Plan de acción de Microsoft 365 ISO 27001: principales prioridades de los primeros 30 días, 90 días y el periodo posterior
La Organización Internacional de Normalización (ISO) es un desarrollador no gubernamental independiente de normas internacionales. La Comisión Electrotécnica Internacional (IEC) dirige la preparación y publicación de normas internacionales para tecnologías eléctricas, electrónicas y otras relacionadas. La familia de estándares ISO/IEC 27000 describe mecanismos y controles que ayudan a mantener la seguridad de los activos de la información.
ISO/IEC 27001 es el estándar internacional para implementar un sistema de administración de seguridad de información (ISMS). Un ISMS describe los métodos necesarios utilizados y las evidencias asociadas con los requisitos que son esenciales para la administración de confianza de la seguridad de activos de información en cualquier tipo de organización.
Este artículo comprende un plan de acción prioritaria que se puede aplicar mientras se trabaja para cumplir con los requisitos de ISO/IEC 27001. Este plan de acción se desarrolló en colaboración con Protiviti, un partner de Microsoft especializado en el cumplimiento de las normativas.
Resultados del plan de acción
Estas recomendaciones se proporcionan en tres fases en un orden lógico con los siguientes resultados:
| Fase | Resultados |
|---|---|
| 30 días | Comprender los requisitos de cumplimiento y de gobierno de la ISO 27001. • Realizar una evaluación de riesgos y alinear la administración y mitigación de riesgos con los resultados de esa evaluación. • Evaluar y administrar los riesgos relacionados con el cumplimiento mediante el Administrador de cumplimiento de Microsoft. • Establezca procedimientos operativos estándares (SOP) para cada uno de los 14 grupos ISO 27001. Empezar a planear una implementación de herramientas y directivas de retención y clasificación de la información en la organización para ayudar a los usuarios a identificar, clasificar y proteger los activos y los datos confidenciales. • Obtenga información sobre cómo la aplicación y las directivas de Azure Information Protection pueden ayudar a los usuarios a aplicar fácilmente indicaciones visuales de confidencialidad y metadatos a correos electrónicos y documentos. Desarrolle el esquema de clasificación de información de su organización, junto con un plan de implementación y formación. • Puede implementar Etiquetas en la organización para ayudar a los usuarios a aplicar fácilmente directivas de protección y retención de registros al contenido. Planifique las etiquetas de la organización según los requisitos legales para la retención de registros de información, junto con un plan de implementación y formación. Garantizar que los registros relacionados con la seguridad de la información están protegidos contra la pérdida, la eliminación, la modificación o el acceso no autorizado mediante la creación de directivas de auditoría y responsabilidad como parte de los procedimientos de operaciones estándar (SOP). • Habilite el registro de auditoría (incluyendo la auditoría de buzones) para supervisar Microsoft 365 en busca de actividad potencialmente malintencionada y habilitar el análisis forense de vulneraciones de datos. • Periódicamente, examine los registros de auditoría de su empresa para revisar los cambios que se hayan realizado en las opciones de configuración del espacio empresarial. • Habilite directivas de alerta para actividades confidenciales, como cuando se produce un aumento de privilegios en una cuenta de usuario. • Para el almacenamiento a largo plazo de datos de registro de auditoría, use la referencia de API de Actividad de administración de Office 365 para integrarse con una herramienta de Administración de eventos e información de seguridad (SIEM). Definir los roles administrativos y de seguridad de la organización, junto con directivas apropiadas relacionadas con la separación de funciones. • Use los roles administrativos de Microsoft 365 para habilitar la separación de tareas de administración. • Divida en segmentos los permisos para asegurarse de que un administrador no tiene un acceso mayor del necesario. |
| 90 días | Usar las funciones de seguridad de Microsoft 365 para controlar el acceso al entorno y proteger los activos y la información de la organización de acuerdo con sus procedimientos de operaciones estándar (SOP) definidos. • Proteja las cuentas de administrador y usuario final habilitando soluciones de autenticación e identidad, como la autenticación multifactor y la autenticación moderna. • Establezca directivas de contraseñas seguras para administrar y proteger las credenciales de las cuentas de usuario. • Configure e implemente capacidades de cifrado de mensajes para ayudar a los usuarios finales a cumplir los SOP de su organización al enviar datos confidenciales por correo electrónico. • Protéjase contra código malicioso e implemente prevención contra infracciones de datos y procedimientos de respuesta. • Configure directivas de Prevención de pérdida de datos (DLP) para identificar, proteger y controlar el acceso a los datos confidenciales. • Asegúrese de que los datos confidenciales se almacenan y se accede a ellos según las directivas corporativas. • Evite los ataques más comunes como correos electrónicos de suplantación de identidad y documentos de Office que contienen vínculos malintencionados y datos adjuntos. |
| Más allá de 90 días | Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales. • Identifique automáticamente la información personal en los correos electrónicos y documentos • Proteja los datos confidenciales almacenados y a los que se accede en dispositivos móviles en toda la organización, y asegúrese de que se usan dispositivos de empresa compatibles para los datos. Supervisar el cumplimiento continuo en Microsoft 365 y otras aplicaciones de la nube. • Para evaluar el rendimiento frente a los procedimientos operativos estándar (SOPs), utilice el Administrador de cumplimiento para realizar evaluaciones periódicas de las directivas de seguridad de la información de la organización y de su implementación. • Revise y supervise el sistema de administración de seguridad de la información de forma continua. • Controle y realice revisiones regulares de todos los usuarios y grupos con altos niveles de permisos (por ejemplo, los usuarios con privilegios o administradores). • Implemente y configure capacidades de Microsoft 365 para proteger las identidades privilegiadas y controlar de forma estricta el acceso con privilegios. • Como parte de los procedimientos operativos estándar (SOP), examine los registros de auditoría para revisar los cambios realizados en las opciones de configuración del espacio empresarial, el aumento de privilegios de usuarios finales y las actividades de riesgo de los usuarios. • Supervise el uso de aplicaciones en la nube de su organización e implemente directivas de alertas avanzadas. • Controle las actividades arriesgadas para identificar los administradores potencialmente malintencionados, investigar las infracciones de datos o comprobar que se satisfacen los requisitos de cumplimiento. |
30 días: logros rápidos significativos
Estas tareas pueden realizarse rápidamente y tienen un impacto menor para los usuarios.
| Área | Tareas |
|---|---|
| Comprender los requisitos de cumplimiento y de gobierno de la ISO 27001. | • Valorar y administrar los riesgos relacionados con el cumplimiento con el Administrador de cumplimiento para llevar a cabo una evaluación de la norma ISO 27001:2013 de su organización. Establecer procedimientos de operación estándar (SOPs) para cada uno de los 14 grupos ISO 27001. |
| Empezar a planear una implementación de herramientas y directivas de retención y clasificación de la información en la organización para ayudar a los usuarios a identificar, clasificar y proteger los activos y los datos confidenciales. | • Ayude a los usuarios a identificar y clasificar información confidencial fácilmente, según sus directivas de protección de información y procedimientos operativos estándar (SOP), implementando las directivas de clasificación y la aplicación de Azure Information Protection. Desarrolle el esquema de clasificación de información de su organización (directivas), junto con un plan de implementación y formación. • Ayude a los usuarios a aplicar fácilmente las directivas de protección y retención de registros al contenido mediante la implementación de etiquetas de Microsoft 365 en la organización. Planifique las etiquetas de la organización según los requisitos legales de retención de registro de información, junto con un plan de implementación y aprendizaje. |
| Garantizar que los registros relacionados con la seguridad de la información están protegidos contra la pérdida, la eliminación, la modificación o el acceso no autorizado mediante la creación de directivas de auditoría y responsabilidad como parte de los procedimientos de operaciones estándar (SOP). | • Habilite el registro de auditoría y la auditoría de buzones (para todos los buzones de Exchange) para supervisar Microsoft 365 en busca de actividades potencialmente malintencionadas y habilitar el análisis forense de vulneraciones de datos. • Periódicamente, examine los registros de auditoría de su empresa para revisar los cambios que se hayan realizado en las opciones de configuración del espacio empresarial. • Habilite directivas de alerta de Microsoft 365 en el Centro de seguridad y cumplimiento de Microsoft 365 para actividades confidenciales, como cuando se produce un aumento de privilegios en una cuenta de usuario. • Para el almacenamiento a largo plazo de los datos de registro de auditoría, use la referencia de la API de Actividad de administración de Office 365 para integrarla con una herramienta de Administración de eventos e información de seguridad (SIEM). |
| Definir los roles administrativos y de seguridad de la organización, junto con directivas apropiadas relacionadas con la separación de funciones. | • Use los roles administrativos de Microsoft 365 para habilitar la separación de tareas administrativas. Nota: muchos roles de administrador tienen un rol correspondiente en Exchange Online, SharePoint Online y Skype Empresarial Online. • Divida en segmentos los permisos para asegurarse de que un administrador no tiene un acceso mayor del necesario. |
90 días: protecciones mejoradas
Estas tareas necesitan un poco más de tiempo para planearlas e implementarlas, pero aumentan considerablemente el nivel de seguridad.
| Área | Tareas |
|---|---|
| Usar las funciones de seguridad de Microsoft 365 para controlar el acceso al entorno y proteger los activos y la información de la organización de acuerdo con sus procedimientos de operaciones estándar (SOP) definidos. | • Proteja las cuentas de usuario final y de administrador implementando directivas de identidades y de acceso a dispositivos, incluyendo la activación de la autenticación multifactor (MFA) para todas las cuentas de usuario y la autenticación moderna para todas las aplicaciones. • Establezca directivas de contraseñas seguras para administrar y proteger las credenciales de las cuentas de usuario. • Configure el Cifrado de mensajes de Office 365 (OME) para ayudar a los usuarios finales a cumplir los procedimientos operativos estándares de su organización cuando envíen datos confidenciales por correo electrónico. • Implemente Microsoft Defender para punto de conexión en todos los equipos de escritorio para protegerlos contra código malicioso, así como prevenir y responder contra vulneraciones de datos. • Configure, pruebe e implemente directivas de Prevención de pérdida de datos (DLP) para identificar, supervisar y proteger automáticamente más de 80 tipos comunes de información confidencial dentro de documentos y correos electrónicos, como información financiera, médica y de identificación personal. • Configure las Sugerencias de directiva para informar automáticamente a los remitentes de correo electrónico de que podrían infringir una de las directivas incluso antes de que envíen un mensaje infractor. Las Sugerencias de directiva pueden configurarse para presentar una breve nota en Outlook, Outlook en la Web y OWA para dispositivos, que proporciona información sobre las posibles infracciones de directivas durante la creación del mensaje. • Implemente Protección contra amenazas avanzada de Office 365 para ayudar a evitar los ataques más comunes como correos electrónicos de suplantación de identidad y documentos de Office que contienen vínculos y datos adjuntos malintencionados. |
Más allá de 90 días: seguridad continua, gobierno de datos y creación de informes
Proteger los datos personales en reposo y en tránsito, detectar y responder a las infracciones de datos y facilitar la comprobación regular de medidas de seguridad. Estas son las medidas de seguridad importantes que se basan en el trabajo anterior.
| Área | Tareas |
|---|---|
| Usar la protección de información y las herramientas de Gobierno de datos avanzado de Microsoft 365 para implementar programas de gobierno continuos para datos personales. | • Use Gobierno de datos avanzado de Office 365 para identificar información personal en documentos y correos electrónicos aplicando automáticamente Etiquetas de Microsoft 365. • Use Microsoft Intune para proteger los datos confidenciales almacenados y aquellos a los que se accede desde dispositivos móviles en toda la organización, y asegúrese de que se usen dispositivos de empresa que cumplan la normativa para los datos. |
| Supervisar el cumplimiento continuo en Microsoft 365 y otras aplicaciones de la nube. | • Para evaluar el rendimiento de los procedimientos operativos estándar (SOP), utilice el Administrador de cumplimiento de Microsoft de forma continua para realizar evaluaciones regulares de ISO 27001:2013 de directivas de seguridad de información de la organización y de su implementación. • Revise y supervise el sistema de administración de seguridad de la información de forma continua. • Use Azure AD Privileged Identity Management para controlar y realizar revisiones regulares de todos los usuarios y grupos con altos niveles de permisos (por ejemplo, los usuarios administrativos o con privilegios). • Implemente y configure Privileged Access Management en Office 365 para proporcionar control de acceso granular sobre tareas con privilegios de administrador en Office 365. Una vez habilitado, los usuarios necesitan solicitar acceso puntual para completar las tareas con privilegios elevados a través de un flujo de trabajo de aprobación muy limitado por tiempo y ámbito. • Como parte de los procedimientos operativos estándar (SOP), examine los registros de auditoría para revisar los cambios realizados en las opciones de configuración del espacio empresarial, el aumento de privilegios de usuarios finales y las actividades de riesgo de los usuarios. • Audite el acceso no propietario a buzones para identificar posibles pérdidas de información y para revisar de forma proactiva el acceso de usuario no propietario en todos los buzones de Exchange Online. • Use las directivas de alerta de Microsoft 365, los informes de prevención de pérdida de datos y Microsoft Cloud App Security para supervisar el uso de aplicaciones en la nube en su organización e implementar directivas de alerta avanzadas basadas en la heurística y en la actividad del usuario. • Use Microsoft Cloud App Security para realizar un seguimiento automático de las actividades de riesgo, identificar a los administradores potencialmente malintencionados, investigar vulneraciones de datos o comprobar que se satisfacen los requisitos de cumplimiento. |
Más información
- Centro de confianza de Microsoft: ISO/IEC 27001:2013 Information Security Management Standards (Estándares de administración de seguridad de la información ISO/IEC 27001:2013)