Introducción a la administración de incidentes de seguridad de Microsoft Online Services
En entornos en la nube, los clientes y los proveedores de servicios en la nube comparten la responsabilidad de lograr un entorno informático compatible y seguro. Microsoft usa un modelo de responsabilidad compartida para definir la seguridad y la responsabilidad operativa en los servicios de Microsoft 365. Aunque Microsoft 365 protege la infraestructura y los servicios en la nube subyacentes, los clientes deben ser conscientes de sus responsabilidades para garantizar un entorno de espacio empresarial seguro para sus usuarios y datos.
Nota:
La puntuación de seguridad de Microsoft proporciona a los clientes un análisis claro de la configuración de su espacio empresarial y realiza sugerencias útiles para mejorar la seguridad. Animamos a todos los clientes a usar herramientas de autoevaluación, como la puntuación de seguridad de Microsoft, para garantizar que se cumplen nuestras responsabilidades compartidas en materia de seguridad y privacidad.
En Microsoft, usamos un enfoque de defensa en profundidad para proteger nuestros servicios mediante la aplicación de protecciones de seguridad en varias capas. La defensa en profundidad proporciona medidas de seguridad superpuestas para protegerse frente a amenazas de seguridad. Aunque creamos nuestros servicios teniendo en cuenta la seguridad, también preparamos nuestros servicios para el peligro mediante una estrategia Asumir la vulneración. Asumir la vulneración limita la confianza colocada en aplicaciones, servicios, identidades y redes al abordarlas (tanto internas como externas) como inseguras y ya en peligro. Los principios de Asumir la vulneración de seguridad ayudan a limitar el impacto de los incidentes de seguridad al reducir los daños que un adversario puede causar y a permitir una rápida detección y respuesta a las amenazas de seguridad.
En este módulo, nos centraremos en cómo Microsoft Online Services investiga, administra y responde a las amenazas de seguridad para proteger a los clientes en el entorno de nube de Microsoft.
¿Qué es un incidente de seguridad?
Microsoft define un incidente de seguridad en su servicios en línea como un problema que puede dar lugar a una vulneración de datos del cliente, incluidas infracciones de directivas de seguridad, directivas de uso aceptables o prácticas de seguridad estándar. Esto incluye no solo situaciones como infracciones confirmadas de sistemas de Microsoft, sino también falta de cumplimiento con las directivas y prácticas de seguridad de Microsoft.
Cada vez que se produce un incidente de seguridad, Microsoft se esfuerza por responder de forma rápida y eficaz para proteger los servicios en línea de Microsoft y los datos de los clientes. Los compromisos de notificación del cliente de Microsoft se detallan en el anexo de protección de datos de productos y servicios de Microsoft:
Si Microsoft detecta una infracción de seguridad que conduce a la destrucción accidental o ilegal, la pérdida, la modificación, la divulgación no autorizada de datos del cliente o el acceso a datos personales mientras Microsoft los procesa (cada uno de ellos un "incidente de seguridad"), Microsoft (1) notificará inmediatamente y sin retraso injustificado al Cliente del incidente de seguridad; (2) investigará el incidente de seguridad y proporcionará al cliente información detallada sobre el mismo; (3) tomará medidas razonables para mitigar los efectos y minimizar los daños resultantes del incidente de seguridad.
Respuesta a incidentes federados en Microsoft
Para responder eficazmente a los incidentes de seguridad, Microsoft emplea un modelo de respuesta a incidentes de seguridad federado. Cada servicio en línea principal, como Azure y Microsoft 365, tiene sus propios equipos de seguridad dedicados con aptitudes de ingeniería especializadas. Al mismo tiempo, cada equipo se adhiere a un proceso de administración de incidentes compartido, definiciones compartidas y entrenamiento compartido para proporcionar coherencia en todos los Servicios en línea.
Cada equipo de respuesta de seguridad del servicio en línea proporciona a los equipos de servicio experiencia centralizada en seguridad y guía de respuesta a incidentes como parte de nuestro modelo de respuesta de seguridad federada. En función de la naturaleza del incidente, los equipos de respuesta de seguridad y servicio pueden interactuar con asociados de seguridad y expertos en la materia de otras organizaciones de Microsoft para obtener ayuda de investigación, como:
- Centro de inteligencia sobre amenazas de Microsoft: para soporte de investigación e inteligencia sobre amenazas
- Seguridad digital e ingeniería de riesgos principales de Microsoft: para obtener asistencia de investigación con incidentes relacionados con redes y recursos corporativos de Microsoft
- Centro de respuestas de seguridad de Microsoft: para obtener soporte técnico sobre vulnerabilidades notificadas externamente y respuesta a incidentes de software y servicios
- Asuntos corporativos, externos y legales de Microsoft: para obtener información legal e instrucciones sobre las investigaciones de incidentes de seguridad
- Equipos de privacidad: para obtener instrucciones sobre los requisitos normativos, el cumplimiento y la privacidad. Los equipos independientes están dedicados a cada servicio en línea principal
- Equipos de comunicación de experiencia del cliente: para comunicaciones internas y externas relacionadas con incidentes. Los equipos independientes están dedicados a cada servicio en línea principal
Respuesta a incidentes en Microsoft Online Services
Dentro de Microsoft Online Services, las responsabilidades de la respuesta a incidentes de seguridad se comparten entre los equipos de respuesta de seguridad y cada equipo de servicio de Microsoft. Los equipos de respuesta de seguridad se coordinan con los equipos de servicio para implementar la estrategia de respuesta a incidentes de toda la empresa, al tiempo que aprovechan la experiencia del equipo de servicio.
Nuestra estrategia de respuesta a incidentes, que se basa en las fases de administración de respuestas de NIST 800-61, continúa con cuatro fases de actividad interconectada: preparación; detección y análisis; la contención, la detención y la recuperación; y actividad posterior al incidente.
El diagrama indica que las fases de detección y análisis, y contención, erradicación y recuperación realizan iteraciones en bucle hasta que se resuelve el incidente.
Cada fase del proceso de administración de respuestas es importante para una respuesta eficaz a incidentes.