Office 365 DLP

Office 365 DLP

Pablo Ortiz Baiardo Pablo Ortiz Baiardo

Pablo Ortiz Baiardo

Solutions Architect - Technical Pre-Sales at Semperis

Fecha de publicación: 27 feb 2018
Seguir

Las directivas DLP del Centro de Seguridad y Cumplimiento de Office 365 (S&C) permiten identificar, monitorizar, y proteger automáticamente el contenido sensible alojado en Office 365.

Al momento de crear la directiva podemos partir de las plantillas de información sensible existentes, o crear una directiva desde cero, seleccionando “Custom”.

Luego de este paso, asignamos un nombre a la directiva, y seleccionamos las localizaciones donde queremos aplicarla. Podemos elegir entre aplicarla a todas las localizaciones disponibles de Office 365 (Exchange, SharePoint, OneDrive) o sólo algunas de ellas. También podemos hacerlo más granular eligiendo qué buzón/sitio/cuenta incluir o excluir de la directiva.

En el siguiente paso elegiremos qué tipo de contenido se buscará. Si en el primer paso hemos seleccionado una plantilla de información sensible, esa plantilla aparecerá aquí seleccionada. Si por el contrario hemos seleccionado “Custom”, ahora es el momento de definir qué se debe buscar: podemos elegir una de las plantillas, o una etiqueta que hayamos creado en el apartado Classifications del S&C. Adicionalmente, la directiva puede detectar cuando ese contenido se comparte.

Si elegimos Advanced Settings, podremos hacer una configuración mucho más personalizada, a través del editor de reglas (Rule Editor).

Utilizar el Rule Editor es como configurar la directiva desde cero, con nuestras propias opciones. Podemos definir plantillas y/o etiquetas a buscar, agregar condiciones, acciones (restringir acceso al contenido), configurar notificaciones e informes.

Ajustar las reglas

A veces las directivas DLP detectan demasiado (o demasiado poco) contenido que coincida con la directiva. Para corregir esto podemos ajustar los valores de “Instance count” y “Match accuracy”, para que sea más fácil o difícil encontrar coincidencias.

“Instance count” se refiere al número de repeticiones del contenido buscado que deben encontrarse para que exista coincidencia (contando valores únicos).

  • Para facilitar las coincidencias, se debe disminuir el valor mínimo (min) o incrementar el máximo (max). También podemos borrar el valor máximo, con lo cual quedará como “any”.
  • Para hacer más difícil las coincidencias, incrementar el valor mínimo (min)

En la práctica se usarán acciones menos restrictivas (por ejemplo sólo enviar notificaciones), en reglas que facilitan las coincidencias, y se usarán acciones más restrictivas (por ejemplo restringir el acceso al contenido) en reglas que dificultan las coincidencias.

Los tipos de información sensible se definen y detectan usando combinaciones de diferentes tipos de pruebas. A esas combinaciones se les llama “patrones”. Un patrón que requiera menos pruebas tendrá un “Match accuracy” inferior, mientras que un patrón que requiera más pruebas tendrá un “Match accuracy” superior. “Match accuracy” se refiere al nivel de confiabilidad de los resultados obtenidos.

Modo de prueba

Al crear las directivas podemos empezar en modo de prueba (Test Mode) para evaluar el impacto, antes de activar las acciones. Por ejemplo, para directivas que puedan tener un alto impacto, se recomienda seguir estos pasos:

  • Empezar en modo de prueba sin Policy Tips, y luego usar los informes de DLP y de incidentes para evaluar el número, la ubicación, el tipo, y la gravedad de las coincidencias. Con estos resultados podemos ajustar las directivas. En modo prueba, las directivas DLP no afectan la productividad. Las Policy Tips se presentan de la siguiente manera a los usuarios:
  • Pasar a modo prueba con notificaciones y Policy Tips, para empezar a educar a los usuarios en las directivas de cumplimiento y prepararles para las reglas que se van a aplicar. Aquí podemos pedir a los usuarios que reporten falsos positivos, para afinar las reglas.
  • Aplicar las acciones de la directiva a todo el contenido detectado. Y al mismo tiempo continuar monitorizando los informes y notificaciones para asegurarse que los resultados son los esperados.

Existe la posibilidad de desactivar la directiva, o tan solo desactivar una de las reglas que incluye la directiva.

Informes

Los informes DLP permiten ver el número de directivas y de coincidencias en el tiempo, así como el número de falsos positivos. Cada informe se puede filtrar por ubicación, espacio de tiempo, o incluso ajustarlo a una directiva, regla o acción.

Los informes pueden verse en el propio apartado de DLP o en el Dashboard de la sección Reports, junto con otros informes activos.


Inicia sesión para ver o añadir un comentario.

Más artículos de este autor

Ver todo

Otros usuarios han visto

Ver temas