Información general sobre directivas de prevención de pérdida de datosOverview of data loss prevention policies

Para cumplir con los estándares de la empresa y las normativas del sector, las organizaciones deben proteger información confidencial e impedir su divulgación involuntaria.To comply with business standards and industry regulations, organizations need to protect sensitive information and prevent its inadvertent disclosure. Entre los ejemplos de información confidencial cuya fuga fuera de la organización tal vez quiera evitar se incluyen datos financieros o información de identificación personal (PII), tales como números de tarjeta de crédito, números de seguridad social o registros médicos.Examples of sensitive information that you might want to prevent from leaking outside your organization include financial data or personally identifiable information (PII) such as credit card numbers, social security numbers, or health records. Con una directiva de prevención de pérdida de datos (DLP) en el & centro de seguridad y cumplimiento de Office 365, puede identificar, supervisar y proteger automáticamente la información confidencial en Office 365.With a data loss prevention (DLP) policy in the Office 365 Security & Compliance Center, you can identify, monitor, and automatically protect sensitive information across Office 365.

Con una directiva DLP, puede:With a DLP policy, you can:

  • Identificar información confidencial en varias ubicaciones, como Exchange Online, SharePoint Online, OneDrive para la empresa y Microsoft Teams.Identify sensitive information across many locations, such as Exchange Online, SharePoint Online, OneDrive for Business, and Microsoft Teams.

    Por ejemplo, puede identificar cualquier documento que contenga un número de tarjeta de crédito que esté almacenado en cualquier sitio de OneDrive para la empresa, o bien puede supervisar solo los sitios de OneDrive de personas específicas.For example, you can identify any document containing a credit card number that's stored in any OneDrive for Business site, or you can monitor just the OneDrive sites of specific people.

  • Evitar el uso compartido accidental de información confidencial.Prevent the accidental sharing of sensitive information.

    Por ejemplo, puede identificar cualquier documento o correo electrónico que contenga un registro de mantenimiento compartido con personas de fuera de la organización y, a continuación, bloquear automáticamente el acceso a ese documento o impedir que se envíe el correo electrónico.For example, you can identify any document or email containing a health record that's shared with people outside your organization, and then automatically block access to that document or block the email from being sent.

  • Supervisar y proteger información confidencial en las versiones de escritorio de Excel, PowerPoint y Word.Monitor and protect sensitive information in the desktop versions of Excel, PowerPoint, and Word.

    Al igual que en Exchange Online, SharePoint Online y OneDrive para la empresa, estos programas de escritorio de Office incluyen las mismas capacidades para identificar información confidencial y aplicar directivas de DLP.Just like in Exchange Online, SharePoint Online, and OneDrive for Business, these Office desktop programs include the same capabilities to identify sensitive information and apply DLP policies. DLP proporciona supervisión continua cuando las personas comparten contenido en estos programas de Office.DLP provides continuous monitoring when people share content in these Office programs.

  • Ayudar a los usuarios a aprender a cumplir sin interrumpir el flujo de trabajo.Help users learn how to stay compliant without interrupting their workflow.

    Puede educar a sus usuarios acerca de las directivas DLP y ayudar a que sigan manteniendo el cumplimiento normativo sin bloquear su trabajo.You can educate your users about DLP policies and help them remain compliant without blocking their work. Por ejemplo, si un usuario intenta compartir un documento que contiene información confidencial, una directiva DLP puede enviarle una notificación por correo electrónico y mostrarle una sugerencia de directiva en el contexto de la biblioteca de documentos que le permite invalidar la directiva si tiene una justificación comercial.For example, if a user tries to share a document containing sensitive information, a DLP policy can both send them an email notification and show them a policy tip in the context of the document library that allows them to override the policy if they have a business justification. Las mismas sugerencias de directiva también aparecen en Outlook en la web, Outlook, Excel, PowerPoint y Word.The same policy tips also appear in Outlook on the web, Outlook, Excel, PowerPoint, and Word.

  • Ver informes de DLP que muestran contenido que coincide con las directivas DLP de su organización.View DLP reports showing content that matches your organization's DLP policies.

    Para evaluar si la organización está cumpliendo con una directiva DLP, puede ver cuántas coincidencias tienen la directiva y la regla a lo largo del tiempo.To assess how your organization is complying with a DLP policy, you can see how many matches each policy and rule has over time. Si una directiva DLP permite a los usuarios invalidar una sugerencia de directiva e informar de un falso positivo, también puede ver qué han informado los usuarios.If a DLP policy allows users to override a policy tip and report a false positive, you can also view what users have reported.

Las directivas de DLP se crean y se administran en la página prevención de pérdida de & datos del centro de seguridad y cumplimiento de Office 365.You create and manage DLP policies on the Data loss prevention page in the Office 365 Security & Compliance Center.

Página de prevención de pérdida de datos en el & centro de seguridad y cumplimiento de Office 365

Qué contiene una directiva DLPWhat a DLP policy contains

Una directiva DLP contiene unas pocas cosas básicas:A DLP policy contains a few basic things:

  • Dónde proteger el contenido: ubicaciones como Exchange Online, SharePoint Online y los sitios de OneDrive para la empresa, así como chats y canales de Microsoft Teams.Where to protect the content: locations such as Exchange Online, SharePoint Online, and OneDrive for Business sites, as well as Microsoft Teams chats and channels.

  • Cuándo y cómo proteger el contenido aplicando reglas compuestas de:When and how to protect the content by enforcing rules comprised of:

    • Condiciones que debe cumplir el contenido antes de que se aplique la regla.Conditions the content must match before the rule is enforced. Por ejemplo, una regla puede estar configurada para buscar únicamente contenido que incluya números de la seguridad social que se hayan compartido con personas fuera de la organización.For example, a rule might be configured to look only for content containing Social Security numbers that's been shared with people outside your organization.

    • Acciones que desea que realice la regla automáticamente cuando se encuentre contenido que coincida con las condiciones.Actions that you want the rule to take automatically when content matching the conditions is found. Por ejemplo, una regla se puede configurar para bloquear el acceso a un documento y enviar una notificación por correo electrónico al usuario y al responsable de cumplimiento.For example, a rule might be configured to block access to a document and send both the user and compliance officer an email notification.

Puede usar una regla para satisfacer un requisito de protección específico y después usar una directiva DLP para agrupar los requisitos de protección comunes, como todas las reglas necesarias para cumplir una normativa específica.You can use a rule to meet a specific protection requirement, and then use a DLP policy to group together common protection requirements, such as all of the rules needed to comply with a specific regulation.

Por ejemplo, podría tener una directiva DLP que ayude a detectar la presencia de información sujeta a la Ley de transferencia y responsabilidad de seguros de salud (HIPAA).For example, you might have a DLP policy that helps you detect the presence of information subject to the Health Insurance Portability and Accountability Act (HIPAA). Esta directiva de DLP puede ayudarle a proteger los datos de HIPAA (el What) en todos los sitios de SharePoint Online y todos los sitios de OneDrive para la empresa (el Where) mediante la búsqueda de cualquier documento que contenga esta información confidencial que se comparte con personas de fuera de la organización (el condiciones) y, a continuación, bloquear el acceso al documento y enviar una notificación (las acciones).This DLP policy could help protect HIPAA data (the what) across all SharePoint Online sites and all OneDrive for Business sites (the where) by finding any document containing this sensitive information that's shared with people outside your organization (the conditions) and then blocking access to the document and sending a notification (the actions). Estos requisitos se almacenan como reglas individuales y se agrupan juntos como una directiva DLP para simplificar la administración y los informes.These requirements are stored as individual rules and grouped together as a DLP policy to simplify management and reporting.

El diagrama muestra que la directiva DLP contiene ubicaciones y reglas

UbicacionesLocations

Una directiva DLP puede encontrar y proteger información confidencial en Office 365, independientemente de si la información se encuentra en Exchange Online, SharePoint Online, OneDrive para la empresa o Microsoft Teams.A DLP policy can find and protect sensitive information across Office 365, whether that information is located in Exchange Online, SharePoint Online, OneDrive for Business, or Microsoft Teams. Puede elegir proteger el contenido de correo electrónico de Exchange, los canales y chats de Microsoft Teams, y todas las bibliotecas de SharePoint o de OneDrive, o seleccionar ubicaciones específicas para una directiva.You can choose to protect content in Exchange email, Microsoft Teams chats and channels, and all SharePoint or OneDrive libraries, or select specific locations for a policy.

Opciones de ubicaciones donde se puede aplicar una directiva DLP

Tenga en cuenta que si elige incluir o excluir sitios de SharePoint específicos o cuentas de OneDrive, una directiva DLP no puede contener más de 100 estas inclusiones y exclusiones.Note that if you choose to include or exclude specific SharePoint sites or OneDrive accounts, a DLP policy can contain no more than 100 such inclusions and exclusions. Aunque este límite exista, comprenda que puede superar este límite aplicando una directiva de toda la organización o una directiva que se aplique a ubicaciones completas.Although this limit exists, understand that you can exceed this limit by applying either an org-wide policy or a policy that applies to entire locations.

RulesRules

Las reglas son el cumplimiento de los requisitos empresariales en el contenido de la organización.Rules are what enforce your business requirements on your organization's content. Una directiva contiene una o más reglas, y cada regla consta de las condiciones y acciones.A policy contains one or more rules, and each rule consists of conditions and actions. Para cada regla, cuando se cumplen las condiciones, las acciones se realizan automáticamente.For each rule, when the conditions are met, the actions are taken automatically. Las reglas se ejecutan secuencialmente, comenzando por la regla de mayor prioridad en cada Directiva.Rules are executed sequentially, starting with the highest-priority rule in each policy.

Una regla también proporciona opciones para notificar a los usuarios (con sugerencias de directiva y notificaciones por correo electrónico) y a los administradores (con informes de incidentes de correo electrónico) que el contenido ha coincidido con la regla.A rule also provides options to notify users (with policy tips and email notifications) and admins (with email incident reports) that content has matched the rule.

Estos son los componentes de una regla, que se explican a continuación.Here are the components of a rule, each explained below.

Secciones del editor de reglas de DLP

CondicionesConditions

Las condiciones son importantes porque determinan los tipos de información que está buscando y cuándo realizar una acción.Conditions are important because they determine what types of information you're looking for, and when to take an action. Por ejemplo, puede optar por omitir el contenido que contiene números de pasaporte, a menos que el contenido contenga más de diez números y que se comparta con personas de fuera de la organización.For example, you might choose to ignore content containing passport numbers unless the content contains more than ten such numbers and is shared with people outside your organization.

Las condiciones se centran en el contenido, por ejemplo, los tipos de información confidencial que está buscando y en el contexto, como con quién se comparte el documento.Conditions focus on the content, such as what types of sensitive information you're looking for, and also on the context, such as who the document is shared with. Puede usar condiciones para asignar distintas acciones a diferentes niveles de riesgo (por ejemplo, el contenido confidencial compartido internamente puede ser menor riesgo y requerir menos acciones que el contenido confidencial compartido con personas de fuera de la organización).You can use conditions to assign different actions to different risk levels -- for example, sensitive content shared internally might be lower risk and require fewer actions than sensitive content shared with people outside the organization.

Lista que muestra las condiciones de DLP disponibles

Las condiciones disponibles ahora pueden determinar si:The conditions now available can determine if:

  • El contenido contiene un tipo de información confidencial.Content contains a type of sensitive information.

  • El contenido contiene una etiqueta.Content contains a label. Para obtener más información, vea la siguiente sección uso de una etiqueta como condición en una directiva DLP.For more information, see the below section Using a label as a condition in a DLP policy.

  • El contenido se comparte con personas de fuera o dentro de la organización.Content is shared with people outside or inside your organization.

Tipos de información confidencialTypes of sensitive information

Una directiva DLP puede ayudar a proteger información confidencial, que se define como un tipo de información confidencial.A DLP policy can help protect sensitive information, which is defined as a sensitive information type. Office 365 incluye definiciones para muchos tipos comunes de información confidencial en muchas regiones diferentes que están listas para su uso, como números de tarjeta de crédito, números de cuentas bancarias, números de identificación nacionales y números de pasaporte.Office 365 includes definitions for many common sensitive information types across many different regions that are ready for you to use, such as a credit card number, bank account numbers, national ID numbers, and passport numbers.

Lista de tipos de información confidencial disponibles

Cuando una directiva DLP busca un tipo de información confidencial, como un número de tarjeta de crédito, no simplemente busca un número de 16 dígitos.When a DLP policy looks for a sensitive information type such as a credit card number, it doesn't simply look for a 16-digit number. Cada tipo de información confidencial se define y se detecta mediante una combinación de:Each sensitive information type is defined and detected by using a combination of:

  • Palabras claveKeywords

  • Funciones internas para validar las sumas de comprobación o composiciónInternal functions to validate checksums or composition

  • Evaluación de expresiones regulares para buscar coincidencias de patrónEvaluation of regular expressions to find pattern matches

  • Otros exámenes de contenidoOther content examination

Esto ayuda a que la detección de DLP alcance un alto grado de precisión y reduce el número de falsos positivos que pueden interrumpir el trabajo de las personas.This helps DLP detection achieve a high degree of accuracy while reducing the number of false positives that can interrupt peoples' work.

AccionesActions

Cuando el contenido coincide con una condición en una regla, puede aplicar acciones para proteger el contenido automáticamente.When content matches a condition in a rule, you can apply actions to automatically protect the content.

Lista de acciones de DLP disponibles

Con las acciones ahora disponibles, puede:With the actions now available, you can:

  • Restringir el acceso al contenido Para el contenido del sitio, esto significa que los permisos para el documento están restringidos para todos los usuarios excepto el administrador de la colección de sitios primaria, el propietario del documento y la persona que modificó por última vez el documento.Restrict access to the content For site content, this means that permissions for the document are restricted for everyone except the primary site collection administrator, document owner, and person who last modified the document. Estas personas pueden quitar la información confidencial del documento o realizar otras acciones correctivas.These people can remove the sensitive information from the document or take other remedial action. Cuando el documento cumple la normativa, los permisos originales se restauran automáticamente.When the document is in compliance, the original permissions will be automatically restored. Cuando se bloquea el acceso a un documento, el documento aparece con un icono de sugerencia de directiva especial en la biblioteca del sitio.When access to a document is blocked, the document appears with a special policy tip icon in the library on the site.

    Sugerencia de directiva que muestra que el acceso al documento está bloqueado

    En el caso del contenido de correo electrónico, esta acción impide que se envíe el mensaje.For email content, this action blocks the message from being sent. Según cómo esté configurada la regla DLP, el remitente verá un NDR o (si la regla usa una notificación), una sugerencia de directiva o una notificación de correo electrónico.Depending on how the DLP rule is configured, the sender will see an NDR or (if the rule uses a notification) a policy tip and/or email notification.

    ADVERTENCIA de que los destinatarios no autorizados deben quitarse del mensaje

Notificaciones de usuario e invalidaciones de usuarioUser notifications and user overrides

Puede usar notificaciones y reemplazos para educar a los usuarios sobre las directivas de DLP y ayudarles a que sigan siendo compatibles sin bloquear su trabajo.You can use notifications and overrides to educate your users about DLP policies and help them remain compliant without blocking their work. Por ejemplo, si un usuario intenta compartir un documento que contiene información confidencial, una directiva DLP puede enviarle una notificación por correo electrónico y mostrarle una sugerencia de directiva en el contexto de la biblioteca de documentos que le permite invalidar la directiva si tiene una justificación comercial.For example, if a user tries to share a document containing sensitive information, a DLP policy can both send them an email notification and show them a policy tip in the context of the document library that allows them to override the policy if they have a business justification.

Secciones de notificaciones de usuario e invalidaciones de usuario del editor de reglas de DLP

El correo electrónico puede notificar a la persona que envió, compartió o modificó por última vez el contenido y, para el contenido del sitio, el administrador de la colección de sitios primaria y el propietario del documento.The email can notify the person who sent, shared, or last modified the content and, for site content, the primary site collection administrator and document owner. Además, puede Agregar o quitar la que le haya elegido de la notificación de correo electrónico.In addition, you can add or remove whomever you choose from the email notification.

Además de enviar una notificación por correo electrónico, una notificación de usuario muestra una sugerencia de directiva:In addition to sending an email notification, a user notification displays a policy tip:

  • En Outlook y Outlook en la Web.In Outlook and Outlook on the web.

  • Para el documento en un sitio de SharePoint Online o de OneDrive para la empresa.For the document on a SharePoint Online or OneDrive for Business site.

  • En Excel, PowerPoint y Word, cuando el documento se almacena en un sitio incluido en una directiva DLP.In Excel, PowerPoint, and Word, when the document is stored on a site included in a DLP policy.

La notificación de correo electrónico y la sugerencia de directiva explican por qué el contenido entra en conflicto con una directiva DLP.The email notification and policy tip explain why content conflicts with a DLP policy. Si lo elige, la sugerencia de directiva y la notificación por correo electrónico pueden permitir que los usuarios invaliden una regla al informar de un falso positivo o proporcionar una justificación comercial.If you choose, the email notification and policy tip can allow users to override a rule by reporting a false positive or providing a business justification. Esto puede ayudar a educar a los usuarios sobre las directivas DLP y aplicarlas sin impedir que los usuarios realicen su trabajo.This can help you educate users about your DLP policies and enforce them without preventing people from doing their work. La información sobre invalidaciones y falsos positivos también se registra para los informes (consulte a continuación sobre los informes de DLP) y se incluye en los informes de incidentes (sección siguiente), a fin de que el responsable de cumplimiento normativo pueda revisar periódicamente esta información.Information about overrides and false positives is also logged for reporting (see below about the DLP reports) and included in the incident reports (next section), so that the compliance officer can regularly review this information.

Esto es lo que una sugerencia de directiva tiene como en una cuenta de OneDrive para la empresa.Here's what a policy tip looks like in a OneDrive for Business account.

Sugerencia de directiva para un documento en una cuenta de OneDrive

Informes de incidentesIncident reports

Cuando se cumpla una regla, puede enviar un informe de incidentes al funcionario de cumplimiento (o a cualquier persona que elija) con los detalles del evento.When a rule is matched, you can send an incident report to your compliance officer (or any people you choose) with details of the event. Este informe incluye información sobre el elemento coincidente, el contenido real que coincide con la regla y el nombre de la persona que modificó por última vez el contenido.This report includes information about the item that was matched, the actual content that matched the rule, and the name of the person who last modified the content. Para los mensajes de correo electrónico, el informe también incluye como datos adjuntos el mensaje original que coincide con una directiva de DLP.For email messages, the report also includes as an attachment the original message that matches a DLP policy.

Página para configurar informes de incidentes

Operadores lógicos y de agrupaciónGrouping and logical operators

A menudo, la Directiva de DLP tiene un requisito sencillo, como para identificar todo el contenido que contiene un número de la seguridad social de Estados Unidos.Often your DLP policy has a straightforward requirement, such as to identify all content that contains a U.S. Social Security Number. Sin embargo, en otros escenarios, es posible que la Directiva DLP necesite identificar datos definidos de manera más flexible.However, in other scenarios, your DLP policy might need to identify more loosely defined data.

Por ejemplo, para identificar el contenido sujeto a la ley de seguros de salud de Estados Unidos (HIPAA), debe buscar:For example, to identify content subject to the U.S. Health Insurance Act (HIPAA), you need to look for:

  • Contenido que contiene tipos específicos de información confidencial, como un número de la seguridad social de Estados Unidos o un número de agencia de imPosición de drogas (DEA).Content that contains specific types of sensitive information, such as a U.S. Social Security Number or Drug Enforcement Agency (DEA) Number.

    YAND

  • Contenido que es más difícil de identificar, como las comunicaciones sobre la atención de un paciente o las descripciones de los servicios médicos proporcionados.Content that's more difficult to identify, such as communications about a patient's care or descriptions of medical services provided. La identificación de este contenido requiere palabras clave que coincidan con las listas de palabras clave muy grandes, como la clasificación internacional de enfermedades (ICD-9-CM o ICD-10-cm).Identifying this content requires matching keywords from very large keyword lists, such as the International Classification of Diseases (ICD-9-CM or ICD-10-CM).

Puede identificar fácilmente los datos definidos de forma flexible mediante operadores lógicos y de agrupación (AND, OR).You can easily identify such loosely defined data by using grouping and logical operators (AND, OR). Al crear una directiva DLP, puede:When you create a DLP policy, you can:

  • Agrupe los tipos de información confidencial.Group sensitive information types.

  • Elija el operador lógico entre los tipos de información confidencial dentro de un grupo y entre los propios grupos.Choose the logical operator between the sensitive information types within a group and between the groups themselves.

Elegir el operador dentro de un grupoChoosing the operator within a group

Dentro de un grupo, puede elegir si debe cumplirse alguna o todas las condiciones de ese grupo para que el contenido cumpla la regla.Within a group, you can choose whether any or all of the conditions in that group must be satisfied for the content to match the rule.

Grupo que muestra los operadores dentro del grupo

Adición de un grupoAdding a group

Puede agregar rápidamente un grupo, que puede tener sus propias condiciones y operador dentro de ese grupo.You can quickly add a group, which can have its own conditions and operator within that group.

Botón Agregar grupo

Elegir el operador entre gruposChoosing the operator between groups

Entre grupos, puede elegir si se deben cumplir las condiciones en un solo grupo o en todos los grupos para que el contenido cumpla la regla.Between groups, you can choose whether the conditions in just one group or all of the groups must be satisfied for the content to match the rule.

Por ejemplo, la Directiva integrada de HIPAA de Estados Unidos tiene una regla que usa un operador and entre los grupos para identificar el contenido que contiene:For example, the built-in U.S. HIPAA policy has a rule that uses an AND operator between the groups so that it identifies content that contains:

  • de los identificadores de PII de grupo (al menos un número de SSN o número de DEA)from the group PII Identifiers (at least one SSN number OR DEA number)

    ANDAND

  • de los términos médicos del grupo (al menos una palabra clave ICD-9-cm o una palabra clave ICD-10-cm)from the group Medical Terms (at least one ICD-9-CM keyword OR ICD-10-CM keyword)

Grupos que muestran el operador entre grupos

La prioridad mediante la que se procesan las reglasThe priority by which rules are processed

Cuando se crean reglas en una directiva, a cada regla se le asigna una prioridad en el orden en el que se crea, es decir, la regla que se crea primero tiene prioridad, la segunda regla creada tiene la segunda prioridad, y así sucesivamente.When you create rules in a policy, each rule is assigned a priority in the order in which it's created - meaning, the rule created first has first priority, the rule created second has second priority, and so on.

Reglas en orden de prioridad

Una vez que haya configurado más de una directiva de DLP, puede cambiar la prioridad de una o varias directivas.After you have set up more than one DLP policy, you can change the priority of one or more policies. Para ello, seleccione una directiva, elija Editar Directivay use la lista prioridad para especificar su prioridad.To do that, select a policy, choose Edit policy, and use the Priority list to specify its priority.

Establecer la prioridad de una directiva

Cuando el contenido se evalúa según las reglas, las reglas se procesan en orden de prioridad.When content is evaluated against rules, the rules are processed in priority order. Si el contenido coincide con varias reglas, las reglas se procesan en orden de prioridad y se aplica la acción más restrictiva.If content matches multiple rules, the rules are processed in priority order and the most restrictive action is enforced. Por ejemplo, si el contenido coincide con todas las reglas siguientes, se aplica la regla 3 porque es la regla más restrictiva y más restrictiva:For example, if content matches all of the following rules, Rule 3 is enforced because it's the highest priority, most restrictive rule:

  • Regla 1: solo notifica a los usuariosRule 1: only notifies users

  • Regla 2: notifica a los usuarios, restringe el acceso y permite invalidaciones de usuarioRule 2: notifies users, restricts access, and allows user overrides

  • Regla 3: notifica a los usuarios, restringe el acceso y no permite invalidaciones de usuarioRule 3: notifies users, restricts access, and does not allow user overrides

  • Regla 4: solo notifica a los usuariosRule 4: only notifies users

  • Regla 5: restringe el accesoRule 5: restricts access

  • Regla 6: notifica a los usuarios, restringe el acceso y no permite invalidaciones de usuarioRule 6: notifies users, restricts access, and does not allow user overrides

En este ejemplo, tenga en cuenta que las coincidencias de todas las reglas se registran en los registros de auditoría y se muestran en los informes de DLP, aunque solo se aplica la regla más restrictiva.In this example, note that matches for all of the rules are recorded in the audit logs and shown in the DLP reports, even though only the most restrictive rule is enforced.

Con respecto a las sugerencias de Directiva, tenga en cuenta que:With respect to policy tips, note that:

  • Solo se mostrará la sugerencia de directiva de la regla más alta prioridad, que es la más restrictiva.Only the policy tip from the highest priority, most restrictive rule will be shown. Por ejemplo, una sugerencia de directiva de una regla que bloquea el acceso al contenido se mostrará por encima de una sugerencia de directiva de una regla que simplemente envía una notificación.For example, a policy tip from a rule that blocks access to content will be shown over a policy tip from a rule that simply sends a notification. Esto impide que las personas vean una cascada de sugerencias de directiva.This prevents people from seeing a cascade of policy tips.

  • Si las sugerencias de directiva en la regla más restrictiva permite que los usuarios invaliden la regla, la invalidación de esta regla invalida también otras reglas que coinciden con el contenido.If the policy tips in the most restrictive rule allow people to override the rule, then overriding this rule also overrides any other rules that the content matched.

Ajuste de reglas para que sea más fácil o más difícil hacer coincidirTuning rules to make them easier or harder to match

Una vez que los usuarios crean y activan sus directivas de DLP, algunas veces se encontrarán en estos problemas:After people create and turn on their DLP policies, they sometimes run into these issues:

  • Demasiado contenido que no es información confidencial coincide con las reglas, es decir, hay demasiados falsos positivos.Too much content that is not sensitive information matches the rules - in other words, too many false positives.

  • Hay muy poco contenido que es información confidencial que coincide con las reglas.Too little content that is sensitive information matches the rules. Es decir, las acciones de protección no se aplican a la información confidencial.In other words, the protective actions aren't being enforced on the sensitive information.

Para solucionar estos problemas, puede ajustar las reglas ajustando el recuento de instancias y la precisión de coincidencia para que el contenido sea más difícil o más fácil de coincidir con las reglas.To address these issues, you can tune your rules by adjusting the instance count and match accuracy to make it harder or easier for content to match the rules. Cada tipo de información confidencial que se usa en una regla tiene un recuento de instancias y una precisión de coincidencia.Each sensitive information type used in a rule has both an instance count and match accuracy.

Número de instanciasInstance count

El recuento de instancias significa simplemente el número de repeticiones de un tipo específico de información confidencial que debe estar presente para que el contenido cumpla la regla.Instance count means simply how many occurrences of a specific type of sensitive information must be present for content to match the rule. Por ejemplo, el contenido coincidirá con la regla que se muestra a continuación si se encuentra entre 1 y 9 exclusivos de Estados Unidos o Reino Unido.For example, content will match the rule shown below if between 1 and 9 unique U.S. or U.K. se identifican los números de pasaporte.passport numbers are identified.

Tenga en cuenta que el recuento de instancias incluye solo coincidencias únicas para los tipos de información confidencial y palabras clave.Note that the instance count includes only unique matches for sensitive information types and keywords. Por ejemplo, si un correo electrónico contiene 10 ocurrencias del mismo número de tarjeta de crédito, los 10 repeticiones contarán como una única instancia de un número de tarjeta de crédito.For example, if an email contains 10 occurrences of the same credit card number, those 10 occurrences count as a single instance of a credit card number.

Para usar el recuento de instancias para ajustar las reglas, las instrucciones son sencillas:To use instance count to tune rules, the guidance is straightforward:

  • Para que sea más fácil hacer coincidir la regla, reduzca el recuento mínimo y/o aumente el recuento máximo .To make the rule easier to match, decrease the min count and/or increase the max count. También puede establecer Max en any mediante la eliminación del valor numérico.You can also set max to any by deleting the numerical value.

  • Para hacer que la regla sea más difícil de encontrar, aumente el recuento mínimo .To make the rule harder to match, increase the min count.

Normalmente, las acciones menos restrictivas, como el envío de notificaciones de usuario, se usan en una regla con un recuento de instancias menor (por ejemplo, 1-9).Typically, you use less restrictive actions, such as sending user notifications, in a rule with a lower instance count (for example, 1-9). Y usted usa acciones más restrictivas, como restringir el acceso al contenido sin permitir invalidaciones de usuario, en una regla con un recuento de instancias superior (por ejemplo, 10-any).And you use more restrictive actions, such as restricting access to content without allowing user overrides, in a rule with a higher instance count (for example, 10-any).

Recuentos de instancias en el editor de reglas

Precisión de coincidenciaMatch accuracy

Como se ha descrito anteriormente, se define y se detecta un tipo de información confidencial mediante una combinación de distintos tipos de evidencias.As described above, a sensitive information type is defined and detected by using a combination of different types of evidence. Normalmente, un tipo de información confidencial se define mediante varias combinaciones de este tipo, denominadas patrones.Commonly, a sensitive information type is defined by multiple such combinations, called patterns. Un patrón que requiere menos evidencia tiene una precisión inferior de coincidencia (o nivel de confianza), mientras que un patrón que requiere más evidencia tiene una precisión de coincidencia superior (o nivel de confianza).A pattern that requires less evidence has a lower match accuracy (or confidence level), while a pattern that requires more evidence has a higher match accuracy (or confidence level). Para obtener más información acerca de los patrones reales y los niveles de confianza que se usan en cada tipo de información confidencial, vea Qué buscan los tipos de información confidencial.To learn more about the actual patterns and confidence levels used by every sensitive information type, see What the sensitive information types look for.

Por ejemplo, el tipo de información confidencial denominado número de tarjeta de crédito se define mediante dos patrones:For example, the sensitive information type named Credit Card Number is defined by two patterns:

  • Un patrón con 65% de confianza que requiere:A pattern with 65% confidence that requires:

    • Un número en el formato de un número de tarjeta de crédito.A number in the format of a credit card number.

    • Número que pasa la suma de comprobación.A number that passes the checksum.

  • Un patrón con 85% de confianza que requiere:A pattern with 85% confidence that requires:

    • Un número en el formato de un número de tarjeta de crédito.A number in the format of a credit card number.

    • Número que pasa la suma de comprobación.A number that passes the checksum.

    • Una palabra clave o una fecha de expiración en el formato correcto.A keyword or an expiration date in the right format.

Puede usar estos niveles de confianza (o precisión de coincidencia) en las reglas.You can use these confidence levels (or match accuracy) in your rules. Normalmente, las acciones menos restrictivas, como el envío de notificaciones de usuario, se usan en una regla con precisión de coincidencia inferior.Typically, you use less restrictive actions, such as sending user notifications, in a rule with lower match accuracy. Y usted usa acciones más restrictivas, como restringir el acceso al contenido sin permitir invalidaciones de usuario, en una regla con precisión de coincidencia superior.And you use more restrictive actions, such as restricting access to content without allowing user overrides, in a rule with higher match accuracy.

Es importante comprender que cuando se identifica un tipo específico de información confidencial, como un número de tarjeta de crédito, en el contenido, solo se devuelve un único nivel de confianza:It's important to understand that when a specific type of sensitive information, such as a credit card number, is identified in content, only a single confidence level is returned:

  • Si todas las coincidencias son para un único patrón, se devuelve el nivel de confianza para ese patrón.If all of the matches are for a single pattern, the confidence level for that pattern is returned.

  • Si hay coincidencias para más de un patrón (es decir, hay coincidencias con dos niveles de confianza diferentes), se devuelve un nivel de confianza superior a cualquiera de los patrones únicos.If there are matches for more than one pattern (i.e., there are matches with two different confidence levels), a confidence level higher than any of the single patterns alone is returned. Esta es la parte difícil.This is the tricky part. Por ejemplo, en el caso de una tarjeta de crédito, si se cumplen los patrones de 65% y 85%, el nivel de confianza devuelto para ese tipo de información confidencial es superior al 90%, ya que hay más evidencia implica más confianza.For example, for a credit card, if both the 65% and 85% patterns are matched, the confidence level returned for that sensitive information type is greater than 90% because more evidence means more confidence.

Por lo tanto, si desea crear dos reglas mutuamente excluyentes para tarjetas de crédito, una para la precisión de coincidencia del 65% y otra para la precisión del 85%, los rangos para la precisión de coincidencia tendrían el aspecto siguiente.So if you want to create two mutually exclusive rules for credit cards, one for the 65% match accuracy and one for the 85% match accuracy, the ranges for match accuracy would look like this. La primera regla recoge solo las coincidencias del patrón 65%.The first rule picks up only matches of the 65% pattern. La segunda regla recoge coincidencias con al menos un 85% de coincidencia y posiblemente puede tener otras coincidencias de menor confianza.The second rule picks up matches with at least one 85% match and can potentially have other lower-confidence matches.

Dos reglas con intervalos distintos para la precisión de coincidencia

Por estos motivos, las instrucciones para crear reglas con diferentes precisiones de coincidencia son las siguientes:For these reasons, the guidance for creating rules with different match accuracies is:

  • El nivel de confianza más bajo suele usar el mismo valor para mín y máx (no es un intervalo).The lowest confidence level typically uses the same value for min and max (not a range).

  • El nivel de confianza más alto suele ser un intervalo desde justo encima del nivel de confianza inferior a 100.The highest confidence level is typically a range from just above the lower confidence level to 100.

  • Los niveles de confianza intermedios suelen ir desde justo encima del nivel de confianza inferior hasta justo por debajo del nivel de confianza más alto.Any in-between confidence levels typically range from just above the lower confidence level to just below the higher confidence level.

Uso de una etiqueta como condición en una directiva DLPUsing a label as a condition in a DLP policy

Puede crear una etiqueta y, a continuación:You can create a label and then:

  • Publíquelo para que los usuarios finales puedan ver y aplicar manualmente la etiqueta al contenido.Publish it, so that end users can see and manually apply the label to content.

  • AplicarLa automáticamente al contenido que coincida con las condiciones que elija.Auto-apply it to content that matches the conditions that you choose.

Para obtener más información acerca de las etiquetas, vea información general sobre las etiquetas de retención.For more information about labels, see Overview of retention labels.

Después de crear una etiqueta, puede usarla como condición en las directivas de DLP.After you create a label, you can then use that label as a condition in your DLP policies. Por ejemplo, es posible que desee hacer esto porque:For example, you might want to do this because:

  • Ha publicado una etiqueta denominada confidencial, de modo que las personas de su organización puedan aplicar manualmente la etiqueta al correo electrónico confidencial y a los documentos.You published a label named Confidential, so that people in your organization can manually apply the label to confidential email and documents. Al usar esta etiqueta como una condición en la Directiva DLP, puede restringir el contenido de la etiqueta confidencial para que no pueda compartirse con personas de fuera de la organización.By using this label as a condition in your DLP policy, you can restrict content labeled Confidential from being shared with people outside your organization.

  • Ha creado una etiqueta denominada Alpine House para un proyecto con ese nombre y, a continuación, ha aplicado esa etiqueta automáticamente al contenido que contiene las palabras clave "Alpine House".You created a label named Alpine House for a project of that name, and then applied that label automatically to content containing the keywords "Alpine House". Al usar esta etiqueta como una condición en la Directiva DLP, puede mostrar una sugerencia de directiva a los usuarios finales cuando están a punto de compartir este contenido con alguien ajeno a su organización.By using this label as a condition in your DLP policy, you can show a policy tip to end users when they're about to share this content with someone outside your organization.

  • Publicó una etiqueta denominada " registro de impuestos" para que su administrador de registros pueda aplicar manualmente la etiqueta al contenido que debe clasificarse como un registro.You published a label named Tax record, so that your records manager can manually apply the label to content that needs to be classified as a record. Si usa esta etiqueta como condición en su Directiva DLP, puede buscar contenido con esta etiqueta junto con otros tipos de información confidencial, como ITINs o SSN; aplicar acciones de protección al registro de impuestosetiquetado de contenido; y obtenga informes detallados sobre la Directiva DLP de los informes de DLP y los datos del registro de auditoría.By using this label as a condition in your DLP policy, you can look for content with this label in conjunction with other types of sensitive information such as ITINs or SSNs; apply protection actions to content labeled Tax record; and get detailed activity reports about the DLP policy from the DLP reports and audit log data.

  • Publicó una etiqueta denominada Director Ejecutivo sensible al equipo para los buzoNes de Exchange y las cuentas de OneDrive de un grupo de ejecutivos.You published a label named Executive Leadership Team - Sensitive to the Exchange mailboxes and OneDrive accounts of a group of executives. Si usa esta etiqueta como condición en la Directiva DLP, puede aplicar acciones de retención y protección en el mismo subconjunto de contenido y usuarios.By using this label as a condition in your DLP policy, you can enforce both retention and protection actions on the same subset of content and users.

Mediante el uso de etiquetas como condición en las reglas de DLP, puede aplicar selectivamente acciones de protección en un conjunto específico de contenido, ubicaciones o usuarios.By using labels as a condition in your DLP rules, can you selectively enforce protection actions on a specific set of content, locations, or users.

Etiquetas como condición

La compatibilidad con las etiquetas de confidencialidad vieneSupport for sensitivity labels is coming

Tenga en cuenta que actualmente puede usar solo una etiqueta de retención como condición, no como etiquetade confidencialidad.Note that you can currently use only a retention label as a condition, not a sensitivity label. Actualmente estamos trabajando en soporte para usar una etiqueta de confidencialidad en esta condición.We're currently working on support for using a sensitivity label in this condition.

Cómo se relaciona esta característica con otras característicasHow this feature relates to other features

Se pueden aplicar varias características al contenido que contiene información confidencial:Several features can be applied to content containing sensitive information:

  • Una etiqueta de retención y una Directiva de retención pueden aplicar acciones de retención en este contenido.A retention label and a retention policy can both enforce retention actions on this content.

  • Una directiva DLP puede aplicar acciones de protección a este contenido.A DLP policy can enforce protection actions on this content. Y antes de aplicar estas acciones, una directiva DLP puede requerir que se cumplan otras condiciones además del contenido que contiene una etiqueta.And before enforcing these actions, a DLP policy can require other conditions to be met in addition to the content containing a label.

Diagrama de las características que se pueden aplicar a la información confidencial

Tenga en cuenta que una directiva DLP tiene una capacidad de detección más completa que una directiva de retención o etiqueta aplicada a la información confidencial.Note that a DLP policy has a richer detection capability than a label or retention policy applied to sensitive information. Una directiva DLP puede imponer acciones de protección en el contenido que contiene información confidencial y, si se elimina la información confidencial del contenido, esas acciones de protección se deshacen la próxima vez que se examina el contenido.A DLP policy can enforce protective actions on content containing sensitive information, and if the sensitive information is removed from the content, those protective actions are undone the next time the content's scanned. Pero si se aplica una directiva de retención o una etiqueta al contenido que contiene información confidencial, es una acción que no se deshará aunque se quite la información confidencial.But if a retention policy or label is applied to content containing sensitive information, that's a one-time action that won't be undone even if the sensitive information's removed.

Mediante el uso de una etiqueta como condición en una directiva DLP, puede aplicar acciones de retención y protección en el contenido con esa etiqueta.By using a label as a condition in a DLP policy, you can enforce both retention and protection actions on content with that label. Puede pensar que el contenido que contiene una etiqueta es exactamente igual al contenido que contiene información confidencial (tanto una etiqueta como un tipo de información confidencial) son las propiedades que se usan para clasificar el contenido, de modo que pueda aplicar acciones en ese contenido.You can think of content containing a label exactly like content containing sensitive information - both a label and a sensitive information type are properties used to classify content, so that you can enforce actions on that content.

Diagrama de la Directiva DLP que usa Label como condición

Configuración sencilla frente a configuración avanzadaSimple settings vs. advanced settings

Al crear una directiva DLP, tendrá que elegir entre una configuración simple o avanzada:When you create a DLP policy, you'll choose between simple or advanced settings:

  • La Configuración sencilla facilita la creación del tipo más común de directiva de DLP sin usar el editor de reglas para crear o modificar reglas.Simple settings make it easy to create the most common type of DLP policy without using the rule editor to create or modify rules.

  • Configuración avanzada use el editor de reglas para proporcionar un control completo sobre cada configuración de la Directiva de DLP.Advanced settings use the rule editor to give you complete control over every setting for your DLP policy.

No se preocupe, en las cubiertas, la configuración simple y la configuración avanzada funcionan exactamente de la misma manera, al aplicar las reglas que se componen de condiciones y acciones, solo con una configuración sencilla, no se ve el editor de reglas.Don't worry, under the covers, simple settings and advanced settings work exactly the same, by enforcing rules comprised of conditions and actions -- only with simple settings, you don't see the rule editor. Es una forma rápida de crear una directiva DLP.It's a quick way to create a DLP policy.

Configuración sencillaSimple settings

El escenario de DLP más común es la creación de una directiva para ayudar a proteger el contenido que contiene información confidencial para que no se pueda compartir con personas de fuera de la organización y realizar una acción correctiva automática, como restringir quién puede tener acceso al contenido. enviar notificaciones de usuario final o de administrador, y auditar el evento para una investigación posterior.By far, the most common DLP scenario is creating a policy to help protect content containing sensitive information from being shared with people outside your organization, and taking an automatic remedial action such as restricting who can access the content, sending end-user or admin notifications, and auditing the event for later investigation. Los usuarios usan DLP para ayudar a evitar la divulgación inadvertida de información confidencial.People use DLP to help prevent the inadvertent disclosure of sensitive information.

Para simplificar la consecución de este objetivo, al crear una directiva DLP, puede elegir Usar configuración sencilla.To simplify achieving this goal, when you create a DLP policy, you can choose Use simple settings. Esta configuración le proporciona todo lo que necesita para implementar la Directiva de DLP más común, sin tener que ir al editor de reglas.These settings provide everything you need to implement the most common DLP policy, without having to go into the rule editor.

Opciones de DLP para una configuración avanzada y sencilla

Configuración avanzadaAdvanced settings

Si necesita crear directivas de DLP más personalizadas, puede elegir Usar configuración avanzada.If you need to create more customized DLP policies, you can choose Use advanced settings.

La configuración avanzada presenta el editor de reglas, donde tiene control total sobre cada opción posible, incluidos el recuento de instancias y la precisión de coincidencia (nivel de confianza) para cada regla.The advanced settings present you with the rule editor, where you have full control over every possible option, including the instance count and match accuracy (confidence level) for each rule.

Para saltar a una sección rápidamente, haga clic en un elemento en la navegación superior del editor de reglas para ir a la sección siguiente.To jump to a section quickly, click an item in the top navigation of the rule editor to go to that section below.

Menú de navegación superior del editor de reglas de DLP

Plantillas de directiva de DLPDLP policy templates

El primer paso para crear una directiva de DLP es elegir la información que se va a proteger.The first step in creating a DLP policy is choosing what information to protect. Al empezar con una plantilla DLP, se guarda el trabajo de crear un nuevo conjunto de reglas desde el principio y se averigua qué tipos de información deben incluirse de forma predeterminada.By starting with a DLP template, you save the work of building a new set of rules from scratch, and figuring out which types of information should be included by default. A continuación, puede Agregar o modificar estos requisitos para ajustar la regla de acuerdo con los requisitos específicos de la organización.You can then add to or modify these requirements to fine tune the rule to meet your organization's specific requirements.

Una plantilla de directiva DLP preconfigurada puede ayudarle a detectar determinados tipos de información confidencial, como datos de HIPAA, datos PCI-DSS, datos de Act de Gramm-Leach-Bliley o incluso información de identificación personal específica de la configuración regional (P.I.).A preconfigured DLP policy template can help you detect specific types of sensitive information, such as HIPAA data, PCI-DSS data, Gramm-Leach-Bliley Act data, or even locale-specific personally identifiable information (P.I.). Para facilitar la búsqueda y la protección de tipos comunes de información confidencial, las plantillas de directiva que se incluyen en Office 365 ya contienen los tipos más comunes de información confidencial necesarios para comenzar.To make it easy for you to find and protect common types of sensitive information, the policy templates included in Office 365 already contain the most common sensitive information types necessary for you to get started.

Lista de plantillas para las directivas de prevención de pérdida de datos centrada en la plantilla de Patriot Act de EE. UU.

Su organización también puede tener sus propios requisitos específicos, en cuyo caso puede crear una directiva DLP desde cero eligiendo la opción directiva personalizada .Your organization may also have its own specific requirements, in which case you can create a DLP policy from scratch by choosing the Custom policy option. Una directiva personalizada está vacía y no contiene reglas prehechas.A custom policy is empty and contains no premade rules.

Implementar las directivas DLP gradualmente con el modo de pruebaRoll out DLP policies gradually with test mode

Cuando crea directivas DLP, considere la posibilidad de implementarlas gradualmente para evaluar su impacto y probar su eficacia antes de aplicarlas completamente.When you create your DLP policies, you should consider rolling them out gradually to assess their impact and test their effectiveness before fully enforcing them. Por ejemplo, no desea que una nueva Directiva de DLP bloquee involuntariamente el acceso a miles de documentos a los que los usuarios necesitan acceso para realizar su trabajo.For example, you don't want a new DLP policy to unintentionally block access to thousands of documents that people require access to in order to get their work done.

Si va a crear directivas de DLP con un gran impacto potencial, le recomendamos seguir esta secuencia:If you're creating DLP policies with a large potential impact, we recommend following this sequence:

  1. Inicie el modo de prueba sin sugerencias de directiva y, a continuación, use los informes de DLP y los informes de incidentes para evaluar el impacto.Start in test mode without Policy Tips and then use the DLP reports and any incident reports to assess the impact. Los informes DLP le sirven para ver el número, la ubicación, el tipo y la gravedad de las coincidencias de directivas.You can use DLP reports to view the number, location, type, and severity of policy matches. En función de los resultados, puede ajustar las reglas según sea necesario.Based on the results, you can fine tune the rules as needed. En el modo de prueba, las directivas DLP no afectarán a la productividad de las personas que trabajan en su organización.In test mode, DLP policies will not impact the productivity of people working in your organization.

  2. Cambie a modo de prueba con notificaciones y sugerencias de directivas para que pueda comenzar a enseñar a los usuarios las directivas de cumplimiento y prepararlos para las reglas que se van a aplicar. En esta fase, también puede solicitar a los usuarios que informen de falsos positivos para que pueda perfeccionar las reglas de los usuarios.Move to Test mode with notifications and Policy Tips so that you can begin to teach users about your compliance policies and prepare them for the rules that are going to be applied. At this stage, you can also ask users to report false positives so that you can further refine the rules.

  3. Inicie la aplicación completa en las directivas para que se apliquen las acciones de las reglas y el contenido esté protegido.Start full enforcement on the policies so that the actions in the rules are applied and the content's protected. Continúe supervisando los informes DLP y los informes de incidentes o las notificaciones para asegurarse de que los resultados sean los deseados.Continue to monitor the DLP reports and any incident reports or notifications to make sure that the results are what you intend.

Opciones para usar el modo de prueba y activar la directiva

Una directiva DLP se puede desactivar en cualquier momento, lo que afecta a todas las reglas de la directiva.You can turn off a DLP policy at any time, which affects all rules in the policy. Sin embargo, cada regla también se puede desactivar individualmente si se activa o desactiva su estado en el editor de reglas.However, each rule can also be turned off individually by toggling its status in the rule editor.

Opciones para desactivar una regla de una directiva

También puede cambiar la prioridad de varias reglas de una directiva.You can also change the priority of multiple rules in a policy. Para ello, abra una directiva para editarla.To do that, open a policy for editing. En una fila de una regla, elija los puntos suspensivos (...) y, a continuación, elija una opción, como bajar o traer al final.In a row for a rule, choose the ellipses (...), and then choose an option, such as Move down or Bring to last.

Establecer la prioridad de la regla

Informes de DLPDLP reports

Una vez que haya creado y activado las directivas de DLP, le conviene que compruebe que funcionan según lo previsto y le ayude a mantener la conformidad.After you create and turn on your DLP policies, you'll want to verify that they're working as you intended and helping you stay compliant. Con los informes de DLP, puede ver rápidamente el número de directivas DLP y coincidencias de regla a lo largo del tiempo, así como el número de falsos positivos e invalidaciones.With DLP reports, you can quickly view the number of DLP policy and rule matches over time, and the number of false positives and overrides. En cada informe, las coincidencias se pueden filtrar por ubicación, período de tiempo e incluso se puede especificar una directiva, una regla o una acción concretas.For each report, you can filter those matches by location, time frame, and even narrow it down to a specific policy, rule, or action.

Con los informes de DLP, puede obtener información de la empresa y:With the DLP reports, you can get business insights and:

  • Centrarse en períodos de tiempo específicos y comprender las causas de los picos y las tendencias.Focus on specific time periods and understand the reasons for spikes and trends.

  • Descubrir los procesos de negocio que infringen las directivas de cumplimiento de la organización.Discover business processes that violate your organization's compliance policies.

  • Comprender cualquier impacto de negocio de las directivas DLP.Understand any business impact of the DLP policies.

Además, puede usar los informes de DLP para ajustar sus directivas DLP mientras las ejecuta.In addition, you can use the DLP reports to fine tune your DLP policies as you run them.

Panel de informes en el centro de seguridad y cumplimiento

Cómo funcionan las directivas DLPHow DLP policies work

DLP detecta información confidencial mediante un análisis profundo del contenido (no solo un análisis de texto simple). Este análisis profundo del contenido usa coincidencias de palabras clave, coincidencias de diccionario, la evaluación de expresiones regulares, funciones internas y otros métodos para detectar el contenido que coincide con las directivas DLP. Posiblemente solo un pequeño porcentaje de los datos se considera confidencial. Una directiva DLP puede identificar, supervisar y proteger automáticamente solo esos datos, sin obstaculizar o afectar a las personas que trabajan con el resto del contenido.DLP detects sensitive information by using deep content analysis (not just a simple text scan). This deep content analysis uses keyword matches, dictionary matches, the evaluation of regular expressions, internal functions, and other methods to detect content that matches your DLP policies. Potentially only a small percentage of your data is considered sensitive. A DLP policy can identify, monitor, and automatically protect just that data, without impeding or affecting people who work with the rest of your content.

Las directivas se sincronizanPolicies are synced

Después de crear una directiva DLP en el centro & de seguridad y cumplimiento, se almacena en un almacén central de directivas y, a continuación, se sincroniza con los distintos orígenes de contenido, entre los que se incluyen:After you create a DLP policy in the Security & Compliance Center, it's stored in a central policy store, and then synced to the various content sources, including:

  • Exchange Online y de ahí a Outlook en la web y OutlookExchange Online, and from there to Outlook on the web and Outlook

  • Sitios de OneDrive para la EmpresaOneDrive for Business sites

  • Sitios de SharePoint OnlineSharePoint Online sites

  • Programas de escritorio de Office (Excel, PowerPoint y Word)Office desktop programs (Excel, PowerPoint, and Word)

  • Canales de Microsoft Teams y charlasMicrosoft Teams channels and chats

Una vez que la Directiva se ha sincronizado en las ubicaciones adecuadas, comienza a evaluar el contenido y a aplicar las acciones.After the policy's synced to the right locations, it starts to evaluate content and enforce actions.

Evaluación de la directiva en sitios de OneDrive para la Empresa y SharePoint OnlinePolicy evaluation in OneDrive for Business and SharePoint Online sites

En todos los sitios de SharePoint Online y los sitios de OneDrive para la empresa, los documentos cambian constantemente, por lo que continuamente se crean, editan, comparten, etc.Across all of your SharePoint Online sites and OneDrive for Business sites, documents are constantly changing — they're continually being created, edited, shared, and so on. Esto significa que los documentos pueden entrar en conflicto o pasar a ser conformes con una directiva DLP en cualquier momento.This means documents can conflict or become compliant with a DLP policy at any time. Por ejemplo, una persona puede cargar un documento que no contenga información confidencial a su sitio de grupo, pero más adelante, puede editar el mismo documento y agregar información confidencial.For example, a person can upload a document that contains no sensitive information to their team site, but later, a different person can edit the same document and add sensitive information to it.

Por este motivo, las directivas DLP buscan frecuentemente y en segundo plano coincidencias de directivas en los documentos.For this reason, DLP policies check documents for policy matches frequently in the background. Puede considerarlo como una evaluación asincrónica de directiva.You can think of this as asynchronous policy evaluation.

Cómo funcionaHow it works

A medida que los usuarios agregan o cambian documentos en sus sitios, el motor de búsqueda analiza el contenido para que usted pueda encontrarlo más adelante.As people add or change documents in their sites, the search engine scans the content, so that you can search for it later. Mientras esto sucede, el contenido también se examina en busca de información confidencial y se comprueba si está compartido.While this is happening, the content's also scanned for sensitive information and to check if it's shared. Toda la información confidencial encontrada se almacena de forma segura en el índice de búsqueda, por lo que solo el equipo de cumplimiento puede tener acceso a ella, pero no a los usuarios típicos.Any sensitive information that's found is stored securely in the search index, so that only the compliance team can access it, but not typical users. Cada directiva DLP que haya activado se ejecuta en segundo plano (asincrónicamente), comprobando la búsqueda con frecuencia en busca de contenido que coincida con una directiva y aplicando acciones para protegerla de pérdidas accidentales.Each DLP policy that you've turned on runs in the background (asynchronously), checking search frequently for any content that matches a policy, and applying actions to protect it from inadvertent leaks.

Diagrama que muestra cómo la Directiva DLP evalúa el contenido de forma asincrónica

Por último, los documentos pueden entrar en conflicto con una directiva DLP, pero también pueden cumplir con una directiva DLP. Por ejemplo, si una persona agrega números de tarjeta de crédito a un documento, podría hacer que una directiva DLP bloquee el acceso al documento de forma automática. Pero si la persona elimina más adelante la información confidencial, la acción (en este caso, el bloqueo) se deshace automáticamente la próxima vez que se evalúa el documento con la directiva.Finally, documents can conflict with a DLP policy, but they can also become compliant with a DLP policy. For example, if a person adds credit card numbers to a document, it might cause a DLP policy to block access to the document automatically. But if the person later removes the sensitive information, the action (in this case, blocking) is automatically undone the next time the document is evaluated against the policy.

La DLP evalúa cualquier contenido que se pueda indexar.DLP evaluates any content that can be indexed. Para obtener más información sobre los tipos de archivo que se rastrean de forma predeterminada, vea extensiones de nombre de archivo y tipos de archivos analizados predeterminados en SharePoint Server.For more information on what file types are crawled by default, see Default crawled file name extensions and parsed file types in SharePoint Server.

Evaluación de la Directiva en Exchange Online, Outlook y Outlook en la webPolicy evaluation in Exchange Online, Outlook, and Outlook on the web

Cuando se crea una directiva DLP que incluye Exchange online como ubicación, la Directiva se sincroniza desde el centro de seguridad & y cumplimiento de Office 365 a Exchange Online y, a continuación, desde Exchange Online a Outlook en la web y Outlook.When you create a DLP policy that includes Exchange Online as a location, the policy's synced from the Office 365 Security & Compliance Center to Exchange Online, and then from Exchange Online to Outlook on the web and Outlook.

Cuando se redacta un mensaje en Outlook, el usuario puede ver las sugerencias de directiva a medida que se evalúa el contenido que se está creando en las directivas de DLP.When a message is being composed in Outlook, the user can see policy tips as the content being created is evaluated against DLP policies. Y después de enviar un mensaje, se evalúa en las directivas DLP como una parte normal del flujo de correo, junto con las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) y las directivas de DLP creadas en el centro de administración de Exchange.And after a message is sent, it's evaluated against DLP policies as a normal part of mail flow, along with Exchange mail flow rules (also known as transport rules) and DLP policies created in the Exchange admin center. Las directivas de DLP examinan el mensaje y los datos adjuntos.DLP policies scan both the message and any attachments.

Evaluación de la Directiva en los programas de escritorio de OfficePolicy evaluation in the Office desktop programs

Excel, PowerPoint y Word incluyen la misma capacidad para identificar información confidencial y aplicar directivas de DLP como SharePoint Online y OneDrive para la empresa.Excel, PowerPoint, and Word include the same capability to identify sensitive information and apply DLP policies as SharePoint Online and OneDrive for Business. Estos programas de Office sincronizan sus directivas de DLP directamente desde el almacén de directivas central y, a continuación, evalúan continuamente el contenido con las directivas DLP cuando trabajan con documentos abiertos desde un sitio que se incluye en una directiva DLP.These Office programs sync their DLP policies directly from the central policy store, and then continuously evaluate the content against the DLP policies when people work with documents opened from a site that's included in a DLP policy.

La evaluación de la Directiva DLP en Office está diseñada para no afectar al rendimiento de los programas o a la productividad de los usuarios que trabajan en el contenido.DLP policy evaluation in Office is designed not to affect the performance of the programs or the productivity of people working on content. Si están trabajando en un documento de gran tamaño o el equipo del usuario está ocupado, la sugerencia de Directiva puede tardar unos segundos en aparecer.If they're working on a large document, or the user's computer is busy, it might take a few seconds for a policy tip to appear.

Evaluación de directivas en Microsoft TeamsPolicy evaluation in Microsoft Teams

Al crear una directiva DLP que incluya a Microsoft Teams como ubicación, la Directiva se sincroniza desde el centro de seguridad & y cumplimiento de Office 365 a las cuentas de usuario y los canales y chats de Microsoft Teams.When you create a DLP policy that includes Microsoft Teams as a location, the policy's synced from the Office 365 Security & Compliance Center to user accounts and Microsoft Teams channels and chats. Según la configuración de las directivas de DLP, cuando alguien intente compartir información confidencial en un canal o chat de Microsoft Teams, el mensaje se puede bloquear o revocar.Depending on how DLP policies are configured, when someone attempts to share sensitive information in a Microsoft Teams chat or channel, the message can be blocked or revoked. Además, los documentos que contengan información confidencial y que se compartan con invitados (usuarios externos) no se abrirán para esos usuarios.And, documents that contain sensitive information and that are shared with guests (external users) won't open for those users. Para obtener más información, consulte prevención de pérdida de datos y Microsoft Teams.To learn more, see Data loss prevention and Microsoft Teams.

PermisosPermissions

Los miembros del equipo de cumplimiento que crearán directivas de DLP necesitan permisos para & el centro de seguridad y cumplimiento.Members of your compliance team who will create DLP policies need permissions to the Security & Compliance Center. De forma predeterminada, el administrador de espacios empresariales tendrá acceso a esta ubicación y puede conceder a los responsables de cumplimiento y & otras personas acceso al centro de seguridad y cumplimiento, sin concederles todos los permisos de un administrador de inquilinos. Para ello, se recomienda:By default, your tenant admin will have access to this location and can give compliance officers and other people access to the Security & Compliance Center, without giving them all of the permissions of a tenant admin. To do this, we recommend that you:

  1. Crear un grupo en Office 365 y agregarle responsables de cumplimiento.Create a group in Office 365 and add compliance officers to it.

  2. Cree un grupo de roles en la página de permisos del & centro de seguridad y cumplimiento.Create a role group on the Permissions page of the Security & Compliance Center.

  3. Agregar el grupo de Office 365 al grupo de roles.Add the Office 365 group to the role group.

Para obtener más información, consulte Give users access to the Office 365 Compliance Center.For more information, see Give users access to the Office 365 Compliance Center.

Estos permisos son necesarios solo para crear y aplicar una directiva de DLP.These permissions are required only to create and apply a DLP policy. La aplicación de directivas no requiere acceso al contenido.Policy enforcement does not require access to the content.

Buscar los cmdlets de DLPFind the DLP cmdlets

Para usar la mayoría de los cmdlets del centro & de seguridad y cumplimiento, debe:To use most of the cmdlets for the Security & Compliance Center, you need to:

  1. Conectarse al Centro de seguridad y cumplimiento de Office 365 mediante PowerShell remotoConnect to the Office 365 Security & Compliance Center using remote PowerShell

  2. Usar cualquiera de estos cmdlets de directiva y-Compliance-DLPUse any of these policy-and-compliance-dlp cmdlets

Sin embargo, los informes DLP necesitan extraer datos de toda la oficina 365, incluido Exchange Online.However, DLP reports need pull data from across Office 365, including Exchange Online. Por este motivo, los cmdlets para los informes DLP están disponibles en Exchange Online PowerShell, no en el PowerShell & del centro de seguridad y cumplimiento.For this reason, the cmdlets for the DLP reports are available in Exchange Online Powershell -- not in Security & Compliance Center Powershell. Por lo tanto, para usar los cmdlets para los informes de DLP, debe:Therefore, to use the cmdlets for the DLP reports, you need to:

  1. Conectarse a Exchange Online con el PowerShell remotoConnect to Exchange Online using remote PowerShell

  2. Use cualquiera de estos cmdlets para los informes de DLP:Use any of these cmdlets for the DLP reports:

Más informaciónMore information