Directivas de sobreexposición de datos en la Administración de riesgos de privacidad

Su organización puede almacenar contenido en varios niveles de acceso, incluidas las áreas accesibles públicamente y otras que están restringidas. Las directivas de sobreexposición de datos pueden ayudarle a detectar y controlar situaciones en las que los datos almacenados por su organización no son suficientemente seguros. Por ejemplo, si el acceso a un sitio interno está abierto a demasiadas personas o su configuración de permisos no se ha mantenido, los datos personales almacenados en ese sitio pueden ser vulnerables a una infracción. Las directivas de sobreexposición de datos pueden evaluar los datos de estos riesgos y alertarle de posibles problemas.

Cuando se detecta una coincidencia de directiva, puede enviar a los usuarios notificaciones por correo electrónico que incluyan opciones de corrección para resolver problemas. Para la sobreexposición de datos, estos incluyen hacer que los elementos de contenido sean privados, notificar a los propietarios de contenido o etiquetar elementos para su posterior revisión.

Nuestro proceso de configuración de directivas facilita la configuración de condiciones de la directiva. Tiene control total sobre los intervalos de alertas y la frecuencia de los correos electrónicos que ofrecen atención a los usuarios sobre las prácticas de tratamiento de datos seguras.

Hay dos formas de crear una directiva: a partir de una plantilla, que es nuestra opción rápida "predefinida" con la configuración predeterminada; o la opción personalizada , que es un proceso guiado para establecer condiciones, alertas y notificaciones.

Configuración rápida: Usar una plantilla con la configuración predeterminada

La directiva de sobreexposición de datos predeterminada evalúa los datos personales en los tres niveles de acceso: público, externo e interno.

Siga estos pasos para crear una directiva de transferencia de datos predeterminada:

  1. En la portal de cumplimiento Microsoft Purview, busque Administración de riesgo de privacidad Priva en el panel de navegación izquierdo y seleccione Directivas.

  2. Seleccione Crear una directiva en la esquina superior derecha de la pantalla, que muestra un panel flotante que muestra todas las opciones de creación de directivas.

  3. En el cuadro Sobreexposición de datos , seleccione Crear.

  4. Un panel flotante contiene detalles de la directiva. Al seleccionar Configuración de vista se mostrará la configuración predeterminada. Puede editar la configuración desde aquí, lo que le llevará al proceso guiado que se describe a continuación. Para seguir creando la directiva con la configuración predeterminada, simplemente escriba un nombre descriptivo y, después, seleccione Crear directiva.

Se creará tu directiva y la encontrarás en la lista de la página Policías . Comienza en modo de prueba para que puedas supervisar el rendimiento antes de activarlo.

Configuración de directiva de sobreexposición de datos predeterminada

Una directiva de sobreexposición de datos creada a partir de la plantilla detectará:

  • Cuando un usuario proporciona acceso excesivamente amplio a los elementos que contienen datos personales almacenados en el OneDrive o SharePoint de su organización. Por ejemplo, la directiva detectará el uso compartido de datos personales de las siguientes maneras:
    • A través de un vínculo al que cualquier persona del público puede acceder
    • A través de un vínculo o debido a permisos que permiten a todos los usuarios de la organización acceder
    • Conceder derechos de acceso a usuarios externos o invitados a archivos de OneDrive o SharePoint
  • Tipos de datos basados en los siguientes grupos de clasificación:
    • Reglamento general de protección de datos de la UE (RGPD)
    • Información de identificación personal de Estados Unidos
    • US Patriot Act
    • Ley de notificación de infracción de estado de Estados Unidos
    • Ley Gramm-Leach-Bliley de EE. UU. (GLBA)
    • Ley de portabilidad y responsabilidad de seguros de salud de Estados Unidos (HIPAA)
    • Ley de Registros Sanitarios de Australia (HRIP)
    • Ley de privacidad de Australia
    • Información de identificación personal de Japón
    • Protección de la información personal de Japón

Configuración personalizada: proceso de creación de directivas guiada

La opción de directiva personalizada es un proceso guiado para crear una nueva directiva estableciendo condiciones, designando la gravedad y frecuencia de las alertas y activando las notificaciones de correo electrónico de los usuarios.

Complete los pasos siguientes para crear una nueva directiva de sobreexposición de datos:

  1. En la portal de cumplimiento Microsoft Purview, busque Administración de riesgo de privacidad Priva en el panel de navegación izquierdo y seleccione Directivas.

  2. Seleccione el botón Crear una directiva en la esquina superior derecha de la pantalla, que muestra un panel flotante que muestra todas las opciones de creación de directivas.

  3. En el cuadro Personalizado , seleccione Crear.

  4. En la página Nombre y tipo , seleccione la plantilla directiva Sobreexposición de datos . Escriba un nombre de directiva que le ayude a identificarla fácilmente desde la lista en la página Directivas , escriba una descripción opcional y, después, seleccione Siguiente.

  5. En la página Datos para supervisar , elija el tipo de datos personales que quiere que supervise la directiva. Hay dos opciones:

    • Grupos de clasificación: agrupaciones de tipos de información confidencial que se usan para detectar contenido relacionado con datos personales o normativas específicas. Si selecciona esta opción, tendrá que seleccionar +Agregar grupos de clasificación para elegir uno o más grupos de la lista proporcionada.
    • Tipos de información confidencial individuales: seleccione esta opción para elegir de una lista de tipos de información confidencial individuales.

    Obtenga más información sobre cómo elegir datos para supervisar. Cuando hayas terminado de seleccionar los datos para supervisar, selecciona Siguiente.

  6. En la página Usuarios y grupos , elija a qué usuarios de su organización se aplicará la directiva. Puede seleccionar todos los usuarios individuales y todos Office 365 grupos de distribución, o puede seleccionar usuarios y grupos específicos. Obtenga más información sobre cómo elegir usuarios y grupos. Cuando haya terminado, seleccione Siguiente.

  7. En la página Ubicaciones , seleccione todas las ubicaciones de datos de Microsoft 365 que quiera que incluya la directiva. Elija entre cuentas de OneDrive y sitios de SharePoint.

    En SharePoint puede designar todos los sitios o sitios específicos. Si selecciona Sitios de SharePoint específicos, puede escribir la dirección URL del sitio en el campo URL. También puede seleccionar +Elegir sitios y, a continuación, en el panel flotante, active la casilla a la izquierda del nombre del sitio que desee seleccionar.

    Obtenga más información sobre cómo elegir ubicaciones. Cuando haya terminado de seleccionar ubicaciones, seleccione Siguiente.

  8. En la página Condiciones , seleccione qué tipo de condición de sobreexposición de datos detectará la directiva:

    • Público: cualquier persona que tenga un vínculo puede acceder al contenido.
    • Externo: las personas específicas que no pertenecen a la organización tienen acceso.
    • Interno: todos los usuarios de la organización tienen acceso.

    Seleccionar más de un nivel de acceso ampliará el ámbito de los datos y podría producir cantidades significativamente mayores de alertas y notificaciones de usuario.

    Active la casilla situada junto a sus opciones y, a continuación, seleccione Siguiente.

  9. En la página Resultados , decida si desea notificar a los usuarios cuando cumplan las condiciones establecidas por la directiva. Si marca la casilla notificaciones por correo electrónico, los usuarios recibirán una notificación por correo electrónico cuando sus acciones coincidan con las condiciones de la directiva. Los correos electrónicos contendrán instrucciones para realizar acciones de corrección directamente desde el correo electrónico, junto con un vínculo a aprendizaje de privacidad. Designará la frecuencia de los correos electrónicos y la dirección URL para el aprendizaje de privacidad que prefiera.

    Obtenga más información sobre cómo configurar las notificaciones de usuario. Cuando haya terminado de seleccionar resultados, seleccione Siguiente.

  10. En la página Alertas , use el botón de alternancia para activar las alertas que verá un administrador en la página Alertas de la sección Directivas de Administración de riesgos de privacidad. Designará la frecuencia con la que se generan las alertas, los umbrales de coincidencias antes de que se generen las alertas y la gravedad de las alertas. Obtenga más información sobre cómo configurar alertas para coincidencias de directivas. Cuando haya terminado, seleccione Siguiente.

  11. En la página Modo , elige en qué modo colocar la directiva: pruébala primero o Activarla inmediatamente. En el modo de prueba, no se enviarán alertas ni notificaciones. Obtenga más información sobre recomendaciones y qué analizar al probar una directiva. Cuando haya terminado, seleccione Siguiente.

  12. En la página Finalizar , revise las opciones. Seleccione Editar debajo de cualquiera de las secciones para ajustar la configuración. Cuando estés satisfecho con la configuración de la directiva, selecciona Enviar para crear la directiva.

Después de unos segundos, verás una confirmación de que la directiva se ha creado. Seleccione Listo en la página de confirmación, lo que le llevará a la página Directivas , donde verá la nueva directiva en la parte superior de la tabla.

Pasos siguientes

Visita las directivas de administración de riesgos de privacidad para obtener más información sobre cómo editar y administrar directivas.

Microsoft Priva declinación de responsabilidades