Seguridad de Dynamics 365

Microsoft Dynamics 365 y Microsoft Power Platform son servicios de software como servicio (SaaS) basados en suscripciones hospedados en centros de datos de Microsoft Azure. Estos servicios en línea están diseñados para brindar el rendimiento, la escalabilidad, la seguridad, las capacidades de gestión y los niveles de servicio necesarios para aplicaciones y sistemas esenciales utilizados por organizaciones empresariales.

En Microsoft, la confianza es un punto focal para la prestación de servicios, los compromisos contractuales y la acreditación de la industria, razón por la cual adoptamos la iniciativa Trusted Cloud. La iniciativa Trusted Cloud es un programa del grupo industrial Cloud Security Alliance (CSA) creado para ayudar a los proveedores de servicios en la nube a desarrollar prácticas y configuraciones de administración del cumplimiento, el acceso y la identidad interoperables, seguras y recomendadas por la industria. Este conjunto de requisitos, directrices y procesos controlados garantiza que prestemos nuestros servicios en la nube con los más altos estándares en cuanto a soporte de ingeniería, legal y de cumplimiento. Nuestro enfoque es mantener la integridad de los datos en la nube, que se rige por los siguientes tres principios clave:

Seguridad: protegiéndote de las ciberamenazas. Privacidad: dándole control sobre el acceso a sus datos. Cumplimiento: inversión sin precedentes para cumplir con los estándares globales.

En Microsoft, nuestro enfoque para proteger la información de nuestros clientes implica un marco de control de seguridad de tecnologías, procedimientos operativos y directivas que cumplan con los estándares globales más recientes y que pueden adaptarse rápidamente a las tendencias de seguridad y las necesidades específicas de la industria. Además, proporcionamos un conjunto de herramientas administradas por el cliente que se adaptan a la organización y a sus necesidades de seguridad. Use el Centro de seguridad y cumplimiento de Microsoft 365 para realizar un seguimiento de las actividades de usuarios y administradores, amenazas de malware, incidentes de pérdida de datos y mucho más. El panel Informes se utiliza para informes actualizados relacionados con las características de seguridad y cumplimiento de su organización. Puede usar los informes de Microsoft Entra para mantenerse informado sobre actividades de inicio de sesión inusuales o sospechosas.

Nota

Azure Active Directory es ahora Microsoft Entra ID. Más información

Nuestra directiva de seguridad define las reglas y requisitos de seguridad de la información para el entorno del servicio. Microsoft realiza revisiones periódicas del sistema de administración de seguridad de la información (ISMS) y los resultados se revisan con los administradores de TI. Este proceso implica supervisar la efectividad y la mejora continuas del entorno de control del ISMS mediante la revisión de los problemas de seguridad, los resultados de la auditoría y el estado de la supervisión, y mediante la planificación y el seguimiento de las acciones correctivas necesarias.

Estos controles incluyen lo siguiente:

• Límites físicos y lógicos de la red con directivas de control de cambios estrictamente aplicadas.
• Segregación de controles que requieren una necesidad empresarial para acceder a un entorno.
• Acceso físico y lógico muy restringido al entorno de la nube.
• Controles estrictos basados en las prácticas de garantía de seguridad operativa y del ciclo de vida de desarrollo de seguridad de Microsoft que definen las prácticas de codificación, las pruebas de calidad y la promoción del código.
• Concienciación y formación continua sobre seguridad, privacidad y prácticas seguras de codificación.
• Registro continuo y auditoría del acceso al sistema.
• Auditorías periódicas de cumplimiento para garantizar la eficacia del control.

Para ayudar a combatir las amenazas emergentes y en evolución, Microsoft emplea una estrategia innovadora de "asumir la brecha" y utiliza grupos muy especializados de expertos en seguridad. conocidos como Red Team para fortalecer la detección, respuesta y defensa de amenazas para sus servicios empresariales en la nube. Microsoft utiliza el Red Team y las pruebas del sitio activo con respecto a la infraestructura de nube administrada por Microsoft para simular filtraciones del mundo real, realizar una supervisión de seguridad continua y practicar la respuesta a incidentes de seguridad a fin de validar y mejorar la seguridad de los servicios en línea.

El equipo de seguridad de Microsoft Cloud lleva a cabo análisis internos y externos frecuentes para identificar vulnerabilidades y evaluar la efectividad del proceso de administración de parches. Los servicios se analizan para detectar vulnerabilidades conocidas; los nuevos servicios se agregan al siguiente análisis trimestral cronometrado, según su fecha de inclusión, y siguen una programación de análisis trimestral a partir de entonces. Estos análisis se utilizan para garantizar el cumplimiento de las plantillas de configuración de referencia, validar la instalación de parches relevantes e identificar vulnerabilidades. El personal adecuado revisa los informes de análisis y los esfuerzos de corrección se llevan a cabo de inmediato.

Todos los puertos de E/S no utilizados en los servidores de producción perimetrales están deshabilitados por las configuraciones de nivel de sistema operativo, que se definen en la configuración de seguridad de referencia. Se habilitan comprobaciones continuas de verificación de la configuración para detectar desviaciones en las configuraciones de nivel de sistema operativo. Además, los conmutadores de detección de intrusos están habilitados para detectar cuándo se accede físicamente a un servidor.

Hemos establecido procedimientos para investigar y responder a eventos maliciosos detectados por el sistema de supervisión de Microsoft de manera oportuna.

Microsoft emplea los principios de separación de funciones y privilegios mínimos en todas sus operaciones. Para prestar soporte al cliente para servicios seleccionados, el personal de soporte técnico de Microsoft solo puede acceder a los datos del cliente con el permiso explícito de este. El permiso se otorga "cuando es necesario", se registra y se audita, y luego se revoca una vez que se completa la interacción. En Microsoft, los ingenieros de operaciones y el personal de soporte técnico que acceden a sus sistemas de producción utilizan estaciones de trabajo reforzadas con máquinas virtuales aprovisionadas para el acceso a la red corporativa interna y aplicaciones (como correo electrónico e intranet). Todas las estaciones de trabajo de administración tienen y Módulo de plataforma segura (TPM), sus unidades de inicio de host están cifradas con BitLocker y están unidas a una unidad organizativa especial en el dominio corporativo principal de Microsoft.

El endurecimiento del sistema se aplica mediante el uso de directivas de grupo, con una actualización de software centralizada. Con fines de auditoría y análisis, los registros de eventos (como seguridad y AppLocker) se recopilan desde las estaciones de trabajo de administración y se guardan en una ubicación central segura. Además, se utilizan jump-boxes dedicados en la red de Microsoft que requieren autenticación de dos factores para conectarse a una red de producción.

Pasos siguientes

Estrategia de seguridad en implementaciones de Dynamics 365
Centro de confianza de MicrosoftDocumentación de seguridad de Microsoft Power Platform
Modelo de seguridad en Dynamics 365 Customer Engagement (on-premises)
Datos de auditoría y actividad de usuario con fines de seguridad y cumplimiento