Privacidad y protección de datos: protección y control de datos
Bienvenido al paso 2 de administración de la privacidad de los datos y la protección de datos con Microsoft Priva y Microsoft Purview: Proteger y controlar los datos.
Cuando sepa qué datos personales tiene, dónde están y sus requisitos normativos, es el momento de poner las cosas en práctica para proteger esos datos. Microsoft proporciona funcionalidades completas y sólidas para ayudarle a proteger los datos personales de dos maneras:
- Características que los administradores de TI configuran para clasificar elementos confidenciales y tomar medidas de protección, y
- Características que permiten a los empleados detectar y corregir problemas de privacidad de datos rápidamente y recibir formación sobre prácticas de control de datos sólidas.
Acciones a tomar
| Acción | Descripción | Obtener detalles |
|---|---|---|
| Identifique los tipos de información confidencial para que sepa qué necesita protección. | La identificación y categorización de elementos confidenciales administrados por su organización es el primer paso en la materia de Information Protection. Microsoft Purview proporciona tres formas de identificar elementos para que los usuarios puedan clasificarlos manualmente, b) el reconocimiento automatizado de patrones, como los tipos de información confidencial y c) el aprendizaje automático. Los tipos de información confidencial (SIT) son clasificadores basados en patrones. Detectan información confidencial como el seguro social, la tarjeta de crédito o los números de cuenta bancaria para identificar elementos confidenciales. |
Más información sobre los tipos de información confidencial Ver la lista completa de tipos de información confidencial |
| Clasifique y etiquete el contenido para que pueda aplicar características para protegerlo. | Categorizar y etiquetar el contenido para que pueda protegerse y controlarse correctamente es el punto de partida para la materia de protección de la información. Microsoft 365 tiene tres maneras de clasificar el contenido. | Más información sobre los clasificadores que se pueden entrenar |
| Aplique etiquetas de confidencialidad para proteger los datos, incluso si se desplazan. | Cuando haya identificado los datos confidenciales, querrá protegerlos. Esto suele ser un desafío cuando las personas colaboran con otros, tanto dentro como fuera de la organización. Esos datos pueden recorrerse por todas partes, entre dispositivos, aplicaciones y servicios. Y cuando se desplaza, quiere que lo haga de forma segura y protegida que cumpla las directivas de cumplimiento y negocios de su organización. Las etiquetas de confidencialidad de Microsoft Purview Information Protection le permiten clasificar y proteger los datos de su organización, a la vez que se asegura de que la productividad de los usuarios y su capacidad de colaboración no se vean obstaculizadas. |
Más información sobre las etiquetas de confidencialidad |
| Use directivas de prevención de pérdida de datos para evitar el uso compartido de datos personales. | Las organizaciones tienen información confidencial bajo su control, como datos financieros, datos propietarios, números de tarjetas de crédito, registros de salud o números de seguridad social. Para ayudar a proteger la información confidencial y reducir el riesgo, necesitan una manera de evitar que sus usuarios la compartan de forma inapropiada con personas que no deberían tenerla. Esta práctica se denomina prevención de pérdida de datos. Con Prevención de pérdida de datos de Microsoft Purview, se implementa la prevención de pérdida de datos mediante la definición y aplicación de directivas DLP para identificar, supervisar y proteger automáticamente elementos confidenciales en los servicios de Microsoft 365, como Teams, Exchange, SharePoint y OneDrive; Aplicaciones de Office como Word, Excel y PowerPoint; Windows 10, Windows 11 y macOS (la versión actual y las dos versiones anteriores de macOS) puntos de conexión; aplicaciones en la nube que no son de Microsoft, recursos compartidos de archivos locales y SharePoint local. Esta solución DLP detecta elementos confidenciales mediante el análisis profundo de contenido, no solo mediante un simple examen de texto. El contenido se analiza para buscar coincidencias de datos principales con palabras clave, mediante la evaluación de expresiones regulares, mediante la validación de funciones internas y por coincidencias de datos secundarios que están cerca de la coincidencia de datos principal. Además, DLP también usa algoritmos de aprendizaje automático y otros métodos para detectar contenido que coincida con las directivas DLP. |
Más información sobre la prevención de pérdida de datos |
| Controlar los datos de Microsoft 365 para cumplir los requisitos normativos | Los controles de gobernanza de la información se pueden usar en su entorno para ayudar a abordar las necesidades de cumplimiento de la privacidad de los datos, incluido un número específico del Reglamento General de Protección de Datos (RGPD), HIPAA-HITECH (el Estados Unidos ley de privacidad del cuidado de la salud), la Ley de protección del consumidor de California (CCPA) y la Ley de protección de datos de Brasil (LGPD). Administración del ciclo de vida de Microsoft Purview y Administración de registros de Microsoft Purview proporcionan estos controles en forma de directivas de retención, etiquetas de retención y funcionalidades de administración de registros. | Aprenda a implementar una solución de gobernanza de datos con Microsoft Purview |
| Configurar el almacenamiento seguro de datos personales en Microsoft Teams. | Si tiene previsto almacenar datos personales altamente confidenciales en Teams, puede configurar un equipo privado y usar una etiqueta de confidencialidad configurada específicamente para proteger el acceso al equipo y a los archivos que contiene. | Más información sobre la configuración de un equipo con aislamiento de seguridad |
| Permitir a los usuarios detectar posibles riesgos y corregir problemas. | Cree directivas de control de datos en Administración de riesgo de privacidad Priva para que los usuarios puedan identificar inmediatamente los riesgos en los datos que crean y administran. Los correos electrónicos de notificación alertan a los usuarios cuando transfieren elementos con datos personales dentro de nuestro exterior de la organización, hacen que el contenido sea demasiado accesible o mantenga los datos personales durante demasiado tiempo. Las notificaciones solicitan a los usuarios que tomen medidas de corrección inmediatas para proteger los datos personales y contengan vínculos al entrenamiento de privacidad preferido de su organización. |
Más información sobre la administración de riesgos de privacidad Creación de una directiva para evitar transferencias de datos, sobreexposición o acumulación Configuración de notificaciones para que los usuarios corrijan problemas con el contenido que controlan |
| Use la administración de registros para elementos de alto valor que se deben administrar para los requisitos empresariales, legales o normativos de mantenimiento de registros. | Un sistema de administración de registros es una solución para que las organizaciones administren registros normativos, legales y críticos para la empresa. Administración de registros de Microsoft Purview ayuda a una organización a administrar sus obligaciones legales, proporciona la capacidad de demostrar el cumplimiento de las regulaciones y aumenta la eficacia con la eliminación regular de los elementos que ya no tienen que conservarse, ya no tienen valor o ya no son necesarios para fines empresariales. |
Más información sobre la administración de registros |
Configuración de la estrategia para el éxito
Identificar tipos de información confidencial (SIT), categorizar y etiquetar el contenido e implementar directivas de prevención de pérdida de datos (DLP) son pasos clave en una estrategia de protección de la información. Los vínculos de la tabla anterior le llevan a instrucciones detalladas para llevar a cabo estas tareas esenciales.
La protección de datos también es responsabilidad de todos los usuarios de su organización que visualizan, crean y controlan datos personales en el transcurso de las tareas del trabajo. Cada usuario debe conocer y cumplir las responsabilidades internas y reglamentarias de su organización para proteger los datos personales dondequiera que existan en su organización. Con este fin, Priva le ayuda a capacitar a los usuarios para que conozcan sus responsabilidades, para que se les informe cuando administran datos de maneras de riesgo y tome medidas inmediatas para minimizar los riesgos de privacidad para la organización.
Las tres directivas de control de datos disponibles en Administración de riesgo de privacidad Priva ayudan a los usuarios a desempeñar un rol proactivo en la estrategia de protección de datos de su organización. Email notificaciones con acciones de corrección integradas solicitan a los usuarios que apliquen las protecciones necesarias y realicen un entrenamiento de privacidad designado por su organización. Esta conciencia y capacidad de actuar puede ayudar a cultivar mejores hábitos para prevenir futuros problemas de privacidad.
Recomendaciones para la primera directiva de control de datos priva
Se recomienda implementar directivas en un enfoque por fases para que pueda conocer cómo se comportan y optimizarlas para satisfacer sus necesidades. Para la primera fase, se recomienda crear una directiva personalizada que sirva como base de comprensión. Vamos a usar el ejemplo de creación de una directiva de sobreexposición de datos, que identifica los elementos de contenido que contienen datos personales que pueden ser demasiado accesibles para otras personas. Puede encontrar instrucciones detalladas de creación de directivas a partir de aquí.
Cuando llegue al paso Elegir datos para supervisar del asistente para la creación de directivas, se recomienda seleccionar la opción Tipos de información confidencial individuales y elegir los SIT más relevantes para su organización. Por ejemplo, si es una empresa de servicios financieros con clientes en Europa, es probable que quiera incluir el número de tarjeta de débito de la UE como uno de los SIT. Busque la lista de definiciones de SIT aquí.
En el paso Elegir usuarios y grupos descrito en este paso de directiva, se recomienda seleccionar Usuarios o grupos específicos y elegir un pequeño círculo interno de usuarios en el ámbito de esta directiva.
En el paso Elegir condiciones para la directiva , se recomienda seleccionar solo Externo para que esté realizando un seguimiento de los datos que podría considerar más en riesgo y, al mismo tiempo, mantener la cantidad total de datos que tendrá que supervisar en niveles más administrables.
En el paso Especificar alertas y umbrales , se recomienda activar las alertas y seleccionar la opción de frecuenciade Alerta cuando se cumpla una de las condiciones siguientes. Activar alertas ayudará a los administradores a medir si la gravedad y la frecuencia de las alertas satisfacen sus necesidades. Tenga en cuenta que las directivas no funcionan retrospectivamente, por lo que si decide mantener desactivadas las alertas al principio y después activarlas, no verá ninguna alerta para las coincidencias que se produjeron antes de activar las alertas.
En el estado Decidir modo de directiva , se recomienda mantener la directiva en modo de prueba y supervisar su rendimiento durante al menos cinco días. Esto le permite ver qué tipo de coincidencias están recibiendo las condiciones de directiva, cómo se activarán las alertas.
Configuración gradual de más directivas y ajuste del rendimiento
Después de configurar y ejecutar la primera directiva, es posible que quiera hacer lo mismo con los otros dos tipos de directiva. Esta puede ser la segunda fase, en la que se aumenta gradualmente el uso de características a medida que avanza y optimiza su configuración. Por ejemplo, puede optar por no enviar notificaciones por correo electrónico de usuario al principio mientras ve cuántas coincidencias detecta la directiva. A continuación, puede decidir activar las notificaciones por correo electrónico mientras las directivas siguen en modo de prueba (en la fase Definir resultados de la configuración de directiva). Si los usuarios reciben demasiados correos electrónicos, vuelva a la configuración de Resultados de la directiva para ajustar la frecuencia de las notificaciones. Todo este ajuste puede ayudarle a medir el impacto deseado en los usuarios antes de implementar la directiva de forma más amplia en toda la organización.
Configuración recomendada para los otros dos tipos de directiva
A continuación se muestran recomendaciones específicas para la configuración de claves al crear las primeras directivas de transferencia de datos y sobreexposición de datos .
Transferencia de datos:
- En Data to monitor (Datos que se van a supervisar), seleccione SIT específicos.
- En Elegir usuarios y grupos cubiertos por esta directiva, seleccione un anillo interno de usuarios.
- En Elegir condiciones para la directiva, elija la condición que más importa.
- En Definir resultados cuando se detecta una coincidencia de directiva, active las notificaciones por correo electrónico.
- En Especificar alertas y umbrales, active las alertas para cada vez que se produzca una actividad.
- Para Decidir modo de directiva, active el modo de directiva (que desactiva el modo de prueba).
Minimización de datos:
- En Data to monitor (Datos para supervisar), elija SIT o grupos de clasificación específicos.
- En Elegir usuarios y grupos cubiertos por esta directiva, seleccione un anillo interno de usuarios.
- En Elegir condiciones de la directiva, elija 30, 60, 90 o 120 días.
- Para Decidir modo de directiva, mantenga la directiva en modo de prueba.
Maximización del rendimiento de la directiva para minimizar los riesgos de privacidad
Permita que las directivas se ejecuten durante al menos dos o cuatro semanas. Durante este tiempo, debe revisar y documentar los siguientes resultados:
- Las coincidencias generadas por cada tipo de directiva y las instancias de falsos positivos y falsos negativos
- El impacto y los comentarios de los usuarios finales y administradores
En función de sus conclusiones, ahora puede ajustar el rendimiento de la directiva haciendo lo siguiente:
- Inclusión o exclusión de grupos de clasificación o SIT personalizados y de fábrica
- Creación de versiones de las directivas con condiciones y grupos de usuarios para que el destino sea más eficaz
- Ajustar los umbrales de la directiva, incluida la frecuencia de los correos electrónicos a los usuarios, el número de días que se deben supervisar, etc.
Piense en esto como su tercera fase. Puede crear más versiones de cada tipo de directiva e implementarlas en toda la organización en dos rondas: una primera ronda que cubra el 50 % de los usuarios y una segunda que cubra el 100 % de los usuarios.
Esta es también la fase en la que acumula aprendizajes basados en el comportamiento del usuario como se indica en Priva y crea entrenamiento de privacidad específico para los usuarios, que puede incluir en las notificaciones de correo electrónico de usuario de las directivas.
Paso siguiente
Visite el paso 3. Manténgase al día con las regulaciones de privacidad.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de