Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El propósito de este artículo es ayudar a las organizaciones gubernamentales australianas a mejorar su posición de seguridad de la información. Las instrucciones de este artículo se han escrito para adaptarse mejor a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre las configuraciones para reducir el riesgo de divulgación inapropiada de información confidencial a través de los servicios de Microsoft 365. En este artículo se exploran las configuraciones que se deben implementar además de las que se describen en Prevención de la distribución inapropiada de información clasificada de seguridad.
Las organizaciones gubernamentales australianas deben asegurarse de que sus configuraciones DLP incluyen:
- El uso de plantillas de directiva DLP proporcionadas por Microsoft para la detección de información confidencial relevante para los tipos de datos australianos.
- El uso de tipos de información confidencial (SIT) para detectar elementos potencialmente clasificados en seguridad a través de sus marcas de protección.
- El uso de SIT y clasificadores personalizados para detectar información confidencial relacionada con las iniciativas o servicios gubernamentales australianos.
Una configuración DLP completa que protege la información en función de su contexto (etiqueta de confidencialidad) y contenido reducirá en gran medida el riesgo de pérdida de información. Los métodos de detección basados en contenido también reducen la dependencia de las organizaciones de las clasificaciones de seguridad como único punto de anclaje para los controles de seguridad de datos.
Entre los ejemplos de cómo el contenido basado en (en lugar de basado en etiquetas), los enfoques ayudan con esto incluyen situaciones en las que:
- Un usuario degrada malintencionadamente la etiqueta de confidencialidad aplicada a un elemento (como se describe en consideraciones de reclasificación) y, a continuación, intenta filtrarla.
- Un usuario copia información confidencial del documento clasificado y la pega en un correo electrónico o chat de Teams.
- Un adversario que tiene acceso a través de una cuenta en peligro obtiene información masiva de un servicio interno e intenta filtrarla por correo electrónico.
En cada uno de estos escenarios, se usan enfoques que evalúan el contenido real en lugar de la etiqueta aplicada a los elementos para ayudar a evitar y limitar la vulneración de datos.
En términos de necesidad de conocer, la aprobación de una organización externa para acceder a información clasificada de seguridad no sugiere automáticamente que todos los usuarios de la organización puedan acceder a información confidencial. Las organizaciones gubernamentales deben aplicar configuraciones que proporcionen visibilidad y control pormenorizados sobre el flujo de información confidencial, independientemente de los controles centrados en las etiquetas o clasificaciones de confidencialidad. Estos controles se alinean con el requisito 75 del Marco de directivas de seguridad de protección (PSPF ).
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 75 | El acceso a información o recursos clasificados de seguridad solo se proporciona a personas ajenas a la entidad con la autorización de seguridad adecuada (cuando sea necesario) y una necesidad de conocer, y se transfiere de acuerdo con los requisitos mínimos de protección y control. |
Nota:
Las directivas para proteger primero la información confidencial dependen de que la información se identifique como confidencial. Estos conceptos se tratan con detalle en la identificación de información confidencial.
Control del correo electrónico de información confidencial
Las configuraciones DLP de Microsoft Purview deben incluir directivas para:
- Identificar y proteger el correo electrónico que contiene información confidencial
- Identificar y proteger los elementos que contienen marcas protectoras en línea con su clasificación de seguridad correspondiente
- Identificación y protección de elementos que contienen palabras de código, términos confidenciales o contenido considerados confidenciales para la organización
Uso de plantillas de directiva DLP para controlar el correo electrónico de información confidencial
Todas las organizaciones conservan cierta medida de información confidencial. Podría tratarse de información sobre usuarios, clientes o miembros del público. Microsoft proporciona tipos de información confidencial (SIT) precompilados y plantillas de directiva DLP para ayudar con la identificación y protección de la información que normalmente debe protegerse.
La información de estado es un ejemplo de información confidencial que las organizaciones necesitan proteger. En Australia, tenemos la Ley mis registros de salud , que incluye un marco de privacidad que especifica cómo se puede recopilar y usar la información de salud, y sanciones por recopilación o divulgación incorrectas.
Para identificar con precisión la información de salud, podemos usar los enfoques descritos en Tipos de información confidencial de entidades con nombre.
La información de estado podría etiquetarse adecuadamente y los controles basados en etiquetas, como los incluidos en la prevención de la distribución inadecuada de información clasificada de seguridad que se le aplica. Sin embargo, todavía se aplica la necesidad de saber. Las organizaciones externas, independientemente de si están aprobadas para acceder a información clasificada, no deben tener la capacidad de recibir o acceder a dicha información sin necesidad de hacerlo. Una mayor granularidad es esencial para ayudar a abordar la necesidad de conocer.
La siguiente regla DLP de ejemplo se usa para evitar la distribución externa de registros de estado. Esta directiva de ejemplo usa la plantilla de directiva preconstruida Australia Health Records Act (HRIP Act) Enhanced, modificada para aplicarse al servicio Exchange solo para que se apliquen restricciones basadas en destinatarios.
Esta plantilla de directiva, en lugar de buscar información de estado, busca identificar combinaciones de información de mantenimiento con otros tipos de información. Otros tipos de información que probablemente signifiquen un registro de estado incluyen el nombre, la dirección y otros identificadores personales.
Las plantillas de directiva proporcionadas por Microsoft permiten definir acciones de directiva de bajo y alto volumen. De forma predeterminada, el volumen bajo se configura como 1 a 9 repeticiones y el volumen alto es superior a 10 repeticiones. Estos umbrales se pueden personalizar aún más.
Las organizaciones externas que necesitan conocer la información se pueden agregar a una lista de dominios aprobados a través de la lista NOT de excepciones de la regla.
| Nombre de regla | Condiciones | Acción |
|---|---|---|
| Volumen bajo de contenido detectado en australia Health Records Act | El contenido se comparte desde Microsoft 365, Con personas ajenas a mi organización AND El contenido contiene cualquiera de: - Número de archivo de impuestos de Australia (0 a 9) - Número de cuenta médica de Australia (0 a 9) - Direcciones físicas de Australia (0 a 9) AND El contenido contiene: - Todos los nombres completos (de 0 a 9) AND El contenido contiene: - Todos los términos y condiciones médicas (0 a 9) AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de información de mantenimiento |
Notificar a los usuarios con sugerencias de correo electrónico y directivas. Configure una sugerencia de directiva de: "Un destinatario de este correo electrónico es de una organización que no está autorizada para recibir información de estado. Este correo electrónico se bloquea a menos que se quiten destinatarios no autorizados del campo para . Si no es correcto, póngase en contacto con el soporte técnico para analizar sus necesidades". Configure la gravedad de incidentes más baja y las opciones de notificación adecuadas. |
| Se detectó un gran volumen de contenido en la Ley de registros médicos de Australia | El contenido se comparte desde Microsoft 365, Con personas ajenas a mi organización AND El contenido contiene cualquiera de: - Número de archivo de impuestos de Australia (de 10 a cualquiera) - Número de cuenta médica de Australia (de 10 a cualquiera) - Direcciones físicas de Australia (de 10 a cualquiera) AND El contenido contiene: - Todos los nombres completos (de 10 a cualquiera) AND El contenido contiene: - Todos los términos y condiciones médicas (de 10 a cualquiera) AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de información de mantenimiento |
Notificar a los usuarios con sugerencias de correo electrónico y directivas. Configure una sugerencia de directiva de: "Un destinatario de este correo electrónico es de una organización que no está autorizada para recibir información de estado. Este correo electrónico se bloquea a menos que se quiten destinatarios no autorizados del campo para . Si no es correcto, póngase en contacto con el soporte técnico para analizar sus necesidades". Configure la gravedad alta de incidentes y las opciones de notificación adecuadas. |
Una ventaja significativa de esta regla DLP es que si un usuario malintencionado o una cuenta en peligro intentaran filtrar una cantidad masiva de registros de estado a un dominio de correo electrónico no aprobado, la acción se bloquea y se notifica a los administradores. La organización puede ampliar estos controles a los usuarios internos para ayudar a garantizar que los usuarios externos que participan en funciones empresariales no relacionadas no puedan recibir este tipo de información de estado. También se pueden crear otras reglas que apliquen los mismos controles a las personas de mi organización. Estas reglas podrían usar un grupo interno para las excepciones en lugar de una lista de dominios externos.
Nota:
Para aplicar las condiciones DLP disponibles para el servicio Exchange, como el dominio de destinatario, las plantillas de directiva solo se aplican al servicio Exchange. Esto significa que cada plantilla de directiva se usa varias veces, una para cada servicio. Por ejemplo:
- Ley de registros de salud de Australia mejorada para Exchange
- Ley de registro de estado de Australia mejorada para SharePoint y OneDrive
- Ley de registro de estado de Australia Mejorada para mensajería de canales y chat de Teams
Las plantillas de directiva DLP precompiladas proporcionadas por Microsoft que las organizaciones gubernamentales australianas deben tener en cuenta para la implementación incluyen:
- Ley de privacidad de Australia mejorada
- Ley de registros de salud de Australia mejorada
- Datos financieros de Australia
- Standard de seguridad de datos de PCI: PCI DSS
- Datos de identificación personal (PII) de Australia
Control del correo electrónico de información marcada
Las etiquetas de confidencialidad deben usarse como una indicación clave de la confidencialidad del elemento. En la mayoría de los casos, los métodos de protección de la información basada en etiquetas aplicadas, tal como se cubren en la prevención de la distribución inadecuada de información clasificada de seguridad, proporcionan una protección adecuada. Sin embargo, también debemos tener en cuenta situaciones en las que:
- El contenido se copia de un elemento clasificado.
- Los elementos se reciben de organizaciones gubernamentales externas y están marcados, pero aún no se han etiquetado.
- Los elementos se crearon antes de la implementación de etiquetas de confidencialidad y aún no tienen etiquetas aplicadas.
En situaciones en las que los elementos aún no están etiquetados, se puede usar una combinación de etiquetado automático basado en cliente y etiquetado automático basado en servicio para aplicar etiquetas a los elementos. Las recomendaciones basadas en cliente se aplican cuando un usuario abre un archivo. Los índices de etiquetado automático basados en el servicio y los elementos de etiquetas en reposo o en tránsito para el correo electrónico.
Con el fin de mejorar la protección, los métodos de identificación de contenido, como se muestra en el ejemplo de sintaxis SIT para detectar marcas de protección, se pueden usar para buscar marcas de protección. Una vez identificadas, las protecciones se pueden aplicar a los elementos que se alinean con las marcas asociadas a la clasificación de seguridad. Esto permite proteger los elementos en situaciones en las que los usuarios omiten las recomendaciones de etiquetas de cliente o el etiquetado automático basado en servicios aún no ha procesado los elementos.
Sugerencia
Las organizaciones gubernamentales australianas deben implementar directivas DLP que comprueben las marcas de protección en el correo electrónico. Las directivas deben crearse para tener como destino las marcas PROTECTED y OFFICIAL: Sensitive. Se puede aplicar una configuración adicional a los subconjuntos, como las marcas con la advertencia CABINET.
Por ejemplo, la siguiente regla DLP solo se aplica al servicio Exchange. La regla identifica las marcas PROTEGIDAs en el correo electrónico y, a continuación, impide que todas las organizaciones aprobadas lo reciban.
Nota:
Esta regla es una copia del ejemplo proporcionado en la regla DLP de ejemplo: Bloquear correo electrónico protegido en organizaciones no aprobadas. Sin embargo, usa SIT en condiciones de directiva en lugar de etiquetas de confidencialidad. Incluye excepciones que garantizan que no se desencadene contra elementos etiquetados, que también es probable que contengan los SIT coincidentes.
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365, con personas ajenas a mi organización AND El contenido contiene el tipo de información confidencial: - Selección de todos los SIT protegidos AND Group NOT El contenido contiene la etiqueta de confidencialidad: - Seleccionar todas las etiquetas PROTEGIDAs AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de correo electrónico protegido |
Restringir el acceso o cifrar el contenido en ubicaciones de Microsoft 365: - Impedir que los usuarios reciban correo electrónico o accedan - Bloquear a todos Configure una sugerencia de directiva de: "Un destinatario de este correo electrónico es de una organización que no está autorizada para recibir información protegida. Este correo electrónico se bloquea a menos que se quiten destinatarios no autorizados del campo para . Si no es correcto, póngase en contacto con el soporte técnico para analizar sus necesidades". Configure las opciones de notificación y gravedad de incidentes adecuadas. |
Protección de elementos con clasificaciones reducidas
La confianza de Microsoft , pero comprobar el enfoque de clasificación de seguridad, permite a los usuarios cambiar la etiqueta de confidencialidad aplicada a los elementos. Esto se describe en consideraciones de reclasificación.
Email conversaciones en las que participan representantes gubernamentales australianos, se les aplican medidas protectoras. Están presentes en los encabezados x de correo electrónico, pero también en marcas de asunto y marcas visuales basadas en texto a lo largo del historial de conversaciones.
Si una clasificación aplicada a una conversación de correo electrónico se ha degradado, por ejemplo, de "PRIVACIDAD PERSONAL PROTEGIDA" a "NO OFICIAL", desencadena la justificación del cambio de etiqueta, genera eventos auditables y se factorizará aún más en Insider Risk Management. Después de esta aparición, las marcas de asunto aplicadas anteriormente y las marcas visuales basadas en texto se pueden identificar en las respuestas anteriores de los correos electrónicos a través de SIT. Por ejemplo, un SIT con el siguiente RegEx identifica "PROTECTED // Personal Privacy" en un encabezado de correo electrónico y [SEC=PROTECTED, Access=Personal-Privacy] en un marcado de asunto:
PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
Las reglas DLP de ejemplo proporcionadas en la sección anterior (controlar el correo electrónico de información marcada), identificarán los elementos como PROTEGIDOs a través de sus marcas protectoras y bloquearán la filtración independientemente de la etiqueta de confidencialidad aplicada. La ordenación cuidadosa de directivas DLP, junto con las acciones de generación de informes adecuadas, también permite que las situaciones en las que se bloquea un correo electrónico debido a SIT en lugar de etiqueta se marquen con los equipos de seguridad como un incidente de prioridad.
Un método alternativo para abordar la degradación sería implementar una directiva, que comprueba la etiqueta aplicada frente a marcas que se pueden detectar en el cuerpo del correo electrónico. Por ejemplo, Contiene la etiqueta de confidencialidad UNOFFICIAL, OFFICIAL, OFFICIAL: SensitiveANDContiene el tipo de información confidencial PROTECTED. Estas repeticiones de degradación incremental proporcionan una fuerte indicación de degradación de etiquetas inapropiadas y justifican una investigación adicional. Las directivas DLP que usan este tipo de condicional también proporcionan un método de adhesión a ISM-1089:
| Requisito | Detalles |
|---|---|
| ISM-1089 (marzo de 2025) | Las herramientas de marcado de protección no permiten a los usuarios responder o reenviar correos electrónicos seleccionar marcas de protección inferiores a las usadas anteriormente. |
Nota:
Bloquear la distribución de información basada en una etiqueta de confidencialidad en lugar de un marcado de protección proporciona ventajas en términos de seguridad de datos, pero puede dar lugar a situaciones en las que los elementos que han reducido intencionadamente sus clasificaciones se bloquean de la distribución. Establecimiento de reglas de negocio relacionadas con la desclasificación y el uso de acciones de directiva DLP que permiten invalidar cuando hay requisitos empresariales para hacerlo.
Las directivas configuradas para identificar y proteger elementos con clasificaciones reducidas son buenas candidatas para la alineación con las directivas de Insider Risk Management. Las directivas se pueden integrar para que cuando un usuario desencadene la directiva DLP, se factorice en las puntuaciones de riesgo de usuario de Insider Risk Management, lo que aumenta la afinidad de los usuarios que completan estas actividades para que se marquen como de riesgo y sus acciones se limiten a través de Adaptive Protection.
Para obtener más información sobre este escenario, vea [Insider Risk Management Scenario 2: Malicious label downgrade](pspf-insider-risk.md#Insider Risk Management-scenario-2-malicious-label-downgrade).
Control del correo electrónico de los SIT personalizados
Los métodos de identificación de información, como los tipos de información confidencial personalizados y otras funcionalidades que se describen en la identificación de información confidencial, proporcionan un medio para detectar información confidencial relevante para una organización individual. Los SIT y los clasificadores entrenables se crean para abordar requisitos específicos de protección de la información del Gobierno de Australia. A continuación, estos SIT se usan en directivas DLP que controlan la distribución de elementos que contienen la información identificada.
Un ejemplo de un requisito común entre las organizaciones gubernamentales australianas es la necesidad de proteger el material responsable, como la información relacionada con las palabras o iniciativas de código confidenciales. Para ello, se podría crear un SIT o un conjunto de SIT que contengan una lista de palabras clave o términos. A continuación, esta SIT podría usarse en una directiva DLP para advertir a los usuarios, lo que podría requerir que escriban una justificación empresarial antes de enviar o bloquear directamente la comunicación.
El siguiente ejemplo de regla DLP se aplica al servicio Exchange. Detecta el correo electrónico que contiene palabras de código confidenciales y, cuando se detecta, muestra una sugerencia de directiva a los usuarios. Los usuarios deben proporcionar una justificación empresarial y confirmar advertencias antes de enviar el correo electrónico.
| Condiciones | Acción |
|---|---|
| El contenido se comparte desde Microsoft 365, Con personas ajenas a mi organización AND El contenido contiene el tipo de información confidencial: - SIT de codewords confidenciales |
Configure una sugerencia de directiva de: "Este correo electrónico contiene un término confidencial, que podría no ser adecuado para un destinatario especificado. Asegúrese de que todos los destinatarios estén autorizados para acceder a la información adjunta antes de enviarlos". Permitir a los usuarios invalidar las restricciones de directiva: - Requerir una justificación empresarial para invalidar - Requerir que el usuario final confirme explícitamente la invalidación Configure las opciones de notificación y gravedad de incidentes adecuadas. |
Limitación del chat externo que contiene contenido confidencial
Las directivas DLP se pueden configurar para que se apliquen a los mensajes de chat y canal de Teams. Esta configuración es más relevante para las organizaciones que han implementado opciones de colaboración flexibles, como la capacidad de chatear con usuarios externos. Estas organizaciones desean aumentar la productividad a través de la colaboración, pero le preocupa la pérdida de información confidencial a través de vías de colaboración, como chat de Teams y mensajería de canales.
Nota:
Las directivas DLP para Exchange y Microsoft Teams pueden tener como destino o excluir dominios de destinatarios específicos. Esto permite aplicar excepciones basadas en dominio, lo que ayuda a garantizar la necesidad de conocer y alinearse con el requisito 77 de PSPF.
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 77 | Un acuerdo o acuerdo, como un contrato o una propiedad, que establece requisitos y protecciones de control, se establece antes de que la información o los recursos clasificados en seguridad se divulguen o compartan con una persona u organización fuera del gobierno. |
Los enfoques DLP para Teams deben:
Use las plantillas de directiva DLP proporcionadas por Microsoft para detectar información confidencial relevante para los tipos de datos australianos.
Las plantillas de directiva DLP proporcionadas por Microsoft, como se muestra en el uso de plantillas de directiva DLP para controlar el correo electrónico de información confidencial, deben usarse para identificar y proteger la información confidencial de que se comunique a través de Teams.
Incluya el uso de SIT para detectar marcas de protección que podrían haberse pegado de elementos clasificados en la aplicación Teams.
La presencia de una marca protectora en el chat de Teams proporciona una indicación de divulgación inapropiada. La directiva demostrada al controlar el correo electrónico de información marcada identifica información confidencial a través de marcas de protección. Si se aplicó una configuración de directiva similar a Teams, podría identificar las marcas que se han pegado en el chat de Teams. Por ejemplo, el contenido de una discusión de correo electrónico clasificada identificada a través de los encabezados, pies de página o marcas de asunto que podrían estar presentes en estos datos basados en texto.
Use SIT y clasificadores personalizados para detectar información confidencial relacionada con las iniciativas o servicios gubernamentales australianos.
Los SIT personalizados se usan para identificar palabras clave o términos confidenciales que se usan en la mensajería de canal o chat de Teams. El ejemplo proporcionado para controlar el correo electrónico de los SIT personalizados se puede aplicar al servicio Teams.
Ejemplo de directiva DLP que restringe la información de mantenimiento a través del chat de Teams
La siguiente directiva DLP de ejemplo se aplica al servicio Teams y usa la plantilla de directiva Registros de mantenimiento de Australia. Esta directiva se desencadena cuando un usuario comparte información de mantenimiento a través del chat de Teams. Advierte al usuario que comparte la información si el destinatario está fuera de una lista aprobada de organizaciones. Las reglas se pueden modificar para bloquear los mensajes de chat si se consideran adecuados.
| Nombre de regla | Condiciones | Acción |
|---|---|---|
| Volumen bajo de contenido detectado en australia Health Records Act | El contenido se comparte desde Microsoft 365, Con personas ajenas a mi organización AND El contenido contiene cualquiera de: - Número de archivo de impuestos de Australia (0 a 9) - Número de cuenta médica de Australia (0 a 9) - Direcciones físicas de Australia (0 a 9) AND El contenido contiene: - Todos los nombres completos (de 0 a 9) AND El contenido contiene: - Todos los términos y condiciones médicas (0 a 9) AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de información de mantenimiento |
Notificar a los usuarios con sugerencias de correo electrónico y directivas. Configure una sugerencia de directiva de: "Un destinatario de este mensaje es de una organización que no está autorizada para recibir información de estado". Configure la gravedad de incidentes más baja y las opciones de notificación adecuadas. |
| Se detectó un gran volumen de contenido en la Ley de registros médicos de Australia | El contenido se comparte desde Microsoft 365, Con personas ajenas a mi organización AND El contenido contiene cualquiera de: - Número de archivo de impuestos de Australia (de 10 a cualquiera) - Número de cuenta médica de Australia (de 10 a cualquiera) - Direcciones físicas de Australia (de 10 a cualquiera) AND El contenido contiene: - Todos los nombres completos (de 10 a cualquiera) AND El contenido contiene: - Todos los términos y condiciones médicas (de 10 a cualquiera) AND Group NOT El dominio de destinatario es: - Lista de dominios aprobados para la recepción de información de mantenimiento |
Notificar a los usuarios con sugerencias de correo electrónico y directivas. Configure una sugerencia de directiva de: "Un destinatario de este mensaje es de una organización que no está autorizada para recibir información de estado". Configure la gravedad alta de incidentes y las opciones de notificación adecuadas. |
Supervisión del chat externo a través del cumplimiento de comunicaciones
El cumplimiento de comunicaciones ofrece un enfoque alternativo a DLP donde los eventos no se bloquean necesariamente, pero las infracciones de directiva se marcan para su revisión. A continuación, los administradores pueden ver las coincidencias de directivas para comprender mejor el contexto completo de la situación y analizar la idoneidad según las directivas de la organización.
Las directivas de cumplimiento de comunicaciones se pueden configurar para revisar el chat saliente que contiene combinaciones de SIT. Estas directivas pueden replicar las combinaciones sit pertinentes para los tipos de datos australianos que se usan al usar plantillas de directiva DLP para controlar el correo electrónico de información confidencial.
Nota:
El cumplimiento de comunicaciones incluye la funcionalidad reconocimiento óptico de caracteres (OCR), que le permite examinar documentos escaneados para obtener información confidencial.
Control del uso compartido de información confidencial
Las etiquetas de confidencialidad son el método principal para identificar información confidencial. Los controles DLP basados en etiquetas, como se describe en prevención del uso compartido de información clasificada de seguridad, deben considerarse nuestro método principal de prevención de pérdida de datos para actividades de uso compartido. En el enfoque por capas de Microsoft Purview, las directivas DLP se pueden configurar aún más para identificar el contenido confidencial dentro de los elementos. Una vez identificado el contenido, podemos aplicar restricciones de uso compartido independientemente de la etiqueta de confidencialidad de un elemento. Al hacerlo, se abordan situaciones en las que:
- Los elementos se han etiquetado mal.
- Los elementos se han recibido de organizaciones gubernamentales externas y están marcados, pero aún no se han etiquetado.
- Los elementos creados antes de la implementación de etiquetas de confidencialidad y que aún no tienen etiquetas aplicadas.
Nota:
Blueprint for Secure Cloud de ASD incluye instrucciones para la configuración de uso compartido de SharePoint. En esta guía se recomienda restringir todos los vínculos de uso compartido solo a los usuarios de la organización.
Las organizaciones gubernamentales australianas deben considerar las directivas DLP que se aplican a los servicios de SharePoint y OneDrive que:
Incluya el uso de SIT para detectar elementos que contengan marcas protectoras.
Las marcas protectoras proporcionan un método de copia de seguridad para identificar la confidencialidad de los elementos. Las directivas DLP se configuran mediante SIT proporcionados en la sintaxis sit de ejemplo para detectar marcas de protección que se alinean con las clasificaciones de seguridad (OFFICIAL: Confidencial y PROTEGIDA). Los elementos que contienen estas marcas tienen restricciones de uso compartido aplicadas.
Use las plantillas de directiva DLP proporcionadas por Microsoft para detectar información confidencial relevante para los tipos de datos australianos.
Microsoft proporcionó plantillas de directiva DLP, como se muestra en el uso de plantillas de directiva DLP para controlar el correo electrónico de información confidencial, identifica y protege la información confidencial que se comparte desde ubicaciones de SharePoint o OneDrive. Las plantillas de directivas pertinentes para el Gobierno australiano incluyen:
- Ley de privacidad de Australia mejorada
- Ley de registros de salud de Australia mejorada
- Datos financieros de Australia
- Standard de seguridad de datos de PCI: PCI DSS
- Datos de identificación personal (PII) de Australia
Use SIT y clasificadores personalizados para detectar información confidencial relacionada con las iniciativas o servicios gubernamentales australianos.
Los SIT personalizados se usan para identificar palabras clave o términos confidenciales incluidos en los elementos que se comparten a través de SharePoint o OneDrive. El ejemplo proporcionado para controlar el correo electrónico de los SIT personalizados a través de DLP se podría aplicar a los servicios de SharePoint y OneDrive.
Mejora continua de la directiva DLP a través del análisis DLP
DLP Analytics es una solución que puede:
- Analice las actividades de uso compartido de información de su organización,
- Identificar los mayores riesgos de uso compartido de la organización y
- Genere nuevas directivas DLP o actualizaciones en las directivas existentes para ayudar a mitigar los riesgos.
Cuando está habilitado, DLP Analytics valida la configuración de DLP y ofrece sugerencias sobre cómo se pueden mejorar las directivas. En el caso de las organizaciones gubernamentales australianas, las configuraciones DLP para elementos clasificados y etiquetados de seguridad se pueden considerar bastante fijas. Sin embargo, las directivas que comprueban la información confidencial se beneficiarán de la mejora a lo largo del tiempo.
Un ejemplo de una recomendación que puede proporcionar DLP Analytics es la adición de un clasificador entrenable a una directiva que protege la información personal. El análisis podría determinar que una directiva está generando demasiados falsos positivos, por lo que podría sugerir que se agregue un clasificador como una excepción a las condiciones de la directiva. De esta manera, DLP Analytics puede validar o sugerir continuamente mejoras en la configuración de DLP.
Para obtener más información sobre el análisis DLP, consulte Introducción al análisis de prevención de pérdida de datos.
Supervisión del uso compartido de información confidencial con Defender for Cloud Apps
Microsoft Defender for Cloud Apps ofrece protección para aplicaciones de software como servicio (SaaS), incluidas las aplicaciones en línea y los servicios de almacenamiento en línea.
La configuración de uso compartido de SharePoint permite configurar una lista de dominios que se aprueban para la recepción de vínculos de uso compartido y que están configurados para alinearse con el requisito 77 de PSPF:
| Requisito | Detalles |
|---|---|
| PSPF Release 2024 - 12. Uso compartido de información: requisito 77 | Un acuerdo o acuerdo, como un contrato o una propiedad, que establece requisitos y protecciones de control, se establece antes de que la información o los recursos clasificados en seguridad se divulguen o compartan con una persona u organización fuera del gobierno. |
Con Defender for Cloud Apps, podemos ampliar nuestras funcionalidades de supervisión dlp. Por ejemplo, se crea una directiva para comprobar el uso compartido de elementos que incluyen una combinación de SIT en direcciones de correo electrónico anónimas. Los administradores pueden quitar los permisos de uso compartido para los usuarios externos y completar varias acciones de generación de informes.
Defender for Cloud Apps también proporciona algunos informes agregados, que alertan a los equipos de administración a los usuarios con infracciones de directivas anormalmente altas.
Para obtener más información sobre el uso de Defender for Cloud Apps para supervisar o controlar las actividades de uso compartido, consulte directivas de archivos en Microsoft Defender for Cloud Apps.
Supervisión de información confidencial con Insider Risk Management
Insider Risk Management proporciona un método de uso de señales de directiva DLP para determinar el riesgo del usuario. Insider Risk Management proporciona informes sobre usuarios potencialmente malintencionados y ofrece mitigación automatizada a través de Adaptive Protection.
Las directivas DLP que protegen la información confidencial deben estar alineadas con la configuración adecuada de Insider Risk Management. Estos conceptos se exploran en Administración del riesgo interno.