Prevención de pérdida de datos en Exchange Server

La prevención de pérdida de datos (DLP) es importante en Exchange Server porque la comunicación por correo electrónico crítica para la empresa suele incluir datos confidenciales. Las características DLP facilitan más que nunca la administración de datos confidenciales en los mensajes de correo electrónico al equilibrar los requisitos de cumplimiento sin dificultar innecesariamente la productividad de los trabajadores. Para obtener información conceptual de DLP, vea el siguiente vídeo.

Las directivas DLP son paquetes simples que son colecciones de reglas de flujo de correo (también conocidas como reglas de transporte) que contienen condiciones, acciones y excepciones específicas que filtran mensajes y datos adjuntos en función de su contenido. Puede crear una directiva DLP y, sin embargo, elegir no activarla. Esto le permite probar sus directivas sin afectar el flujo de correo. Para obtener más información, vea Probar una regla de flujo de correo.

Las directivas DLP pueden usar toda la eficacia de las reglas de flujo de correo para detectar y, a continuación, actuar en los mensajes en tránsito. Por ejemplo, una regla de flujo de correo puede realizar un análisis profundo del contenido a través de coincidencias de palabras clave, coincidencias de diccionario, coincidencias de patrones de texto a través de expresiones regulares y otras técnicas de examen de contenido para detectar contenido que infringe las directivas DLP de su organización. La huella digital de documentos también está disponible para ayudarle a detectar información confidencial en formularios estándar. Para obtener más información, consulte los siguientes temas:

Además de las propias directivas DLP personalizables, también puede informar a los remitentes de correo electrónico cuando estén a punto de infringir una de las directivas, incluso antes de que envíen un mensaje que contenga información confidencial. Para ello, configure sugerencias de directiva. Sugerencias de directivas presentan una breve nota sobre las posibles infracciones de directivas en Outlook 2013 o posterior, Outlook en la Web (anteriormente conocida como Outlook Web App) y Outlook en la Web para dispositivos. Para obtener más información, consulte Policy Tips.

Notas:

  • La prevención de pérdida de datos (DLP) es una característica especial que requiere una licencia de acceso de cliente de empresa (CAL) de Exchange. Para obtener más información sobre las CAL y las licencias de servidor, consulte Preguntas más frecuentes sobre licencias de Exchange.

  • En entornos híbridos donde algunos buzones están en Exchange local y otros están en Exchange Online, las directivas DLP solo se aplican en Exchange Online. Los mensajes que se envían entre usuarios locales no tienen aplicadas directivas DLP, ya que los mensajes no salen del entorno local.

¿Está buscando las tareas de administración relacionadas con la Prevención de pérdida de datos? Consulte Procedimientos DLP.

Establecer directivas para proteger los datos confidenciales

Las características de la prevención de pérdida de datos le pueden ayudar a identificar y supervisar muchas categorías de información confidencial que definió en las condiciones de sus directivas, como por ejemplo los números de identificación privada o los de la tarjeta de crédito. Tiene la opción de definir sus propias directivas personalizadas y reglas de flujo de correo, o puede usar las plantillas de directiva DLP que se incluyen en Exchange para empezar a trabajar rápidamente. Una plantilla de directiva es un modelo que incluye una serie de condiciones, reglas y acciones entre las que puede elegir para crear y guardar una directiva DLP real que le ayudará a inspeccionar los mensajes. Para obtener más información sobre las plantillas de directiva incluidas, vea Plantillas de directiva DLP proporcionadas en Exchange.

Hay tres métodos diferentes que puede usar para implementar DLP:

  • Aplicar una plantilla integrada proporcionada en Exchange: la forma más rápida de empezar a usar directivas DLP es crear e implementar una nueva directiva mediante una plantilla. Esto le ahorra el trabajo de tener que generar un nuevo conjunto de reglas desde cero. Debe saber qué tipo de datos desea comprobar o qué regulación de cumplimiento intenta solucionar. También debe conocer las expectativas de su organización para procesar estos datos. Para obtener más información, vea Plantillas de directiva DLP proporcionadas en Exchange y Creación de una directiva DLP a partir de una plantilla.

  • Importar un archivo de directiva pregenerado desde fuera de la organización: puede importar directivas creadas por proveedores de software independientes. De este modo, puede ampliar la solución DLP para satisfacer los requisitos empresariales. Para obtener más información, vea Definir sus propias plantillas DLP y tipos de información e Importar una directiva DLP desde un archivo.

  • Crear una directiva personalizada sin condiciones preexistentes: es posible que la empresa tenga sus propios requisitos para supervisar determinados tipos de datos que se sabe que existen en un sistema de mensajería. Puede crear una directiva personalizada por su cuenta para buscar y actuar en sus propios datos de mensaje únicos. Debe conocer los requisitos y restricciones del entorno donde se aplicará la directiva DLP para crear directivas personalizadas eficaces. Para obtener más información, vea Crear una directiva DLP personalizada.

Después de agregar una directiva, puede revisar y cambiar sus reglas, desactivarla o quitarla por completo. Para obtener más información, vea Administrar directivas DLP.

Tipos de información confidencial en las directivas de DLP

Al crear o cambiar directivas DLP, puede incluir reglas que busquen información confidencial. Los tipos de información confidencial que aparecen en el tema Tipos de información confidencial de Exchange Server están disponibles para que los use en las directivas. Puede personalizar las condiciones dentro de una directiva, como el número de veces que se debe encontrar algo antes de realizar una acción o la acción que se debe realizar. Para obtener más información acerca de la creación de directivas de DLP, consulte Create a Custom DLP Policy. Para obtener más información sobre las reglas de flujo de correo, vea Reglas de flujo de correo en Exchange Server.

Para facilitar el uso de reglas que buscan información confidencial, Exchange incluye plantillas de directiva que ya incluyen algunos de los tipos de información confidencial. No puede agregar condiciones para todos los tipos de información confidencial, ya que las plantillas están diseñadas para ayudarle a centrarse en los tipos más comunes de datos relacionados con el cumplimiento dentro de la organización. Para obtener más información sobre las plantillas pregeneradas, vea Plantillas de directiva DLP proporcionadas en Exchange.

Puede crear muchas directivas DLP para su organización y habilitarlas todas para que se busquen muchos tipos diferentes de información. También puede crear una directiva DLP que no se base en una plantilla existente. Para crear una directiva de este tipo, consulte Creación de una directiva DLP personalizada. Para obtener más información sobre los tipos de información confidencial disponibles, vea Tipos de información confidencial en Exchange Server.

Detección de datos de formulario confidenciales con la creación de huella digital de documento

Exchange le permite usar huella digital de documentos para crear fácilmente un tipo de información confidencial basado en un formulario estándar.

Las Sugerencias de directivas notifican a los usuarios sobre las expectativas de contenido confidencial

Puede utilizar los mensajes de notificación de Sugerencias de directivas para informar a los destinatarios de correo electrónico sobre los posibles problemas de conformidad mientras generan un mensaje de correo electrónico. Al configurar una sugerencia de directiva en una directiva DLP, el mensaje de notificación solo se mostrará si algo en el mensaje de correo electrónico del remitente coincide con las condiciones descritas en la directiva. Las sugerencias de directiva son similares a las sugerencias de correo que se introdujeron en Exchange 2010. Para obtener más información, consulte Policy Tips.

Detectar información confidencial junto con la clasificación tradicional de mensajes

Un factor clave en la solidez de una solución DLP es la capacidad de identificar correctamente contenido confidencial o confidencial que puede ser exclusivo de su organización, necesidades normativas, geografía u otras necesidades empresariales. La arquitectura DLP de Exchange usa análisis de contenido profundo junto con los criterios de detección que se establecen a través de reglas en las directivas DLP. Para ayudar a evitar la pérdida de datos en Exchange, es necesario configurar el conjunto adecuado de reglas de información confidencial que proporcionan un alto grado de protección, a la vez que se minimizan las interrupciones en el flujo de correo causadas por falsos positivos y negativos. Estos tipos de reglas (a los que se hace referencia a lo largo de la información DLP como detección de información confidencial) funcionan en el marco de reglas de flujo de correo para habilitar las funcionalidades DLP. Para obtener más información sobre estas características, consulte Integración de reglas de información confidencial con reglas de flujo de correo.

Todavía puede aplicar clasificaciones de mensajes tradicionales a los mensajes y puede combinar estas clasificaciones con la detección de información confidencial. Puede usar estas características juntas dentro de una sola directiva DLP o operarlas de forma independiente (simultáneamente). Para más información sobre las clasificaciones de mensajes tradicionales de Exchange 2010, consulte Descripción de las clasificaciones de mensajes.

Información acerca de los mensajes procesados por DLP

Para ver información sobre los mensajes que contienen detecciones de directivas DLP en el entorno, vea Ver informes de detección de directivas DLP y Crear informes de incidentes para detecciones de directivas DLP. Los datos relacionados con las detecciones DLP están altamente integrados en los informes de entrega.

Más información