Referencia de prevención de pérdida de datos

Importante

Este es el tema de referencia ya no es el recurso principal para Microsoft 365 de prevención de pérdida de datos (DLP). El conjunto de contenido DLP se está actualizando y reestructurando. Los temas tratados en este artículo se trasladarán a artículos nuevos y actualizados. Para obtener más información acerca de DLP, vea Learn about data loss prevention.

Nota

Las funciones de prevención de pérdida de datos se han agregado recientemente a los mensajes de conversaciones y canales de Microsoft Teams para usuarios con licencia de Cumplimiento avanzado de Office 365, que está disponible como opción independiente y se incluye en Cumplimiento de Microsoft 365 E5 y Office 365 E5. Para obtener más información sobre los requisitos de licencias, consulte Instrucciones de licencias de Microsoft 365 del nivel de espacio empresarial.

Crear y administrar directivas DLP

Para crear y administrar las directivas DLP, vaya a la página sobre la prevención de pérdida de datos del Centro de cumplimiento de Microsoft 365.

Página de prevención de pérdida de datos en el Office 365 de & cumplimiento de seguridad.

Ajustar reglas para que sea más fácil o más difícil que coincidan

Después de crear y activar sus directivas DLP, a veces los usuarios se encuentran con estos problemas:

  • Demasiado contenido que no es información confidencial coincide con las reglas (es decir, demasiados falsos positivos).

  • Muy poco contenido que es información confidencial coincide con las reglas. Es decir, las acciones de protección no se están aplicando en la información confidencial.

Para solucionar estos problemas, puede ajustar las reglas al modificar el recuento de instancias y la precisión de coincidencia para que sea más fácil o más difícil que el contenido coincida con las reglas. Todos los tipos de información confidencial que se usan en una regla tienen un recuento de instancias y precisión de coincidencia.

Recuento de instancias

El recuento de instancias significa simplemente qué número de apariciones de un determinado tipo de información confidencial debe estar presente en el contenido para que coincida con la regla. Por ejemplo, el contenido coincide con la regla que se muestra a continuación si se identifican entre 1 y 9 números únicos de pasaporte de los Estados Unidos o Reino Unido.

Nota

El número de instancias incluye solo coincidencias únicas con palabras clave y tipos de información confidenciales. Por ejemplo, si un correo electrónico contiene diez veces el mismo número de tarjeta de crédito, esas diez cuentan como una única instancia de un número de tarjeta de crédito.

Las instrucciones para usar el recuento de instancias para ajustar las reglas son sencillas:

  • Para facilitar que la regla coincida, disminuya el recuento mín o aumente el recuento máx. También puede establecer máx en cualquiera si elimina el valor numérico.

  • Para que sea más difícil que la regla coincida, aumente el recuento mín.

Normalmente, se usan acciones menos restrictivas, como el envío de notificaciones de usuario, en una regla con un recuento de instancias inferior (por ejemplo, 1-9). Y se usan acciones más restrictivas, como restringir el acceso al contenido sin permitir invalidaciones de usuario, en una regla con un recuento de instancias superior (por ejemplo, de 10 a cualquiera).

La instancia cuenta en el editor de reglas.

Precisión de coincidencia

Como se describió anteriormente, un tipo de información confidencial se define y detecta mediante una combinación de distintos tipos de evidencia. Frecuentemente, un tipo de información confidencial se define mediante esas combinaciones, denominadas patrones. Un patrón que requiere menos evidencia tiene una precisión de coincidencia (o nivel de confianza) inferior, mientras que un patrón que requiere más evidencia tiene una precisión de coincidencia (o nivel de confianza) mayor. Para obtener más información sobre los patrones y niveles de confianza reales que usa cada tipo de información confidencial, consulte Definiciones de entidad de tipos de información confidencial.

Por ejemplo, el tipo de información confidencial denominado Número de tarjeta de crédito se define mediante dos patrones:

  • Un patrón con un 65 % de confianza que requiere:

    • Un número en el formato de un número de tarjeta de crédito.

    • Un número que pasa la suma de comprobación.

  • Un patrón con un 85 % de confianza que requiere:

    • Un número en el formato de un número de tarjeta de crédito.

    • Un número que pasa la suma de comprobación.

    • Una palabra clave o una fecha de expiración en el formato correcto.

Puede usar estos niveles de confianza (o precisión de coincidencia) en sus reglas. Normalmente, se usan acciones menos restrictivas, como el envío de notificaciones de usuario, en una regla con una precisión de coincidencia inferior. Y se usan acciones más restrictivas, como restringir el acceso al contenido sin permitir invalidaciones de usuario, en una regla con una precisión de coincidencia superior.

Es importante comprender que, cuando se identifica en el contenido un tipo específico de información confidencial (como un número de tarjeta de crédito), se devuelve solo un único nivel de confianza:

  • Si todas las coincidencias son para un único patrón, se devuelve el nivel de confianza de ese patrón.

  • Si hay coincidencias para más de un patrón (es decir, hay coincidencias con dos niveles de confianza diferentes), se devuelve un nivel de confianza superior a cualquiera de los patrones únicos independientes. Esta es la parte complicada. Por ejemplo, para una tarjeta de crédito, si se cumplen los patrones del 65 % y del 85 %, el nivel de confianza que devuelve ese tipo de información confidencial es mayor al 90 % porque más evidencia implica más confianza.

Por lo tanto, si quiere crear dos reglas que se excluyan mutuamente para tarjetas de crédito, una para la precisión de coincidencia del 65 % y otra para la precisión de coincidencia del 85 %, los intervalos de la precisión de coincidencia tendrían el siguiente aspecto. La primera regla selecciona solo coincidencias del patrón del 65 %. La segunda regla selecciona coincidencias con al menos una coincidencia del 85 % y puede tener otras coincidencias con un nivel menor de confianza.

Dos reglas con intervalos diferentes para la precisión de coincidencias.

Por estas razones, las instrucciones para crear reglas con diferentes precisiones de coincidencia son:

  • Normalmente, el nivel inferior de confianza usa el mismo valor para mín y máx (no un rango).

  • El nivel superior de confianza suele ser un rango desde el nivel de confianza inferior hasta 100.

  • Por lo general, los niveles de confianza intermedios oscilan entre justo después del nivel de confianza inferior y justo antes del nivel de confianza superior.

Usar una etiqueta de retención como condición en una directiva DLP

Al usar una etiqueta de retención que haya creado y publicado con anterioridad como condición en una directiva DLP, debe tener en cuenta lo siguiente:

  • Antes de intentar usarla como una condición en una directiva DLP, debe haber creado, publicado y aplicado previamente la etiqueta de retención.

  • Las etiquetas de retención publicadas pueden tardar de uno a siete días en sincronizarse. Para obtener más información, consulte ¿Cuándo están disponibles las etiquetas de retención para su aplicación? para las etiquetas de retención publicadas en una directiva de retención y ¿Cuánto tardarán las etiquetas de retención en surtir efecto? para las etiquetas de retención que se publiquen automáticamente.

  • El uso de una etiqueta de retención en una directiva solo es compatible con los elementos de SharePoint y OneDrive*.

    Etiquetas como condición.

    Es posible que quiera usar una etiqueta de retención en una directiva DLP si tiene elementos en retención y eliminación, y también desea aplicarles otros controles, por ejemplo:

    • Publicó una etiqueta de retención denominada año fiscal 2018, que, cuando se aplica a los documentos de impuestos de 2018 que se almacenan en SharePoint, los retiene durante 10 años, para después eliminarlos. Tampoco quiere que los elementos se compartan fuera de la organización, lo que puede hacer con una directiva DLP.

    Importante

    Si especifica una etiqueta de retención como una condición en una directiva DLP e incluye también Exchange y/o Teams como una ubicación, recibirá el siguiente mensaje de error: "No se admite la protección del contenido etiquetado en mensajes de correo electrónico y de Teams. Quite la etiqueta siguiente o desactive Exchange y Teams como una ubicación". Esto se debe a que el transporte de Exchange no evalúa los metadatos de la etiqueta durante el envío y entrega de mensajes.

Usar una etiqueta de confidencialidad como condición en una directiva DLP

Obtenga más información sobre cómo usar la etiqueta de confidencialidad como condición en las directivas DLP.

Cómo esta característica se relaciona con otras características

Varias características pueden aplicarse al contenido que incluye información confidencial:

  • Una etiqueta de retención y una directiva de retención pueden aplicar acciones de retención a este contenido.

  • Una directiva DLP puede aplicar acciones de protección en este contenido. Y antes de aplicar estas acciones, una directiva DLP puede requerir que se cumplan otras condiciones además del contenido que contiene una etiqueta.

Diagrama de características que se pueden aplicar a información confidencial.

Tenga en cuenta que una directiva DLP tiene una capacidad de detección más profunda que una directiva de retención o etiqueta aplicada a la información confidencial. Una directiva DLP puede aplicar acciones de protección al contenido que incluye información confidencial y si se elimina la información confidencial del contenido, esas acciones de protección se desharán la próxima vez que se examine el contenido. Sin embargo, si una directiva de retención o etiqueta se aplica al contenido que incluye información confidencial, esta será una acción única que no se puede deshacer, incluso aunque se quite de la información confidencial.

Al usar una etiqueta como una condición en una directiva DLP, puede aplicar acciones de retención y protección en el contenido con esa etiqueta. Puede considerar el contenido que incluya una etiqueta exactamente igual al que incluye información confidencial: una etiqueta y un tipo de información confidencial son propiedades que se usan para clasificar contenido, por lo que se pueden aplicar acciones a ese contenido.

Diagrama de directiva DLP con etiqueta como condición.

Configuraciones simples y configuraciones avanzadas

Cuando cree una directiva DLP, tendrá que seleccionar entre configuración simple o avanzada:

  • La configuración simple facilita la creación del tipo más común de directiva DLP sin usar el editor de reglas para crearlas o modificarlas.

  • La configuración avanzada usa el editor de reglas para darle un control completo sobre cada configuración de la directiva DLP.

No se preocupe, en realidad, las opciones simples y las avanzadas funcionan exactamente igual, ejecutando reglas compuestas de condiciones y acciones. La única diferencia es que con la configuración simple, no verá el editor de reglas. Es una forma rápida de crear una directiva DLP.

Configuración simple

De lejos, el escenario DLP más común es crear una directiva para ayudar a proteger el contenido con información confidencial para que no se comparta con personas de fuera de su organización y realizar una acción correctiva automática, como restringir quién puede tener acceso al contenido, enviar notificaciones de administrador o de usuario final y auditar el evento para una futura investigación. Los usuarios usan DLP para evitar la divulgación involuntaria de información confidencial.

Para facilitar el cumplimiento de este objetivo, cuando cree una directiva DLP, puede elegir usar la configuración simple. Esta configuración proporciona todo lo que necesita para implementar la directiva DLP más común, sin tener que utilizar el editor de reglas.

Opciones dlp para opciones sencillas y avanzadas.

Configuración avanzada

Si necesita crear directivas DLP más personalizadas, puede elegir usar la configuración avanzada.

La configuración avanzada le muestra el editor de reglas, con el que tiene pleno control sobre cada opción posible, incluido el recuento de instancias y la precisión de coincidencia (nivel de confianza) para cada regla.

Para saltar a una sección rápidamente, haga clic en un elemento de la navegación superior del editor de reglas para ir a esa sección.

Menú de navegación superior del editor de reglas DLP.

Plantillas de directiva de DLP

El primer paso para crear una directiva DLP consiste en elegir la información que se protegerá. Al partir de una plantilla DLP, se ahorra el trabajo de crear un nuevo conjunto de reglas desde cero y de averiguar qué tipos de información deben incluirse de forma predeterminada. A continuación, puede agregar estos requisitos o modificarlos para ajustar la regla de modo que satisfaga los requisitos específicos de su organización.

Una plantilla de directiva DLP preconfigurada le ayuda a detectar tipos concretos de información confidencial, como datos HIPAA, datos PCI-DSS, datos de la ley Gramm-Leach-Bliley o incluso información de identificación personal (P.I.) específica de una ubicación. Para facilitar la búsqueda y la protección de tipos comunes de información confidencial, las plantillas de directiva que se incluyen en Microsoft 365 ya contienen los tipos más comunes de información confidencial necesarios para comenzar.

Lista de plantillas para directivas de prevención de pérdida de datos con foco en la plantilla para la Ley Patriota de Estados Unidos.

Su organización también puede tener requisitos específicos propios, en cuyo caso puede crear una directiva DLP desde cero eligiendo la opción Directiva personalizada. Una directiva personalizada está vacía y no contiene reglas predefinidas.

Informes de DLP

Después de crear y activar las directivas DLP, deberá comprobar que su funcionamiento es el deseado y que le ayudan a cumplir las normativas. Con los informes de DLP, puede ver rápidamente el número de directivas DLP y coincidencias de regla a lo largo del tiempo, así como el número de falsos positivos e invalidaciones. En cada informe, las coincidencias se pueden filtrar por ubicación, período de tiempo e incluso se puede especificar una directiva, una regla o una acción concretas.

Con los informes de DLP, puede obtener información de la empresa y:

  • Centrarse en períodos de tiempo específicos y comprender las causas de los picos y las tendencias.

  • Descubrir los procesos de negocio que infringen las directivas de cumplimiento de su organización.

  • Comprender cualquier impacto de negocio de las directivas DLP.

Además, puede usar los informes de DLP para ajustar sus directivas DLP mientras las ejecuta.

Panel de informes en el Centro de seguridad y cumplimiento.

Cómo funcionan las directivas DLP

DLP detecta información confidencial mediante un análisis profundo del contenido (no solo un análisis de texto simple). Este análisis profundo del contenido usa coincidencias de palabras clave, coincidencias de diccionario, la evaluación de expresiones regulares, funciones internas y otros métodos para detectar el contenido que coincide con las directivas DLP. Posiblemente solo un pequeño porcentaje de los datos se considera confidencial. Una directiva DLP puede identificar, supervisar y proteger automáticamente solo esos datos, sin obstaculizar o afectar a las personas que trabajan con el resto del contenido.

Las directivas se sincronizan

Después de crear una directiva DLP en el Centro de seguridad y cumplimiento, esta se almacena en un almacén central de directivas y después se sincroniza con los distintos orígenes de contenido, entre ellos:

  • Exchange Online y de ahí a Outlook en la web y Outlook.

  • Sitios de OneDrive para la Empresa

  • Sitios de SharePoint Online.

  • Programas de escritorio de Office (Excel, PowerPoint y Word).

  • Mensajes de conversaciones y canales de Microsoft Teams.

Después de que la directiva se sincroniza en las ubicaciones adecuadas, empieza a evaluar el contenido y a aplicar las acciones.

Evaluación de la directiva en sitios de OneDrive para la Empresa y SharePoint Online

En los sitios de SharePoint Online y OneDrive para la Empresa, los documentos cambian todo el tiempo: se crean, se modifican y se comparten continuamente. Esto significa que los documentos pueden entrar en conflicto o pasar a ser conformes con una directiva DLP en cualquier momento. Por ejemplo, una persona puede cargar un documento que no contenga información confidencial a su sitio de grupo, pero más adelante, puede editar el mismo documento y agregar información confidencial.

Por este motivo, las directivas DLP buscan frecuentemente y en segundo plano coincidencias de directivas en los documentos. Puede considerarlo como una evaluación asincrónica de directiva.

Cómo funciona

A medida que los usuarios agregan o cambian documentos en sus sitios, el motor de búsqueda analiza el contenido, para que pueda buscarlo más adelante. Cuando esto ocurre, también se busca información confidencial en el contenido y se comprueba si se ha compartido. La información confidencial encontrada se almacena de forma segura en el índice de búsqueda para que solo el equipo de cumplimiento pueda tener acceso a ella, pero no los usuarios normales. Cada directiva DLP activada se ejecuta en segundo plano (asincrónicamente), comprobando la búsqueda con frecuencia de cualquier contenido que coincida con una directiva y aplicando acciones para protegerla de pérdidas accidentales.

Diagrama que muestra cómo la directiva DLP evalúa el contenido de forma asincrónica.

Por último, los documentos pueden entrar en conflicto con una directiva DLP, pero también pueden cumplir con una directiva DLP. Por ejemplo, si una persona agrega números de tarjeta de crédito a un documento, podría hacer que una directiva DLP bloquee el acceso al documento de forma automática. Pero si la persona elimina más adelante la información confidencial, la acción (en este caso, el bloqueo) se deshace automáticamente la próxima vez que se evalúa el documento con la directiva.

DLP evalúa el contenido que se puede indexar. Para obtener más información sobre los tipos de archivo que se rastrean de forma predeterminada, consulte Extensiones de nombre de archivo y tipos de archivo analizados predeterminados en SharePoint Server.

Nota

Para evitar que los documentos se compartan antes de que las directivas DLP tuvieran la oportunidad de analizarlos, el uso compartido de nuevos archivos en SharePoint puede bloquearse hasta que su contenido se haya indizado. Para obtener más información, consulte Marcar archivos nuevos como confidenciales de forma predeterminada.

Evaluación de la directiva en Exchange Online, Outlook y Outlook en la Web

Cuando se crea una directiva DLP que incluye Exchange Online como ubicación, la directiva se sincroniza desde el Centro de seguridad y cumplimiento de Office 365 con Exchange Online y, después, desde Exchange Online con Outlook en la Web y Outlook.

Cuando se redacta un mensaje en Outlook, el usuario puede ver sugerencias de directiva mientras el contenido creado se evalúa según las directivas DLP. Y cuando se envía un mensaje, este se evalúa según las directivas DLP como una parte normal del flujo de correo, junto con las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) y las directivas DLP creadas en el centro de administración de Exchange. Las directivas DLP escanean tanto el mensaje como los archivos adjuntos.

Evaluación de la directiva en los programas de escritorio de Office

Excel, PowerPoint y Word incluyen la misma capacidad para identificar información confidencial y aplicar directivas DLP que SharePoint Online y OneDrive para la Empresa. Estos programas de Office sincronizan sus directivas DLP directamente desde el almacén central de directivas y evalúan continuamente el contenido con las directivas DLP cuando los usuarios trabajan con documentos abiertos desde un sitio que se incluye en una directiva DLP.

La evaluación de directivas DLP en Office está diseñada para no afectar al rendimiento de los programas ni a la productividad de las personas que trabajan en el contenido. Si están trabajando en un documento de gran tamaño o el equipo del usuario está ocupado, tardará unos segundos en aparecer una sugerencia de directiva.

Evaluación de directivas en Microsoft Teams

Cuando crea una directiva DLP que incluye Microsoft Teams como ubicación, la directiva se sincroniza desde el Centro de seguridad y cumplimiento de Office 365 con las cuentas de usuario y mensajes de chat y de canales de Microsoft Teams. En función de cómo estén configuradas las directivas DLP, cuando un usuario intenta compartir información confidencial en un mensaje de chat o canal de Microsoft Teams, el mensaje se puede bloquear o revocar. Y los documentos que contienen información confidencial y que se comparten con invitados (usuarios externos) no se abrirán para estos usuarios. Para obtener más información, vea Prevención de pérdida de datos y Microsoft Teams.

Permisos

De forma predeterminada, los administradores globales, los administradores de seguridad y los administradores de cumplimiento tendrán acceso para crear y aplicar una directiva DLP. Otros miembros del equipo de cumplimiento que crearán directivas DLP necesitan permisos en el Centro de & cumplimiento de seguridad. De forma predeterminada, el administrador de inquilinos tendrá acceso a esta ubicación y puede conceder a los responsables de cumplimiento y a otras personas acceso al Centro de cumplimiento de seguridad, sin darles todos los permisos de un administrador & de inquilinos. Para ello, le recomendamos que:

  1. Crear un grupo en Microsoft 365 y adición de responsables de cumplimiento.

  2. Crear un grupo de roles en la página Permisos del Centro de seguridad y cumplimiento.

  3. Durante la creación del grupo de roles, utilice la sección Elegir roles para añadir el rol siguiente al grupo de roles: Administración de cumplimiento DLP.

  4. Use la sección Elegir miembros para añadir el grupo de Microsoft 365 que creó antes del grupo de roles.

También puede crear un grupo de roles solo con privilegios de lectura para las directivas DLP y los informes DLP asignando el rol de Administración de cumplimiento DLP de solo lectura.

Para más información, vea Conceder acceso a los usuarios al Centro de cumplimiento de Office 365.

Estos permisos son necesarios solo para crear y aplicar una directiva de DLP. La aplicación de directivas no requiere acceso al contenido.

Encontrar los cmdlets DLP

Para usar la mayoría de los cmdlets para el Centro de seguridad y cumplimiento, necesita:

  1. Conectarse al &Centro de seguridad y cumplimiento de Office 365 mediante PowerShell remoto

  2. Usar cualquiera de estos cmdlets policy-and-compliance-dlp

Sin embargo, los informes de DLP necesitan extraer datos de todo Microsoft 365, incluido Exchange Online. Por este motivo, los cmdlets para los informes de DLP están disponibles en el PowerShell de Exchange Online. no en el PowerShell del Centro de seguridad y cumplimiento. Por lo tanto, para usar los cmdlets para los informes de DLP, debe:

  1. Conectarse a Exchange Online mediante PowerShell remoto.

  2. Use cualquiera de estos cmdlets para los informes de DLP:

Más información