Información general sobre gobernanza, riesgos y cumplimiento
¿Cómo proporciona Microsoft una gobernanza de seguridad eficaz en toda la empresa?
Microsoft entiende que las directivas de seguridad eficaces se deben implementar de forma coherente en toda la empresa para proteger los sistemas de información y los clientes de Microsoft. Las directivas de seguridad también deben tener en cuenta las variaciones en las funciones empresariales y los sistemas de información para que sean aplicables universalmente. Para cumplir estos requisitos, Microsoft implementa un programa de gobernanza de seguridad completo como parte del Marco de directivas de Microsoft. La gobernanza de la seguridad forma parte de la Directiva de seguridad de Microsoft (MSP).
La MSP organiza las directivas de seguridad, los estándares y los requisitos de Microsoft para que puedan implementarse en todos los grupos de ingeniería y unidades de negocios de Microsoft. Las unidades de negocios individuales son responsables de las implementaciones específicas de las Directivas de seguridad de Microsoft. Por ejemplo, Microsoft 365 documenta sus implementaciones de seguridad en la directiva de seguridad de la información de Microsoft 365 y el marco de control de Microsoft 365 relacionado. Azure y Dynamics 365 documenta sus implementaciones de seguridad en los procedimientos operativos estándar (SOP) y Azure Control Framework. Estas implementaciones de seguridad se alinean con los objetivos y objetivos del MSP.
El programa de gobernanza de seguridad de Microsoft está informado y se alinea con diversos marcos normativos y de cumplimiento. Los requisitos de seguridad evolucionan constantemente para tener en cuenta las nuevas tecnologías, los requisitos normativos y de cumplimiento, y las amenazas de seguridad. Debido a estos cambios, Microsoft actualiza periódicamente nuestras directivas de seguridad y documentos auxiliares para proteger los sistemas y clientes de Microsoft, cumplir nuestros compromisos y mantener la confianza del cliente.
¿Cómo implementa Microsoft servicios en línea la directiva de seguridad de Microsoft (MSP)?
Microsoft 365 documenta las implementaciones de seguridad en la directiva de seguridad de la información de Microsoft 365. Esta directiva se alinea con la directiva de seguridad de Microsoft y rige el sistema de información de Microsoft 365, incluidos todos los entornos de Microsoft 365 y todos los recursos implicados en la recopilación, el procesamiento, el mantenimiento, el uso, el uso compartido, la difusión y la eliminación de datos. De forma similar, Azure y Dynamics 365 usan la directiva de seguridad de Microsoft para controlar su sistema de información.
Los sistemas de información incluyen los siguientes componentes regidos por la directiva de seguridad de la información de Microsoft 365 (para Microsoft 365) y la directiva de seguridad de Microsoft (para Azure y Dynamics 365):
- Infraestructura: componentes físicos y de hardware de los sistemas de Azure, Dynamics 365 y Microsoft 365 (instalaciones, equipos y redes)
- Software: los programas y el software operativo de Los sistemas de Azure, Dynamics 365 y Microsoft 365 (sistemas, aplicaciones y utilidades)
- Personas: el personal implicado en la operación y el uso de sistemas de Azure, Dynamics 365 y Microsoft 365 (desarrolladores, operadores, usuarios y administradores)
- Procedimientos: procedimientos programados y manuales implicados en el funcionamiento de los sistemas de Azure, Dynamics 365 y Microsoft 365
- Datos: la información generada, recopilada y procesada por los sistemas de Azure, Dynamics 365 y Microsoft 365 (flujos de transacciones, archivos, bases de datos y tablas)
La directiva de seguridad de la información de Microsoft 365 se complementa con el marco de control de Microsoft 365. Microsoft 365 Control Framework detalla los requisitos de seguridad mínimos para todos los servicios de Microsoft 365 y los componentes del sistema de información. También hace referencia a los requisitos legales y corporativos de cada control. El marco incluye nombres de actividades de control, descripciones y orientaciones para garantizar la aplicación eficaz de los controles por parte de los equipos de servicio. Microsoft 365 usa el marco de control para realizar un seguimiento de las implementaciones de control para informes internos y externos. De forma similar, Azure y Dynamics 365 implementaciones de control de registros en Azure Control Framework.
¿Cómo servicios en línea limitar y realizar un seguimiento de las excepciones a las directivas y procedimientos establecidos?
Todas las excepciones a los marcos de control deben tener una justificación empresarial legítima y ser aprobadas por una entidad de gobernanza adecuada dentro de cada equipo de servicios en línea. Dependiendo del alcance de la excepción y del riesgo potencial que represente, puede ser necesario obtener la aprobación de las excepciones por parte de un vicepresidente corporativo o superior. Las excepciones se administran en una herramienta de seguimiento en la que se revisan y aprueban por relevancia continua.
¿Cómo evalúa y administra Microsoft el riesgo en toda la empresa?
La administración de riesgos es el proceso de identificar, evaluar y responder a amenazas o eventos que pueden afectar a los objetivos de la empresa o del cliente. La administración de riesgos de Microsoft está diseñada para prever nuevas amenazas y proporcionar seguridad continua para nuestros sistemas en la nube y los clientes que los usan.
La administración de riesgos de Microsoft se alinea con el marco de Administración de riesgos empresariales (ERM). ERM permite el proceso general de administración de riesgos empresariales y trabaja con la administración en toda la empresa para identificar y garantizar la responsabilidad de los riesgos más importantes de Microsoft.
Microsoft ERM permite principios comunes de administración de riesgos en toda la empresa para que las unidades de negocio puedan facilitar evaluaciones de riesgos coherentes y comparativas de forma independiente. Esta coordinación ofrece a Microsoft la capacidad de agregar e informar de la información de riesgo de forma consolidada para la administración. ERM proporciona unidades de negocio en Microsoft con metodologías, herramientas y objetivos comunes para el proceso de administración de riesgos. Microsoft 365 y otros grupos de ingeniería y unidades de negocio usan estas herramientas para realizar evaluaciones de riesgos individuales como parte de sus propios programas de administración de riesgos bajo la guía de ERM.
¿Cómo funciona Microsoft servicios en línea con ERM?
Cada servicio en línea sigue las instrucciones de ERM para administrar los riesgos en todos los servicios de Microsoft. El programa se centra en alinear el marco ERM con los procesos existentes de ingeniería, operaciones de servicio y cumplimiento de Microsoft, lo que hace que el programa de administración de riesgos sea más eficaz y eficaz. En última instancia, las actividades de administración de riesgos de cada servicio en línea se acumulan e informan del proceso de ERM.
Como parte de las actividades de evaluación de riesgos, cada servicio en línea analiza el diseño y la eficacia operativa de los controles implementados como parte de Microsoft Controls Framework (Framework). Framework es un conjunto racionalizado de controles que, cuando se implementan correctamente junto con las actividades de compatibilidad, permiten a los equipos de ingeniería cumplir con las normas y certificaciones clave.
¿Cómo servicios en línea mantener actualizados los requisitos de seguridad y cumplimiento?
Los equipos de gobernanza, riesgo y cumplimiento de cada servicio en línea (GRC) trabajan para mantener el marco de control de forma continua. Varios escenarios pueden requerir que el equipo de GRC actualice el marco de control, incluidos los cambios en las normativas o leyes pertinentes, las amenazas emergentes, los resultados de las pruebas de penetración, los incidentes de seguridad, los comentarios de auditoría y los nuevos requisitos de cumplimiento. Cuando se requiere un cambio de marco, el equipo de confianza identifica a las partes interesadas clave responsables de aprobar e implementar el cambio para asegurarse de que es factible y no provocará problemas imprevistos con los servicios en línea. Una vez que el equipo de GRC y las partes interesadas pertinentes están de acuerdo en lo que requiere el cambio, las cargas de trabajo responsables de implementar las fechas de finalización de destino del conjunto de cambios y trabajan para implementar el cambio dentro de sus respectivos servicios. Una vez cumplidos los objetivos de implementación, el equipo de confianza actualiza el marco de control con los controles nuevos o actualizados.
Regulaciones externas relacionadas & certificaciones
Los servicios en línea de Microsoft se auditan periódicamente para comprobar el cumplimiento de las normativas y certificaciones externas. Consulte la tabla siguiente para la validación de controles relacionados con la gobernanza, el riesgo y el cumplimiento.
Azure y Dynamics 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| ISO 27001/27002 Declaración de aplicabilidad Certificado |
A.5: Directivas de seguridad de la información A.18.1: Cumplimiento de requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
6 de noviembre de 2023 |
| ISO 27017 Declaración de aplicabilidad Certificado |
A.5: Directivas de seguridad de la información A.18.1: Cumplimiento de requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
6 de noviembre de 2023 |
| ISO 27018 Declaración de aplicabilidad Certificado |
A.5: Directivas de seguridad de la información | 6 de noviembre de 2023 |
| ISO 22301 Certificado |
6.1.1: Determinación de riesgos y oportunidades 6.1.2: Abordar riesgos y oportunidades |
24 de abril de 2023 |
| SOC 1 | IS-1: directiva de seguridad de Microsoft IS-2: Revisión de directivas de seguridad de Microsoft IS-3: Roles y responsabilidades de seguridad |
17 de noviembre de 2023 |
| SOC 2 SOC 3 |
C5-1: Procedimientos operativos estándar IS-1: directiva de seguridad de Microsoft IS-2: Revisión de directivas de seguridad de Microsoft IS-3: Roles y responsabilidades de seguridad SOC2-14: Acuerdos de confidencialidad y no divulgación SOC2-18: Requisitos legales, normativos y contractuales SOC2-19: programa de cumplimiento multifuncional SOC2-20: programa ISMS SOC2-26: Evaluación anual de riesgos |
17 de noviembre de 2023 |
Microsoft 365
| Auditorías externas | Section | Fecha del informe más reciente |
|---|---|---|
| FedRAMP (Office 365) | CA-2: Evaluaciones de seguridad CA-5: Plan de acción e hitos PL-2: plan de seguridad del sistema RA-3: Evaluación de riesgos |
31 de julio de 2023 |
| ISO 27001/27002/27017 Declaración de aplicabilidad Certificación (27001/27002) Certificación (27017) |
A.5: Directivas de seguridad de la información A.18.1: Cumplimiento de requisitos legales y contractuales A.18.2: Revisiones de seguridad de la información |
Marzo de 2024 |
| SOC 1 | CA-03: Administración de riesgos | 23 de enero de 2024 |
| SOC 2 | CA-02: Responsabilidades del equipo de gobernanza, riesgo y cumplimiento CA-03: Administración de riesgos CA-11: Actualizaciones del marco de directivas CA-17: Directiva de seguridad de Microsoft CA-24: Evaluación interna de riesgos CA-25: Actualizaciones del marco de control |
23 de enero de 2024 |
Recursos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de