Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre las configuraciones para reducir el riesgo de derrame de datos evitando que se reciban clasificaciones de seguridad de mayor confidencialidad en entornos de menor confidencialidad. Su propósito es ayudar a las organizaciones a mejorar su posición de seguridad de la información. Las instrucciones de este artículo están diseñadas para adaptarse a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Para reducir la probabilidad y el posible daño del derrame de datos, los entornos de Microsoft 365 deben configurarse para:
- Evalúe las marcas de protección en los elementos entrantes y bloquee su recibo si es necesario.
- Evalúe las marcas de protección en los elementos que ya se han recibido y evite cualquier divulgación adicional si es necesario.
- Desencadenar alertas e informes adecuados.
- Proporcione un método de comprobación de elementos con clasificaciones superiores a las permitidas dentro de un entorno.
Evaluación de las marcas protectoras
Cuando se aplican clasificaciones de seguridad a elementos, como mediante la aplicación de una etiqueta de confidencialidad, también se aplican marcas protectoras. Las marcas de protección incluyen marcas de contenido, como encabezados y pies de página dicusussed en el marcado de contenido de etiquetas de confidencialidad. En el caso del correo electrónico, las marcas de protección también incluyen encabezados x de marcado de protección x y marcas basadas en asuntos. Para proporcionar la mejor cobertura posible, se deben aplicar enfoques que utilicen varios métodos de identificación de clasificaciones no emitidas. Los enfoques para identificar las clasificaciones de seguridad deben incluir la evaluación de:
-
X-protective-marking x-headers Las organizaciones gubernamentales deben marcar los metadatos de correo electrónico, en forma de encabezados x, para generar correo electrónico que identifique su clasificación de seguridad. Un x-protective-marking x-header including
SEC=SECRETdenota un elemento con una clasificación de seguridad SECRET. - Marcas de asunto Las organizaciones gubernamentales normalmente aplicarán marcas de asunto al correo electrónico. Las marcas de sujeto son más propensas a la manipulación, ya que son accesibles para el usuario final, pero siguen proporcionando una buena indicación de la clasificación de seguridad. Un marcado de asunto que incluye [SEC=SECRET] denota un elemento secreto.
-
Tipo de información confidencial (SIT) Los tipos de información confidencial (SIT) son identificadores basados en palabras clave o patrones que se pueden usar para buscar contenido dentro de elementos, incluidas las marcas de protección. Se puede configurar una SIT para identificar un marcado de contenido en
SECRETel encabezado o pie de página de un correo electrónico o documento. Una palabra clave deSECRETes más propensa a falsos positivos que se recomienda una palabra clave deSECRET CABINET Personal Privacytal discreción con esta técnica. - Etiqueta de confidencialidad Los usuarios no deben tener la capacidad de aplicar etiquetas de confidencialidad más allá de la clasificación de seguridad permitida para un entorno. Sin embargo, la configuración de etiquetas no publicadas para clasificaciones superiores a las permitidas puede ser útil cuando se empareja con configuraciones de etiquetado automático. Por ejemplo, una directiva de etiquetado automático que busque un marcado SECRET y aplique una etiqueta SECRET podría cifrar los elementos de alineación, lo que impediría cualquier divulgación adicional mientras intervienen los equipos de seguridad. Para obtener más información, consulte etiquetas para obtener información que supere el nivel PROTEGIDO.
Los enfoques usados en este artículo usan uno o varios de estos métodos para identificar las clasificaciones de seguridad.
Bloqueo de la recepción de correo electrónico con clasificaciones no emitidas
ISM-0565 define medidas para protegerse de los derrames de datos a través del correo electrónico recibido:
| Requisito | Detalles |
|---|---|
| ISM-0565 (marzo de 2025) | Email servidores están configurados para bloquear, registrar e informar de correos electrónicos con marcas de protección inapropiadas. |
Dentro de este requisito, el término marcas protectoras inapropiadas se usa normalmente para definir clasificaciones superiores a las permitidas para un entorno. Para cumplir este requisito, se deben configurar directivas de prevención de pérdida de datos (DLP) para evitar la transmisión, recepción y distribución adicional de elementos con clasificaciones no emitidas.
Regla DLP de ejemplo: Bloquear correo electrónico SECRET
La siguiente regla evalúa el correo electrónico en función del encabezado X, el marcado de asunto y la etiqueta de confidencialidad. No se ha agregado una condición que evalúe los SIT a esta regla debido al riesgo de falsos positivos, pero esto se podría agregar después de las pruebas si se considera adecuado. Esta regla se podría denominar EXO: bloquear el correo electrónico SECRETO y agregarse a una directiva denominada EXO: bloquear correo electrónico de clasificación no emitido.
| Condiciones | Acción |
|---|---|
| El encabezado coincide con los patrones: - Nombre del encabezado: x-protective-marking - Expresión regular de encabezado: SEC=SECRET GRUPO OR El asunto coincide con los patrones: -Expresión regular: \[SEC=SECRET GRUPO OR El contenido contiene etiquetas de confidencialidad: - SECRETO |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos La gravedad de la regla debe configurarse como alta con las alertas configuradas para asegurarse de que se notifica a los equipos de seguridad. |
Sugerencia
Esta lógica de regla DLP se podría modificar para aplicarla al correo electrónico TOP SECRET. Los entornos que funcionan en un nivel inferior a PROTECTED podrían usarlo para evitar la recepción de correo electrónico PROTEGIDO.
Bloqueo del uso compartido de elementos con clasificaciones no emitidas
Normalmente, hay muchas vías diferentes para que la información se mueva a un entorno. Email es una vía importante que se debe tratar, pero también debemos tener en cuenta las muchas otras formas en que se podrían recibir los archivos y el riesgo de que los elementos con clasificaciones no emitidas ya existan en un entorno.
Las clasificaciones de seguridad se pueden identificar a través de tipos de información confidencial personalizados, como los que se detallan en sintaxis sit de ejemplo para detectar marcas de protección.
Una vez configurados los SIT, SharePoint trabaja para indexar elementos activos para la alineación de SIT. Las directivas DLP se pueden crear para proteger los elementos que se consideran alineados con una SIT.
Nota:
La detección de SIT se puede ampliar a elementos históricos mediante la clasificación a petición. Para obtener más información sobre la clasificación a petición, consulte Clasificación a petición (versión preliminar).
Se podría crear el siguiente conjunto de SIT de ejemplo para intentar identificar marcas SECRET. Los niveles de confianza variarán para estos SIT, ya que cuanto más sencillos sean los marcados, mayor será la probabilidad de falsos positivos.
| Nombre de SIT | Expresión regular | Intervalo.Confianza |
|---|---|---|
| SECRET Regex | SECRET(?!,\sACCESS=)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\ | \/\/\ | \s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\ | \/\/\ | \s\/\/\s)CABINET) |
Bajo |
| SECRET Personal Privacy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Personal[ -]Privacy |
Mediano |
| Regex de privilegios legales SECRET | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legal[ -]Privilege |
Mediano |
| SECRET Legislative Secrecy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legislative[ -]Secrecy |
Mediano |
| SECRET NATIONAL CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
Mediano |
| REGEX DE GABINETE SECRETO | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)CABINET |
Mediano |
Regla DLP de ejemplo: Bloquear el uso compartido de elementos SECRET
La siguiente regla DLP se podría denominar SPOD - Bloquear el uso compartido de SECRETOS y agregarse a una directiva denominada SPOD : bloquear el uso compartido de clasificación no emitido.
| Condiciones | Acción |
|---|---|
| El contenido contiene, cualquiera de, tipo de información confidencial: - SECRET Regex - SECRET Personal Privacy Regex - Secret Legal Privilege Regex - Secret Legislative Secrecy Regex - SECRET NATIONAL CABINET Regex - SECRET CABINET Regex GRUPO OR El contenido contiene, cualquiera de, etiqueta de confidencialidad: SECRETO |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos La gravedad de la regla debe configurarse como alta con las alertas configuradas para asegurarse de que se notifica a los equipos de seguridad. |
Importante
Los SIT que identifican documentos basados en marcas pueden tener falsos positivos. Este artículo, por ejemplo, está lleno de marcas protectoras y se marcará en el nivel de seguridad más alto. Los enfoques para identificar falsos positivos deben equilibrarse y considerar que la detección de una SIT no garantiza la clasificación de seguridad. Los enfoques deben probarse completamente antes de que se implemente cualquier usuario que afecte a la configuración, como el cifrado.
Etiquetado automático de elementos con clasificaciones no emitidas
Las directivas DLP mostradas anteriormente hacen uso de condiciones de contenido que contienen la etiqueta de confidencialidad. Para utilizar estas condiciones, se requiere un método de etiquetado de elementos sospechosos de tener una clasificación no emitida. Esto se logra mediante el uso de directivas de etiquetado automático basadas en servicios para comprobar los elementos en reposo en las ubicaciones de SharePoint para la alineación de SIT. Si se detecta un elemento que contiene una clasificación de seguridad no emitida, el elemento se puede etiquetar y proteger. Esta configuración requiere que se creen etiquetas y no se publiquen directamente para los usuarios finales. En su lugar, deben publicarse en un servicio o tener una cuenta de interrupción para incluirlas en el ámbito del servicio de etiquetado automático. Puede encontrar más información sobre cómo expandir taxonomías de etiquetas a clasificaciones no emitidas en Etiquetas para obtener información más allá del nivel PROTEGIDO.
La configuración de etiquetado automático necesaria para lograr esto se ajustaría a los ejemplos proporcionados en la configuración de directiva basada en SharePoint. A continuación se proporciona otra configuración de ejemplo. Las reglas siguientes se pueden agregar a una directiva denominada SPOD - Etiquetar elementos SECRET:
| Nombre de regla | Servicios | Etiqueta que se va a aplicar | Condiciones |
|---|---|---|---|
| SPO: etiquetar elementos SECRET | SharePoint | SECRETO | El contenido contiene, cualquiera de, tipo de información confidencial: - Seleccionar todos los SIT SECRETOS |
| OD: etiquetar elementos SECRET | OneDrive | SECRETO | El contenido contiene, cualquiera de, tipo de información confidencial: - Seleccionar todos los SIT SECRETOS |
Una ventaja de ese etiquetado automático proporciona más allá de los métodos de detección basados en SIT es que el etiquetado habilitará las alertas de datos fuera de lugar. Esto se desencadena cada vez que se mueve un elemento de mayor confidencialidad a una ubicación de menor confidencialidad, alertando a los propietarios de la ubicación y a los usuarios que completan la actividad de movimiento. Otras alertas se pueden lograr mediante el uso de reglas de flujo de correo.
Las etiquetas de confidencialidad creadas para detectar y proteger las clasificaciones no emitidas también se pueden configurar con el cifrado de etiquetas de confidencialidad. Esta configuración de cifrado podría configurarse de forma que solo los equipos necesarios para investigar posibles derrames de datos tengan acceso a elementos etiquetados, lo que reduce considerablemente el impacto de posibles derrames. Esta configuración ayudaría a las organizaciones a cumplir los requisitos de restricción de datos de ISM-0133:
| Requisito | Detalles |
|---|---|
| ISM-0133 (marzo de 2025) | Cuando se produce un derrame de datos, se recomienda a los propietarios de datos y se restringe el acceso a los datos. |
Identificación de datos derramados
El Explorador de contenido es una funcionalidad de Microsoft Purview que permite a los administradores examinar un patrimonio de datos de Microsoft 365 de las organizaciones por tipo de información confidencial, etiqueta de confidencialidad, clasificador entrenable o etiqueta de retención. Una vez que se hayan creado los SIT para identificar las clasificaciones no emitidas o las etiquetas de confidencialidad con las directivas de etiquetado automático asociadas implementadas, los administradores podrán buscar elementos alineados en SharePoint, OneDrive, Exchange y Teams.
Microsoft Purview eDiscovery proporciona un método alternativo para buscar elementos con clasificaciones no emitidas. Se puede crear un caso de exhibición de documentos electrónicos con criterios de búsqueda que busquen una etiqueta de confidencialidad o SIT. Para obtener más información sobre el uso de eDiscovery para buscar contenido, vea Buscar contenido en sitios en eDiscovery.
Protección de elementos sin etiquetar
PSPF requiere que la información evaluada por cualquier riesgo o daño potencial que pueda deberse a su divulgación:
| Requisito | Detalles |
|---|---|
| Versión 2024 de PSPF: sección 9: clasificaciones & advertencias: requisito 59 | El autor evalúa el valor, la importancia o la confidencialidad de la información oficial (destinada a su uso como registro oficial) teniendo en cuenta los posibles daños al gobierno, el interés nacional, las organizaciones o las personas que surgirían si la confidencialidad de la información estuviera en peligro. |
Cuando se ha evaluado la información, su nivel de riesgo considerado se registra mediante la aplicación de una clasificación de seguridad. Microsoft 365 proporciona esto a través del etiquetado de confidencialidad. Configuraciones como el etiquetado obligatorio garantizan que todos los elementos, como documentos o correos electrónicos, tengan una etiqueta aplicada.
Si un usuario no ha aplicado una clasificación de seguridad a un elemento, es probable que no se haya considerado el riesgo de divulgación inapropiada. La distribución de la información contenida debe considerarse un riesgo. Las estrategias para estos escenarios deben tenerse en cuenta e incorporarse en una configuración dlp de organizaciones.
Muchas organizaciones gubernamentales australianas también consideran que los elementos no etiquetados son inadecuados según ISM-0565:
| Requisito | Detalles |
|---|---|
| ISM-0565 (marzo de 2025) | Email servidores están configurados para bloquear, registrar e informar de correos electrónicos con marcas de protección inapropiadas. |
Bloqueo de la transmisión de correo electrónico sin etiquetar
Para bloquear la transmisión de correo electrónico sin etiquetar, se puede configurar una directiva DLP en función de la plantilla de directiva personalizada y aplicarla al servicio Exchange.
Una transmisión de bloqueo de la directiva de correo electrónico sin etiquetar requiere dos reglas:
- La primera regla para los elementos salientes a través del contenido que se comparte desde Microsoft 365, con personas fuera de la condición de mi organización .
- Una segunda regla que se aplica al contenido que se comparte desde Microsoft 365, solo con personas de mi organización.
Las reglas necesitan una excepción, que se aplica a través de un grupo de condiciones con el operando NOT habilitado. El grupo de condiciones incluye una condición de contenido que contieneetiquetas de confidencialidad y tiene todas las etiquetas disponibles en el entorno seleccionado.
Las aplicaciones y servicios que generan correo electrónico están fuera de la configuración de etiquetado obligatorio que se aplica a Aplicaciones Microsoft 365 clientes. Por lo tanto, esta directiva DLP se desencadena cada vez que se envía correo electrónico no generado por el usuario. Se desencadena contra las alertas de seguridad generadas por los servicios de Microsoft, el correo electrónico de escáneres y dispositivos multifunción (MFP) y el correo electrónico de aplicaciones como recursos humanos o sistemas de nómina. Para asegurarse de que la directiva no bloquea los procesos empresariales esenciales, las excepciones deben incluirse en el grupo NOT. Por ejemplo:
- Eldominio de remitente OR esmicrosoft.com, que captura las alertas de seguridad y SharePoint.
- El remitente ORes miembro del grupo, con un grupo que contiene cuentas autorizadas para omitir este requisito.
- Ladirección IP del remitente OR es, junto con las direcciones de los MFP de la oficina.
La regla se desencadena cada vez que se envía un correo electrónico que no contiene una de las etiquetas de confidencialidad enumeradas a menos que el remitente esté exento a través de una de las excepciones configuradas.
Nota:
En algunas situaciones, como cuando se crean elementos de calendario a través de calendarios compartidos o acceso a buzones de correo desligados, es posible que las etiquetas de confidencialidad no se apliquen. Esto puede provocar que las invitaciones por correo electrónico generadas a partir de estos elementos de calendario tampoco tengan una etiqueta aplicada. Email generados a partir de elementos de calendario sin etiqueta se pueden identificar y excluir de las reglas DLP buscando una condición de patrones de coincidencias de encabezado,x-ms-exchange-calendar-originator-id : (?:_?)
Estas reglas DLP deben tener una acción de bloquear a todos junto con la gravedad adecuada y las acciones de informes.
El siguiente requisito de alerta es relevante para la regla DLP que se aplica a los elementos salientes:
| Requisito | Detalles |
|---|---|
| ISM-1023 (junio de 2024) | Se notifica a los destinatarios previstos de los correos electrónicos entrantes bloqueados y a los remitentes de los correos electrónicos salientes bloqueados. |
Para cumplir este requisito, la regla DLP que se aplica a los elementos salientes está configurada para notificar al usuario que intentó enviar el elemento.
Sugerencia
Las organizaciones gubernamentales que realizan la transición al etiquetado de confidencialidad pueden optar por configurar una sugerencia de directiva en lugar de bloquear o alertar acciones. Estas directivas se pueden usar para sugerir la selección de etiquetas sin configurarla como un requisito obligatorio. Aunque esto no cumple estrictamente el requisito del ISM, puede permitir una implementación más correcta de las funcionalidades de Microsoft Purview para los usuarios.
Ejemplo de directiva DLP que bloquea el correo electrónico sin etiquetar
La siguiente directiva DLP se aplica al servicio Exchange y evita la pérdida de información por correo electrónico sin etiquetar:
Nombre de directiva: EXO: bloquear el correo electrónico sin etiquetar
| Rule | Condiciones | Acción |
|---|---|---|
| Bloquear el correo electrónico saliente sin etiquetar | El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización AND Grupo de condiciones NOT El contenido contiene etiquetas de confidencialidad: - Seleccionar todas las etiquetas O El dominio del remitente es: - microsoft.com - incluir otras excepciones |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico - Bloquear a todos |