Administración y respuesta a infracciones de la directiva de prevención de pérdida de datos

  • 7 minutos

Cuando una alerta de la directiva DLP informa sobre una infracción, puede significar muchas cosas. No todas las alertas significan que la pérdida de datos sea inminente o se haya impedido. Las directivas DLP no tomarán decisiones sobre el motivo por el que se intenta compartir datos protegidos, pero le alertarán si se observa una infracción. La reacción a las infracciones de directivas puede incluir la remisión de problemas al equipo de seguridad y la colaboración estrecha con otras partes interesadas del negocio. Debe conocer el proceso para ponerse en contacto con otros equipos y los mecanismos de seguridad antes de que sea necesario hacerlo.

Por ejemplo, protege la información financiera de su organización para evitar que se compartan los datos de los clientes con terceros. Sin embargo, al final del primer mes, comienza a recibir alertas sobre infracciones de reglas en la directiva de información financiera. Al revisar los informes se muestra un gran número de correos electrónicos del departamento de contabilidad, incluida la información de facturación de los clientes. La directiva reaccionó a la información confidencial del cliente sin tener en cuenta el contexto. El rol de los administradores de cumplimiento es evaluar y valorar las infracciones de directivas y actuar en consecuencia. En este caso, debe aceptar que la información de fin de mes desencadenará alertas porque identifica correctamente los datos protegidos y le informa de este hecho. Es posible que quiera ajustar el recuento de casos de la directiva para reducir el número de alertas, pero este ajuste podría tener efectos negativos en la directiva en otros momentos del mes.

Considere ahora que después creó una directiva de datos personales. Esta directiva muestra un pico de alerta en torno a la misma hora, al final de cada mes, al igual que la directiva de información financiera. Al examinar el nuevo pico de la directiva de datos personales, se aprecia que la infracción sucede en los mismos elementos que la directiva de información financiera. Decide examinar más de cerca los documentos de facturación y observa que incluyen información de identificación personal aparte de lo que es inmediatamente necesario para los documentos de facturación. En este caso, no debe ajustar las directivas para evitar que se desencadene al final del mes. Lo que debe hacer es ponerse en contacto con la parte responsable e identificar si esta información es necesaria en el proceso de negocio actual. Si no es así, pregunte por qué se creó en primer lugar.

Una solución técnica a este problema consistiría en permitir que el departamento de contabilidad invalide la acción de bloqueo de la directiva de datos personales. Sin embargo, la implementación de esta solución supondría un aumento del tiempo de procesamiento para el envío de la información de facturación. El motivo es que necesitarían invalidar manualmente cada coincidencia de directiva, lo que agrega pasos adicionales al flujo de trabajo. Si no puede trabajar con el departamento de contabilidad para reducir la cantidad de datos personales compartidos, todavía tiene opciones para solucionar el problema. Un enfoque consiste en ajustar la sensibilidad, el recuento de instancias o las exclusiones de la directiva. Al hacerlo, puede reducir el número de alertas generadas al final de cada mes.

Los informes de DLP también pueden ayudarle a identificar los usuarios que crean un gran número de coincidencias. Puede haber varios motivos y su rol como administrador de cumplimiento es evaluar si las coincidencias son benignas o malintencionadas. Por ejemplo, un usuario del departamento de contabilidad podría generar un gran número de coincidencias al final de cada mes debido a la directiva de información financiera y al proceso de negocio mensual de envío de información de facturación. Lo más probable es que esta situación sea inofensiva, pero debe echar un vistazo más de cerca a todos los casos de un número elevado de alertas. Los usuarios que conocen estas directivas han adquirido conocimientos sobre ellas a través de sugerencias de directiva o colaborando con usted en su creación. Como resultado, podrían aprovechar este conocimiento para compartir intencionadamente información que no deben compartir. Si un usuario malintencionado decide enviar información financiera, podría usar el final del mes para ocultar los mensajes malintencionados entre los mensajes legítimos del proceso empresarial.

También puede usar los informes para que los usuarios puedan ayudarle con el perfeccionamiento de las directivas DLP. Para tal fin, puede usar el informe de invalidaciones y falsos positivos de DLP. Si permite a los usuarios la posibilidad de anular mediante una justificación comercial, no solo se hacen responsables al elegir la anulación, sino que también puede revisar el motivo que la justifica. Gracias a este enfoque, puede identificar los procesos empresariales que pueden garantizar un ajuste en la directiva o en el propio proceso de negocio.

Por ejemplo, ha abierto el informe de invalidaciones y falsos positivos y observa un número elevado de falsos positivos en la directiva de número de identificación fiscal. Al abrir los detalles de estos falsos positivos, se da cuenta de que los números internos de sus productos se parecen a los números de identificación fiscal europeos. Como consecuencia, los usuarios notifican estas coincidencias como falsos positivos.

Configuración de exclusiones de reglas de DLP

Ha decidido ajustar la directiva DPL de número de identificación fiscal para excluir los casos en los que coincida con el tipo de información confidencial personalizado de número de producto. Para realizar este ajuste, siga estos pasos:

  1. En el portal de cumplimiento de Microsoft Purview, expanda Prevención de pérdida de datos y, luego, seleccione Directivas.

  2. Compruebe la directiva de número de identificación fiscal y seleccione Editar directiva.

  3. Seleccione Siguiente hasta llegar a la página Personalizar reglas DLP avanzadas y edite la regla que crea numerosos falsos positivos.

  4. En la condición creada que necesita una exclusión, seleccione Agregar grupo.

  5. Para crear una excepción, seleccione el control deslizante de No para asegurarse de que la condición no tenga en cuenta esas condiciones en el grupo.

  6. En el menú desplegable, seleccione El contenido incluye.

  7. Seleccione Agregar y seleccione Tipos de información confidencial.

  8. En el menú emergente de la derecha, seleccione el tipo de información de número de producto personalizado y elija Agregar.

  9. Seleccione Guardar.

  10. Seleccione Siguiente dos veces, revise la directiva y elija Enviar.

Siguiendo estos pasos, puede reducir el número de falsos positivos generados por la directiva. Ya no se aplica cuando identifica los números de producto en el contenido compartido de los usuarios.

Si un usuario malintencionado está al tanto de los indicadores de coincidencia, puede utilizarlos para crear una coincidencia en la exclusión de los números de producto y eludir las acciones de protección de esta regla mediante la inclusión intencionada de una exclusión de coincidencia.