Directivas de sobreexposición de datos en la Administración de riesgos de privacidad

Su organización puede almacenar contenido en varios niveles de acceso, incluidas las áreas accesibles públicamente y otras que están restringidas. Las directivas de sobreexposición de datos en Gestión de riesgos de privacidad Microsoft Priva pueden ayudarle a detectar y controlar situaciones en las que los datos almacenados por su organización no son suficientemente seguros. Por ejemplo, si el acceso a un sitio interno está abierto a demasiadas personas o no se ha mantenido la configuración de permisos, los datos personales almacenados en ese sitio podrían ser vulnerables a una infracción.

Las directivas de sobreexposición de datos pueden evaluar los datos para determinar los riesgos de sobreexposición y alertarle de posibles problemas. Cuando se detecta una coincidencia de directiva, puede enviar a los usuarios notificaciones por correo electrónico con opciones de corrección que incluyen mantener o eliminar el elemento, o hacer que el elemento sea privado (consulte los detalles en el paso 10 del proceso de creación de directivas).

Nuestro proceso de configuración de directivas facilita la configuración de condiciones de la directiva. Tiene control total sobre los intervalos de alertas y la frecuencia de los correos electrónicos que ofrecen atención a los usuarios sobre las prácticas de tratamiento de datos seguras.

Hay dos formas de crear una directiva: a partir de una plantilla, que es nuestra opción rápida "predefinida" con la configuración predeterminada; o la opción personalizada , que es un proceso guiado para establecer condiciones, alertas y notificaciones.

Configuración rápida: Usar una plantilla con la configuración predeterminada

La directiva de sobreexposición de datos predeterminada evalúa los datos personales en los tres niveles de acceso: público, externo e interno.

Siga estos pasos para crear una directiva de transferencia de datos predeterminada:

1. Inicie sesión en uno de los siguientes portales con las credenciales de una cuenta de administrador de su organización de Microsoft 365:

   • Nuevo portal Priva (versión preliminar). Para obtener más información, consulta Obtener información sobre el nuevo portal Priva (versión preliminar).
   • portal de cumplimiento Microsoft Purview. Para obtener más información sobre este portal, consulte portal de cumplimiento Microsoft Purview.

2. Ve a la solución de administración de riesgos de privacidad y selecciona la página Directivas .

3. Seleccione Crear una directiva.

4. En el cuadro Sobreexposición de datos , seleccione Crear.

5. Un panel flotante contiene detalles de la directiva. Seleccione Ver configuración para mostrar la configuración predeterminada. Puede editar la configuración desde aquí, lo que le llevará al proceso guiado que se describe a continuación. Para seguir creando la directiva con la configuración predeterminada, escriba un nombre descriptivo y, después, seleccione Crear directiva.

Tu directiva se crea y la encontrarás enumerada en la página Policías . Comienza en modo de prueba para que puedas supervisar el rendimiento antes de activarlo.

Configuración de directiva de sobreexposición de datos predeterminada

Una directiva de sobreexposición de datos creada a partir de la plantilla detectará:

• Cuando un usuario proporciona un acceso excesivamente amplio a los elementos que contienen datos personales almacenados en el OneDrive o SharePoint de su organización. Por ejemplo, la directiva detecta el uso compartido de datos personales de las siguientes maneras:
  • A través de un vínculo al que cualquier persona del público puede acceder
  • A través de un vínculo o debido a permisos que permiten a todos los usuarios de la organización acceder
  • Conceder derechos de acceso a usuarios externos o invitados a archivos de OneDrive o SharePoint
• Tipos de datos basados en los siguientes grupos de clasificación:
  • Reglamento general de protección de datos de la UE (RGPD)
  • Información de identificación personal de Estados Unidos
  • US Patriot Act
  • Ley de notificación de infracción de estado de Estados Unidos
  • Ley Gramm-Leach-Bliley de EE. UU. (GLBA)
  • Ley de portabilidad y responsabilidad de seguros de salud de Estados Unidos (HIPAA)
  • Ley de Registros Sanitarios de Australia (HRIP)
  • Ley de privacidad de Australia
  • Información de identificación personal de Japón
  • Protección de la información personal de Japón

Configuración personalizada: proceso de creación de directivas guiada

La opción de directiva personalizada es un proceso guiado para crear una nueva directiva estableciendo condiciones, designando la gravedad y frecuencia de las alertas y activando las notificaciones de correo electrónico de los usuarios.

Complete los pasos siguientes para crear una nueva directiva de sobreexposición de datos:

1. Inicie sesión en uno de los siguientes portales con las credenciales de una cuenta de administrador de su organización de Microsoft 365:

   • Nuevo portal Priva (versión preliminar). Para obtener más información, consulta Obtener información sobre el nuevo portal Priva (versión preliminar).
   • portal de cumplimiento Microsoft Purview. Para obtener más información sobre este portal, consulte portal de cumplimiento Microsoft Purview.

2. Ve a la solución de administración de riesgos de privacidad y selecciona la página Directivas .

3. Seleccione Crear una directiva.

4. En el cuadro Personalizado , seleccione Crear.

5. En la página Nombre y tipo , seleccione la plantilla directiva Sobreexposición de datos . Escriba un nombre de directiva que le ayude a identificarla fácilmente desde la lista en la página Directivas , escriba una descripción opcional y, después, seleccione Siguiente.

6. En la página Orígenes de datos, seleccione todos los orígenes de datos que quiera que incluya la directiva. Obtenga detalles sobre cómo elegir orígenes de datos.

   • Orígenes de datos de Microsoft 365: Las opciones son sitios de SharePoint y cuentas de OneDrive. En SharePoint, puede designar todos los sitios o sitios específicos. Si selecciona Sitios de SharePoint específicos, puede escribir la dirección URL del sitio en el campo URL. También puede seleccionar +Elegir sitios y, a continuación, en el panel flotante, active la casilla a la izquierda del nombre del sitio que desee seleccionar.

   • Orígenes de datos de varias nubes (versión preliminar): las opciones son Azure Storage, Azure SQL y Amazon S3. Obtenga detalles sobre cómo seleccionar orígenes de datos de varias nubes al crear una directiva.

   Cuando haya terminado, seleccione Siguiente.

7. En la página Datos para supervisar , elija el tipo de datos personales que quiere que supervise la directiva. Hay dos opciones:

   • Grupos de clasificación: agrupaciones de tipos de información confidencial que se usan para detectar contenido relacionado con datos personales o normativas específicas. Si selecciona esta opción, tendrá que seleccionar +Agregar grupos de clasificación para elegir uno o más grupos de la lista proporcionada.

   • Tipos de información confidencial o clasificadores entrenables: seleccione esta opción y, a continuación, use el menú desplegable Agregar para seleccionar Tipos de información confidencial o Clasificadores trainables y elija entre una lista que se pueda buscar. Puede elegir tipos de datos en ambas categorías y usar el generador de condiciones para definir una relación Y u O entre los tipos.

   Obtén más detalles sobre la elección de datos para supervisar. Cuando hayas terminado de seleccionar los datos para supervisar, selecciona Siguiente.

8. En la página Usuarios y grupos , elija a qué usuarios de su organización se aplicará la directiva. Puede seleccionar todos los usuarios individuales y todos Office 365 grupos de distribución, o puede seleccionar usuarios y grupos específicos. Obtenga más información sobre cómo elegir usuarios y grupos. Cuando haya terminado, seleccione Siguiente.

9. En la página Condiciones , seleccione qué tipo de condición de sobreexposición de datos detecta la directiva:

   • Público: cualquier persona que tenga un vínculo puede acceder al contenido.
   • Externo: las personas específicas que no pertenecen a la organización tienen acceso.
   • Interno: todos los usuarios de la organización tienen acceso.

   Seleccionar más de un nivel de acceso amplía el ámbito de los datos y podría producir cantidades significativamente mayores de alertas y notificaciones de usuario.

   Active la casilla situada junto a sus opciones y, a continuación, seleccione Siguiente.

10. En la página Resultados , active la casilla Enviar un correo electrónico de notificación a los usuarios cuando se produzca una coincidencia de directiva si desea notificar a los usuarios cuando se cumplan las condiciones de la directiva. Cuando la casilla está activada, puede obtener una vista previa y editar el correo electrónico, a continuación, establecer la frecuencia y proporcionar un vínculo al aprendizaje de privacidad. Las opciones de corrección de los correos electrónicos son Papelera o Mantener elementos cuyo origen de datos es Teams, y Establecer como privado o Mantener los elementos cuyos orígenes de datos son SharePoint o OneDrive. Obtenga más información sobre la configuración y edición de notificaciones de usuario. Cuando haya terminado de definir resultados, seleccione Siguiente.

11. En la página Alertas , use el botón de alternancia para activar las alertas que verá un administrador en la página Alertas de la sección Directivas de Administración de riesgos de privacidad. Designa la frecuencia con la que se generan las alertas, los umbrales de coincidencias antes de que se generen las alertas y la gravedad de las alertas. Obtenga más información sobre cómo configurar alertas para coincidencias de directivas. Cuando haya terminado, seleccione Siguiente.

12. En la página Modo , elige en qué modo colocar la directiva: pruébala primero o Activarla inmediatamente. En el modo de prueba, no se envían alertas ni notificaciones. Obtenga más información sobre recomendaciones y qué analizar al probar una directiva. Cuando haya terminado, seleccione Siguiente.

13. En la página Finalizar , revise las opciones. Seleccione Editar debajo de cualquiera de las secciones para ajustar la configuración. Cuando estés satisfecho con la configuración de la directiva, selecciona Enviar para crear la directiva.

Después de unos segundos, verás una confirmación de que la directiva se ha creado. Seleccione Listo en la página de confirmación, lo que le llevará a la página Directivas , donde verá la nueva directiva en la parte superior de la tabla.

Pasos siguientes

Visita las directivas de administración de riesgos de privacidad para obtener más información sobre cómo editar y administrar directivas.

Declinación de responsabilidades

Microsoft Priva declinación de responsabilidades