Para cumplir los estándares empresariales y las regulaciones del sector, las organizaciones tienen que proteger la información confidencial y evitar que se revele accidentalmente. Algunos ejemplos de información confidencial que podría querer evitar que se filtre fuera de su organización son datos financieros o información de identificación personal (PII), como números de tarjetas de crédito, números de la seguridad social o números de identificación nacional. Con una directiva de prevención de pérdida de datos (DLP) en SharePoint Server 2016, puede identificar, supervisar y proteger automáticamente información confidencial en todas las colecciones de sitios.
Con DLP, puede:
-
Cree una consulta DLP para identificar qué información confidencial existe ahora en las colecciones de sitios. Antes de crear directivas DLP, a menudo resulta útil ver con qué tipos de información confidencial trabajan los usuarios de su organización y qué colecciones de sitios contienen esta información confidencial. Con una consulta DLP, puede encontrar información confidencial que esté sujeta a las normativas comunes del sector, comprender mejor sus riesgos y determinar qué y dónde es la información confidencial que las directivas DLP necesitan proteger.
-
Cree una directiva DLP para supervisar y proteger automáticamente la información confidencial de las colecciones de sitios. Por ejemplo, puede configurar una directiva que muestre una sugerencia de directiva a los usuarios si guardan documentos que contienen información de identificación personal. Además, la directiva puede bloquear automáticamente el acceso a esos documentos para todos los usuarios excepto el propietario del sitio, el propietario del contenido y la persona que modificó por última vez el documento. Y, por último, como no quiere que las directivas DLP impidan que los usuarios realicen su trabajo, la sugerencia de directiva tiene una opción para invalidar la acción de bloqueo, de modo que los usuarios puedan seguir trabajando con documentos si tienen una justificación empresarial.
Plantillas DLP
Al crear una consulta DLP o una directiva DLP, puede elegir entre una lista de plantillas DLP que se correspondan con requisitos normativos comunes. Cada plantilla DLP identifica tipos específicos de información confidencial: por ejemplo, la plantilla denominada Datos de identificación personal (PII) de EE. UU. identifica contenido que contiene números de pasaporte de EE. UU. y Reino Unido, números de identificación fiscal individual (ITIN) de EE. UU. o números de la seguridad social de EE. UU. (SSN).
Tipos de información confidencial
Una directiva DLP ayuda a proteger la información confidencial, que se define como un tipo de información confidencial. SharePoint Server 2016 incluye definiciones para muchos tipos comunes de información confidencial que están listos para su uso, como un número de tarjeta de crédito, números de cuenta bancaria, números de identificación nacionales y números de pasaporte.
Cuando una directiva DLP busca un tipo de información confidencial, como un número de tarjeta de crédito, no busca simplemente un número de 16 dígitos. Cada tipo de información confidencial se define y se detecta mediante una combinación de:
-
Palabras clave
-
Funciones internas para validar las sumas de comprobación o composición
-
Evaluación de expresiones regulares para buscar coincidencias de patrón
-
Otros exámenes de contenido
Esto ayuda a que la detección de DLP alcance un alto grado de precisión reduciendo el número de falsos positivos que pueden interrumpir el trabajo de las personas.
Cada plantilla de DLP busca uno o más tipos de información confidencial. Para obtener más información sobre cómo funciona cada tipo de información confidencial, vea Qué buscan los tipos de información confidencial de SharePoint Server 2016.
|
Esta plantilla de DLP... |
Busca estos tipos de información confidencial... |
|---|---|
|
Datos de información de identificación personal (PII) de EE. UU. |
Número de pasaporte de EE.UU. / Reino Unido Número de identificación fiscal individual de EE. UU. (ITIN) Número de la seguridad social de EE. UU. (SSN) |
|
Ley de Gramm-Leach-Bliley de LOS EE. UU. (GLBA) |
Número de tarjeta de crédito Número de cuenta bancaria de EE. UU. Número de identificación fiscal individual de EE. UU. (ITIN) Número de la seguridad social de EE. UU. (SSN) |
|
PCI Data Security Standard (PCI DSS) |
Número de tarjeta de crédito |
|
Datos financieros del Reino Unido |
Número de tarjeta de crédito Número de tarjeta de débito de la UE Código SWIFT |
|
Datos financieros de EE. UU. |
Número de enrutamiento de ABA Número de tarjeta de crédito Número de cuenta bancaria de EE. UU. |
|
Datos de información de identificación personal (PII) del Reino Unido |
Número de seguro nacional del Reino Unido (NINO) Número de pasaporte de EE.UU. / Reino Unido |
|
Ley de protección de datos del Reino Unido |
Código SWIFT Número de seguro nacional del Reino Unido (NINO) Número de pasaporte de EE.UU. / Reino Unido |
|
Normativas de privacidad y comunicaciones electrónicas del Reino Unido |
Código SWIFT |
|
Leyes de Confidencialidad del número de la seguridad social del estado de LOS EE. UU. |
Número de la seguridad social de EE. UU. (SSN) |
|
Leyes de notificación de infracciones del estado de EE. UU. |
Número de tarjeta de crédito Número de cuenta bancaria de EE. UU. Número de licencia de conducir de EE. UU. Número de la seguridad social de EE. UU. (SSN) |
Consultas DLP
Antes de crear las directivas DLP, es posible que desee ver qué información confidencial ya existe en todas las colecciones de sitios. Para ello, cree y ejecute consultas DLP en el Centro de exhibición de documentos electrónicos.
Una consulta DLP funciona igual que una consulta de exhibición de documentos electrónicos. En función de la plantilla dlp que elija, la consulta DLP se configura para buscar tipos específicos de información confidencial. En primer lugar, elija las ubicaciones que desea buscar y, a continuación, puede ajustar la consulta porque admite el Lenguaje de consulta de palabras clave (KQL). Además, puede restringir la consulta seleccionando un intervalo de fechas, autores específicos, valores de propiedad de SharePoint o ubicaciones. Y, al igual que con una consulta de exhibición de documentos electrónicos, puede obtener una vista previa de los resultados de la consulta, exportarlos y descargarlos.
Directivas DLP
Una directiva DLP le ayuda a identificar, supervisar y proteger automáticamente información confidencial que está sujeta a las normativas comunes del sector. Puede elegir qué tipos de información confidencial desea proteger y qué acciones realizar cuando se detecta el contenido que contiene dicha información confidencial. Una directiva DLP puede notificar al responsable de cumplimiento normativo mediante el envío de un informe de incidentes, notificar al usuario con una sugerencia de directiva en el sitio y, opcionalmente, bloquear el acceso al documento para todos los usuarios excepto el propietario del sitio, el propietario del contenido y la persona que haya modificado por última vez el documento. Por último, la sugerencia de directiva tiene una opción para invalidar la acción de bloqueo, de modo que los usuarios puedan seguir trabajando con documentos si tienen una justificación empresarial o necesitan informar de un falso positivo.
Puede crear y administrar directivas DLP en el Centro de directivas de cumplimiento. Crear una directiva DLP es un proceso de dos pasos: primero debe crear la directiva DLP y, después, asignar la directiva a una colección de sitios.
Paso 1: Crear una directiva DLP
Al crear una directiva DLP, elija una plantilla dlp que busque los tipos de información confidencial que necesita para identificar, supervisar y proteger automáticamente.
Cuando una directiva DLP encuentra contenido que incluye el número mínimo de instancias de un tipo específico de información confidencial que elija (por ejemplo, cinco números de tarjeta de crédito o un único número de la seguridad social), la directiva DLP puede proteger automáticamente la información confidencial realizando las siguientes acciones:
-
Enviar un informe de incidentes a las personas que elija (como su responsable de cumplimiento normativo) con los detalles del evento. Este informe incluye detalles sobre el contenido detectado, como el título, el propietario del documento y qué información confidencial se detectó. Para enviar informes de incidentes, debe configurar las opciones de correo electrónico saliente en la Administración central.
-
Notificar al usuario con una sugerencia de directiva cuando los documentos que contienen información confidencial se guardan o editan. La sugerencia de directiva explica por qué ese documento entra en conflicto con una directiva DLP, para que los usuarios puedan realizar acciones correctivas, como quitar la información confidencial del documento. Cuando el documento cumple las normativas, la sugerencia de directiva desaparece.
-
Bloqueo del acceso al contenido para todos los usuarios excepto el propietario del sitio, el propietario del documento y la persona que modificó por última vez el documento. Estas personas pueden eliminar la información confidencial del documento o realizar otras acciones correctivas. Cuando el documento cumple la normativa, los permisos originales se restauran automáticamente. Es importante comprender que la sugerencia de directiva ofrece a los usuarios la opción de invalidar la acción de bloqueo. Por lo tanto, las sugerencias de directiva pueden ayudar a educar a los usuarios sobre las directivas DLP y aplicarlas sin impedir que los usuarios realicen su trabajo.
Paso 2: Asignar una directiva DLP
Después de crear una directiva DLP, debe asignarla a una o más colecciones de sitios, donde puede empezar a ayudar a proteger información confidencial en esas ubicaciones. Se puede asignar una sola directiva a muchas colecciones de sitios, pero es necesario crear cada asignación de una en una.
Sugerencias de directiva
Quiere que las personas de su organización que trabajan con información confidencial cumplan con las directivas DLP, pero no quiere impedirles innecesariamente que realicen su trabajo. Aquí es donde las sugerencias de directiva pueden ayudarle.
Una sugerencia de directiva es una notificación o advertencia que aparece cuando un usuario trabaja con contenido que entra en conflicto con una directiva DLP, por ejemplo, contenido como un libro de Excel que contiene información de identificación personal (PII) y que se guarda en un sitio.
Puede usar sugerencias de directiva para aumentar el conocimiento y ayudar a educar a las personas sobre las directivas de su organización. Las sugerencias de directiva también ofrecen a los usuarios la opción de invalidar la directiva, de modo que no se bloqueen si tienen una necesidad empresarial válida o si la directiva detecta un falso positivo.
Ver o reemplazar una sugerencia de directiva
Para realizar una acción en un documento, como reemplazar la directiva DLP o informar de un falso positivo, puede seleccionar el menú Abrir ... para el elemento > Ver sugerencia de directiva.
La sugerencia de directiva enumera los problemas con el contenido y puede elegir Resolver y, después, Invalidar la sugerencia de directiva o Informar de un falso positivo.
Detalles sobre cómo funcionan las sugerencias de directiva
Tenga en cuenta que es posible que el contenido coincida con más de una directiva DLP, pero solo se mostrará la sugerencia de directiva de la directiva de mayor prioridad y restricción. Por ejemplo, una sugerencia de directiva de una directiva DLP que bloquee el acceso al contenido se mostrará a través de una sugerencia de directiva de una regla que simplemente notifique al usuario. Esto impide que las personas vean una cascada de sugerencias de directiva. Además, si las sugerencias de directiva de la directiva más restrictiva permiten a los usuarios invalidar la directiva, la invalidación de esta directiva también invalida cualquier otra directiva que coincida con el contenido.
Las directivas DLP se sincronizan con los sitios y el contenido se evalúa periódica y asincrónicamente (vea la siguiente sección), por lo que puede haber un breve retraso entre el tiempo que crea la directiva DLP y el momento en que empieza a ver las sugerencias de directiva.
Cómo funcionan las directivas DLP
DLP detecta información confidencial mediante un análisis profundo del contenido (no solo un análisis de texto simple). Este análisis profundo del contenido usa coincidencias de palabras clave, la evaluación de expresiones regulares, funciones internas y otros métodos para detectar contenido que coincida con las directivas DLP. Posiblemente solo un pequeño porcentaje de los datos se considera confidencial. Una directiva DLP puede identificar, supervisar y proteger automáticamente solo esos datos, sin obstaculizar o afectar a las personas que trabajan con el resto del contenido.
Después de crear una directiva DLP en el Centro de directivas de cumplimiento, se almacena como definición de directiva en ese sitio. Después, a medida que asigne la directiva a distintas colecciones de sitios, la directiva se sincroniza con esas ubicaciones, donde empieza a evaluar el contenido y aplicar acciones como enviar informes de incidentes, mostrar sugerencias de directiva y bloquear el acceso.
Evaluación de directivas en sitios
En todas las colecciones de sitios, los documentos cambian constantemente, se crean, editan, comparten, etc. continuamente. Esto significa que los documentos pueden entrar en conflicto o pasar a ser conformes con una directiva DLP en cualquier momento. Por ejemplo, una persona puede cargar un documento que no contenga información confidencial a su sitio de grupo, pero más adelante, otra persona puede editar el mismo documento y agregar información confidencial.
Por este motivo, las directivas DLP buscan frecuentemente y en segundo plano coincidencias de directivas en los documentos. Puede considerarlo como una evaluación asincrónica de directiva.
El funcionamiento es el siguiente. A medida que los usuarios agregan o cambian documentos en sus sitios, el motor de búsqueda analiza el contenido para que usted pueda encontrarlo más adelante. Mientras esto ocurre, el contenido también se escanea para obtener información confidencial. La información confidencial encontrada se almacena de forma segura en el índice de búsqueda para que solo el equipo de cumplimiento pueda tener acceso a ella, pero no los usuarios normales. Cada directiva DLP activada se ejecuta en segundo plano (asincrónicamente), comprobando la búsqueda con frecuencia de cualquier contenido que coincida con una directiva y aplicando acciones para protegerla de pérdidas accidentales.
Por último, los documentos pueden entrar en conflicto con una directiva DLP, pero también pueden cumplir con una directiva DLP. Por ejemplo, si una persona agrega números de tarjeta de crédito a un documento, podría hacer que una directiva DLP bloquee el acceso al documento de forma automática. Pero si la persona elimina más adelante la información confidencial, la acción (en este caso, el bloqueo) se deshace automáticamente la próxima vez que se evalúa el documento con la directiva.
La DLP evalúa cualquier contenido que se pueda indexar. Para obtener más información sobre qué tipos de archivo se rastrean de forma predeterminada, vea Extensiones de nombre de archivo rastreadas y tipos de archivo analizados predeterminados.
Ver eventos DLP en los registros de uso
Puede ver la actividad de la directiva DLP en los registros de uso del servidor que ejecuta SharePoint Server 2016. Por ejemplo, puede ver el texto escrito por los usuarios cuando reemplazan una sugerencia de directiva o informan de un falso positivo.
En primer lugar, debe activar la opción en Administración central (Supervisión > Configurar la recopilación de datos de mantenimiento y uso > Data_SPUnifiedAuditEntry uso de eventos de registro simple). Para obtener más información sobre el registro de uso, vea Configurar la recopilación de datos de mantenimiento y uso.
Después de activar esta característica, puede abrir los informes de uso en el servidor y ver las justificaciones proporcionadas por los usuarios para reemplazar una sugerencia de directiva DLP, junto con otros eventos DLP.
Antes de empezar con DLP
En este tema se describen algunas de las características de las que depende DLP. Incluyen:
-
Para detectar y clasificar información confidencial en las colecciones de sitios, inicie el servicio de búsqueda y defina una programación de rastreo para el contenido.
-
Active el correo electrónico de salida.
-
Para ver invalidaciones de usuario y otros eventos DLP, active el informe de uso.
-
Cree las colecciones de sitios:
-
Para consultas DLP, cree la colección de sitios del Centro de exhibición de documentos electrónicos.
-
Para las directivas DLP, cree la colección de sitios del Centro de directivas de cumplimiento.
-
-
Cree un grupo de seguridad para el equipo de cumplimiento y, a continuación, agregue un grupo de seguridad al grupo Propietarios en el Centro de exhibición de documentos electrónicos o el Centro de directivas de cumplimiento.
-
Para ejecutar consultas DLP, se necesitan permisos de vista para todo el contenido en el que buscará la consulta; para obtener más información, vea Crear una consulta DLP en SharePoint Server 2016.
