MS_Purview_M365E5-SecOps_e02v01_Art04-MS_CSU_Security_MCSA
MS_Purview_M365E5-SecOps_e02v01_Art04-MS_CSU_Security_MCSA
Este documento describe una estrategia integral de Data Loss Prevention en Microsoft 365 y la suite Microsoft Purview. Explica controles sobre dispositivos, servicios de colaboración, navegador, red y aplicaciones en la nube de terceros. Detalla cómo Endpoint DLP, Browser DLP, Network DLP y Defender for Cloud Apps se combinan para cubrir todas las superficies. Presenta además Adaptive Protection, que une DLP con la gestión de riesgo interno. El objetivo es guiar el diseño de políticas eficaces, equilibrando seguridad, cumplimiento y productividad diaria. Se dirige a equipos de seguridad, cumplimiento y TI que necesitan controlar la exfiltración sin paralizar el negocio.
Endpoint DLP lleva el control de datos sensibles al propio dispositivo, donde suele ocurrir la exfiltración real. Supervisa copias a memorias USB, impresiones, capturas de pantalla y uso del portapapeles entre aplicaciones permitidas y no permitidas. También controla subidas web y sincronización con nubes personales desde equipos corporativos. Requiere dispositivos gestionados por Intune o dominio corporativo, y mantiene políticas en caché para aplicar protección incluso cuando no hay conexión. Esta capacidad es exclusiva de Purview.
En Exchange, DLP inspecciona correos antes de su entrega y puede bloquear, cifrar o advertir al remitente. Analiza cuerpo, adjuntos y metadatos, incluso contenido en imágenes mediante reconocimiento óptico. En SharePoint y OneDrive revisa archivos al subirlos, en reposo y al compartirlos, bloqueando accesos externos indebidos. En Teams analiza chats y mensajes de canal en tiempo real. Las advertencias interactivas permiten justificar excepciones, registrando la razón para auditoría posterior. Así se reduce fricción operativa diaria.
Browser DLP actúa en el navegador corporativo y controla cómo se manejan datos sensibles en aplicaciones web. Puede impedir subir archivos, pegar texto confidencial o descargar documentos protegidos hacia ubicaciones no autorizadas. Network DLP complementa este enfoque analizando el tráfico HTTPS a través de proxies y protección de red. Shadow AI Protection extiende el control a chats de inteligencia artificial públicos, evitando que información sensible salga hacia asistentes no corporativos. Todo ocurre desde navegadores gestionados.
Defender for Cloud Apps amplía las políticas de DLP a servicios SaaS de terceros como Salesforce o Google Workspace. En modo API se conecta a las interfaces de administración, revisa el contenido almacenado y aplica acciones correctivas sobre datos sensibles. En modo proxy controla sesiones en tiempo real, inspeccionando descargas, subidas y pegado de información. Esta cobertura refuerza arquitecturas de Confianza Cero, donde cada aplicación nube se trata como un recurso potencialmente riesgoso. Incluye visibilidad.
Adaptive Protection une DLP con la gestión de riesgo interno para ajustar controles según el perfil de cada usuario. Quien presenta bajo riesgo recibe avisos educativos; alguien en offboarding o con descargas anómalas enfrenta bloqueos estrictos sin opción de omitir. Las políticas deberían iniciarse en modo auditoría, usando simuladores para estimar alertas y ajustar reglas. Las etiquetas de sensibilidad son disparadores clave y conectan estas decisiones con el modelo global de gobierno. Sobre información crítica.
Data Loss Prevention: Control de todas las superficies
Nivel 2 Conceptos Clave
| Concepto | Explicación / Data |
|---|---|
| Endpoint DLP: el control en el origen | Endpoint DLP extiende la aplicación de políticas DLP al dispositivo del usuario, la superficie de mayor criticidad porque la exfiltración puede ocurrir sin pasar por servicios de Microsoft. En Windows 10/11 y macOS intercepta y puede bloquear o auditar: copia a dispositivos USB extraíbles (con opción de permitir solo USB corporativos aprobados por política), impresión en impresoras locales o de red (con opción de limitar a impresoras corporativas), capturas de pantalla sobre aplicaciones que muestran contenido etiquetado como sensible, copia al portapapeles entre una aplicación protegida y una no permitida, subida de archivos a sitios web (controlado por URL o categoría de sitio), sincronización con servicios de almacenamiento en nube no corporativos (Dropbox, Box, Google Drive) y acceso a archivos sensibles desde aplicaciones no permitidas (por ejemplo WinRAR o aplicaciones de comunicaciones no corporativas). El dispositivo debe estar gestionado por Microsoft Intune o unido a un dominio Active Directory para que el agente de endpoint esté activo. Las políticas se almacenan en caché local y se aplican incluso sin conexión a la red corporativa. Esta funcionalidad es exclusiva de Purview Suite. |
| DLP en Exchange, SharePoint, OneDrive y Teams | En los servicios de colaboración de Microsoft 365, DLP opera en varios niveles. En Exchange, analiza correos salientes y en tránsito antes de la entrega y puede bloquear el envío, aplicar cifrado forzado, notificar al remitente mediante un policy tip y generar alertas para revisión administrativa. El análisis abarca cuerpo del mensaje, archivos adjuntos (Office, PDF, imágenes con OCR) y metadatos. En SharePoint y OneDrive, DLP inspecciona archivos en reposo durante la subida y de forma periódica sobre contenido existente, además de evaluar los archivos en el momento de ser compartidos. Puede bloquear la compartición de documentos sensibles con destinatarios externos o usuarios no autorizados. En Teams, DLP analiza en tiempo real mensajes de chat y de canal y puede bloquear o notificar antes de la entrega cuando detecta contenido sensible. La cobertura de Teams está disponible únicamente en Purview Suite. |
| Browser DLP y Network DLP | Browser DLP, implementado mediante la extensión Microsoft Purview para Microsoft Edge (Chromium), extiende DLP al navegador. Detecta y puede bloquear la carga de archivos sensibles a sitios no autorizados, el pegado de contenido sensible (incluido texto copiado desde documentos etiquetados) en campos de texto de aplicaciones web y la descarga de contenido sensible a ubicaciones no permitidas. Opera especialmente sobre aplicaciones web no gestionadas como corporativas (Shadow IT) en navegadores gestionados, cubriendo el uso de aplicaciones SaaS personales desde dispositivos corporativos. Network DLP actúa en la capa de red. En lugar de controlar directamente la acción del usuario, intercepta tráfico mediante integración con un proxy corporativo o con Microsoft Defender for Endpoint Network Protection. Esto permite aplicar políticas DLP sobre tráfico HTTPS inspeccionado y proteger aplicaciones que no pueden ser controladas directamente por Endpoint DLP o Browser DLP. |
| DLP en Cloud Apps (MDCA): control de SaaS de terceros | Purview Suite incorpora Microsoft Defender for Cloud Apps (MDCA), que extiende las políticas DLP a aplicaciones SaaS de terceros mediante dos modos complementarios. En modo API, MDCA se conecta a las APIs de administración de servicios como Salesforce, ServiceNow, Box, Dropbox, GitHub o Google Workspace para escanear el contenido almacenado y aplicar acciones de remediación sobre datos sensibles (bloqueo de compartición, cuarentena de archivos, notificaciones a administración). En modo proxy (Conditional Access App Control), MDCA se coloca como intermediario de sesión entre el usuario y la aplicación web para inspeccionar y controlar en tiempo real las acciones del usuario dentro de la aplicación: descargas, pegado de contenido y subidas de archivos. Este enfoque es clave en organizaciones con ecosistemas SaaS heterogéneos donde los datos sensibles fluyen continuamente entre M365 y herramientas de terceros. |
| Adaptive Protection: DLP inteligente basado en riesgo | Adaptive Protection integra Insider Risk Management (IRM) con DLP para transformar políticas estáticas en controles dinámicos basados en el nivel de riesgo de cada usuario. En un modelo estático, todos los usuarios que intentan copiar a USB un documento etiquetado como Confidencial reciben el mismo tratamiento. Con Adaptive Protection, el tratamiento depende del perfil de riesgo calculado por IRM. Un usuario sin señales de riesgo puede recibir solo un policy tip educativo, mientras que un usuario con riesgo elevado (por ejemplo, en proceso de offboarding o con descargas anómalas) recibe bloqueo automático sin opción de override. Esto reduce fricción para usuarios legítimos de bajo riesgo y endurece los controles sobre los usuarios más críticos, optimizando seguridad y experiencia de usuario. |
Nivel 3 Notas de Soporte
El diseño de políticas DLP efectivas exige una secuencia de implementación cuidadosa para evitar dos extremos: políticas demasiado permisivas que no detectan exfiltración real y políticas demasiado restrictivas que generan falsos positivos masivos y bloquean operaciones legítimas. La práctica recomendada es iniciar en modo solo auditoría durante 2 a 4 semanas para calibrar el volumen de alertas y ajustar umbrales de detección antes de activar el bloqueo. El portal de Purview incluye un simulador de impacto de política que estima el número de alertas que produciría una política específica sobre el contenido existente antes de habilitarla.
La funcionalidad de política con contexto (Policy Tips con justificación de negocio) permite configurar reglas DLP que, en lugar de bloquear de forma directa, solicitan al usuario una justificación escrita antes de permitir la acción. Esa justificación queda registrada en el log de auditoría y puede revisarse posteriormente. Este enfoque es útil para organizaciones que deben equilibrar control de datos y autonomía operacional de usuarios que necesitan compartir datos sensibles de forma legítima, como equipos de M&A, equipos legales o auditoría interna.
Shadow AI Protection es una extensión emergente de Browser DLP orientada al uso de herramientas de IA generativa. Detecta y puede bloquear la carga o el pegado de contenido sensible (documentos etiquetados, texto copiado de documentos protegidos) en ventanas de chat de herramientas de IA generativa no corporativas como ChatGPT, Claude.ai, Gemini o Copilot.ai personal, cuando se accede desde el navegador gestionado. Esta capacidad se conecta de forma directa con el Bloque 11/11 sobre gobernanza para IA.
Conexiones externas: DLP depende del Bloque 3/11, ya que las sensitivity labels son el disparador principal de la mayoría de las políticas DLP de mayor precisión. Adaptive Protection enlaza este bloque con el Bloque 5/11 sobre Insider Risk Management, cerrando el ciclo entre detección de riesgo y aplicación de políticas. La cobertura de Cloud Apps mediante MDCA es parte integral de la arquitectura Zero Trust descrita en el Bloque 10/11.