente etiquetas. La agrupación de los conectores en sí es importante, no el nombre del grupo en el que se encuentran.

Más información: Administrar Microsoft Power Platform: clasificación de conectores

Estrategias para crear directivas DLP

Como administrador que asume el control de un entorno o empieza a ofrecer soporte para el uso de Power Apps y Power Automate, las directivas DLP deben ser una de las primeras cosas que configure. Esto garantiza que exista un conjunto básico de directivas. Después puede centrarse en controlar las excepciones y en crear directivas DLP específicas que implementen estas excepciones una vez aprobadas.

Se recomienda el siguiente punto de partida para las directivas DLP para entornos compartidos de productividad de usuarios y equipos:

  • Cree una directiva que abarque todos los entornos excepto los seleccionados (por ejemplo, sus entornos de producción), mantenga los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar y bloquee el acceso a todo lo demás. Esta directiva se aplicará al entorno predeterminado y a los entornos de formación que tenga para ejecutar eventos de formación internos. Además, esta directiva también se aplicará a cualquier entorno nuevo que se cree.
  • Cree directivas DLP adecuadas y más permisivas para sus entornos compartidos de productividad de usuarios y equipos. Estas directivas podrían permitir a los creadores usar conectores como servicios de Azure además de servicios de Office 365. Los conectores disponibles en estos entornos dependerán de su organización y del lugar en que su organización almacene los datos empresariales.

Se recomienda el siguiente punto de partida para las directivas DLP para entornos de producción (unidad de negocio y proyecto):

  • Excluya esos entornos de las directivas de productividad compartidas de equipos y usuarios.
  • Trabaje con la unidad de negocio y el proyecto para establecer qué conectores y combinaciones de conectores usarán y cree una directiva de inquilinos para incluir solo los entornos seleccionados.
  • Los administradores de esos entornos pueden usar directivas de entorno para clasificar conectores personalizados como solo datos empresariales, si es necesario.

Además de lo anterior, también se recomienda:

  • Crear un número mínimo de directivas por entorno. No existe una jerarquía estricta entre las directivas de inquilino y entorno, y en el diseño y el tiempo de ejecución, todas las directivas que son aplicables al entorno en el que se encuentra la aplicación o el flujo se evalúan juntas para decidir si el recurso cumple o infringe las directivas DLP. Varias directivas DLP aplicadas a un entorno fragmentarán el espacio de su conector de maneras complicadas y podrían dificultar la comprensión de los problemas a los que se enfrentan sus creadores.
  • Administrar centralmente las directivas DLP mediante directivas de nivel de inquilino y usar directivas de entorno solo para clasificar conectores personalizados o en casos excepcionales.

Con esto implementado, planifique la manera de tratar las excepciones. Es posible:

  • Denegar la solicitud.
  • Agregar el conector a la directiva DLP predeterminada.
  • Agregue los entornos a la lista Todos excepto para la DLP predeterminada global y cree una directiva DLP específica del caso de uso con la excepción incluida.

Ejemplo: estrategia de DLP de Contoso

Veamos cómo Contoso Corporation, nuestra organización de ejemplo para esta guía, configuró sus directivas DLP. La configuración de sus directivas DLP está estrechamente relacionada con su estrategia de entorno.

Los administradores de Contoso desean admitir aplicaciones empresariales y escenarios de productividad de equipos y usuarios, además de la administración de actividades del Centro de excelencia (CoE).

La estrategia de entorno y DLP que los administradores de Contoso han aplicado aquí consta de:

  1. Una directiva DLP restrictiva para todo el inquilino que se aplica a todos los entornos del inquilino, excepto a algunos entornos específicos que han excluido del ámbito de la directiva. Los administradores tienen la intención de mantener los conectores disponibles en esta directiva limitados a Office 365 y otros microservicios estándar bloqueando el acceso a todo lo demás. Esta directiva también se aplicará al entorno predeterminado.

  2. Los administradores de Contoso han creado otro entorno compartido para que los usuarios creen aplicaciones para casos de uso de productividad de usuarios y equipos. Este entorno tiene una directiva DLP de nivel de inquilino asociada que no es tan reacia al riesgo como una directiva predeterminada y permite a los creadores usar conectores como los servicios de Azure además de los servicios de Office 365. Debido a que este es un entorno no predeterminado, los administradores pueden controlar activamente la lista de creadores del entorno para él. Se trata de un enfoque por niveles para el entorno de productividad compartido de usuarios y equipos y la configuración de DLP asociada.

  3. Además, para que las unidades de negocios creen aplicaciones de línea de negocios, han creado entornos de desarrollo, prueba y producción para sus subsidiarias de impuestos y auditoría en varios países o regiones. El acceso del creador del entorno a estos entornos se administra cuidadosamente, y los conectores apropiados propios y de terceros están disponibles mediante directivas DLP a nivel de inquilino en consulta con las partes interesadas de la unidad de negocio.

  4. De manera similar, los entornos de desarrollo, pruebas y producción se crean para que el departamento de TI central los utilice para desarrollar e implementar aplicaciones adecuadas o relevantes. Estos escenarios de aplicaciones empresariales suelen tener un conjunto bien definido de conectores que deben estar disponibles para los creadores, evaluadores y usuarios en estos entornos. El acceso a estos conectores se administra mediante una directiva de nivel de inquilino dedicada.

  5. Contoso también tiene un entorno de finalidad especial dedicado a sus actividades del Centro de excelencia. En Contoso, la directiva DLP para el entorno de propósito especial seguirá siendo personalizada dada la naturaleza experimental del libro de equipos de teoría. En este caso, los administradores de inquilinos han delegado la administración de DLP para este entorno directamente a un administrador de entorno confiable del equipo de CoE y lo han excluido de una escuela de todas las directivas de nivel de inquilino. Este entorno solo se administra mediante la directiva DLP de nivel de entorno, que es una excepción y no la regla en Contoso.

Como se esperaba, cualquier entorno nuevo que se cree en Contoso se asignará a la directiva original de todos los entornos.

Esta configuración de directivas DLP centradas en el inquilino no impide que los administradores del entorno creen sus propias directivas DLP de nivel de entorno, si desean introducir restricciones adicionales o clasificar conectores personalizados.

Cómo configura Contoso su directiva DLP.

Configurar directivas DLP

  1. Cree su directiva en el centro de administración de Power Platform. Más información: Crear una directiva DLP

  2. Utilice el SDK de DLP para agregar conectores personalizados a una directiva DLP.

Comunique con claridad las directivas DLP de su organización a los creadores

Configure un sitio o wiki de SharePoint que comunique claramente:

  • Directivas DLP de nivel de inquilino y de nivel de entorno clave (por ejemplo, entorno predeterminado, entorno de prueba) aplicadas en la organización, incluidas listas de conectores clasificadas como empresariales, no empresariales y bloqueadas.
  • El id. de correo electrónico de su grupo de administración para que los creadores puedan ponerse en contacto en situaciones de excepción. Por ejemplo, los administradores pueden ayudar a los creadores a volver al cumplimiento editando una directiva DLP existente, moviendo la solución a un entorno diferente, creando un nuevo entorno y una nueva directiva DLP, y trasladando al creador y al recurso a este nuevo entorno.

Comunique también claramente la estrategia del entorno de la organización a los creadores.