Datos seguros con confianza cero

  • Artículo
  • Tiempo de lectura: 13 minutos

Fondo

Proteger los datos es una de las principales responsabilidades de los equipos de seguridad y cumplimiento. Los datos deben permanecer protegidos mientras están en reposo, en uso y cuando abandonan los puntos de conexión,las aplicaciones,la infraestructura y las redes que están bajo el control de la organización. Para garantizar la protección y que el acceso a los datos esté restringido a los usuarios autorizados, los datos deben inventariarse, clasificarse, etiquetarse y, en su caso, cifrarse.

Los tres elementos principales de una estrategia de protección de datos son:

  1. Conocer los datos

    Si no sabe qué datos confidenciales tiene locales y en servicios en la nube, no puede protegerlos adecuadamente. Debe descubrir datos en toda la organización y clasificar todos los datos por nivel de confidencialidad.

  2. Proteger los datos y evitar la pérdida de datos

    Los datos confidenciales deben estar protegidos por directivas de protección de datos que etiquetan y cifran datos o bloquean el uso compartido en exceso. Esto garantiza que solo los usuarios autorizados puedan acceder a los datos, incluso cuando los datos se desplazan fuera de su entorno corporativo.

  3. Supervisar y corregir

    Debe supervisar continuamente los datos confidenciales para detectar infracciones de directivas y comportamientos de usuario arriesgados. Esto le permite tomar las medidas adecuadas, como revocar el acceso, bloquear usuarios y refinar las directivas de protección.

Diagrama de supervisión de activiting y corrección.

Cuando los datos y el contenido confidencial se comprenden, etiquetan y clasifican, las organizaciones pueden:

  • Informe y aplique decisiones de directiva para bloquear o quitar correos electrónicos, datos adjuntos o documentos.

  • Cifrar archivos con etiquetas de confidencialidad en puntos de conexión de dispositivo.

  • Clasifique automáticamente el contenido con etiquetas de confidencialidad a través de directivas y aprendizaje automático.

  • Realice un seguimiento y supervise el contenido confidencial con directivas a medida que el contenido se desplaza dentro y fuera de su estado digital.

Objetivos de implementación de confianza cero en datos

Una estrategia de protección de la información debe abarcar todo el contenido digital de su organización. Como línea base, debe definir etiquetas, detectar datos confidenciales y supervisar el uso de etiquetas y acciones en todo el entorno. Al final de esta guía se describe el uso de etiquetas de confidencialidad.

Nota

Antes de que muchas organizaciones inicien el viaje deconfianza cero, su seguridad de datos se caracteriza por lo siguiente:

  • El acceso se rige por el control perimetral, no por la confidencialidad de los datos.

  • Las etiquetas de confidencialidad se aplican manualmente, con una clasificación de datos incoherente.

Los objetivos iniciales de implementación para la protección de la información son:

  1. Definir la taxonomía de etiquetas de su organización.

  2. Definir las características de protección de la información de su organización que están en el ámbito de implementación.

  3. Asignación de las características del ámbito a la escala de tiempo del proyecto.

  4. Revisar la hoja de ruta del producto de Microsoft para tener en cuenta las características que vienen que se alinearán con el camino de protección de la información de su organización.

Las actividades anteriores son coherentes para todas las organizaciones que planean un proyecto de protección de la información, no solo para aquellas centradas en implementar un enfoque de confianza cero para proteger los datos. No hablaremos más sobre estas actividades en esta guía. Para obtener más información, vea:

Al implementar un marco de confianza cero de un extremo a otro para los datos, le recomendamos que se centre primero en estos objetivos iniciales de implementación:

Icono de lista con una marca de verificación.

I. Lasdecisiones de Access se rigen por el cifrado.

II.Los datos se clasifican y etiquetan automáticamente.

Una vez completadas, céntrate en estos objetivos de implementación adicionales:

Icono de lista con dos marcas de verificación.

III.La clasificación se aumenta con modelos de aprendizaje automático inteligente.

IV.Las decisiones de Access se rigen por un motor de directiva de seguridad en la nube.

V. Evite la filtraciónde datos a través de directivas DLP basadas en una etiqueta de confidencialidad e inspección de contenido.

Funcionalidades

Tabla de capacidades.

Guía de implementación de confianza cero de datos

Esta guía le guiará paso a paso por un enfoque de confianza cero para la madurez de la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente según la confidencialidad de la información y el tamaño y la complejidad de su organización.




Icono lista de comprobación con una marca de verificación.

Objetivos iniciales de implementación

I. Las decisiones de Access se rigen por el cifrado

Proteja los datos más confidenciales con cifrado para restringir el acceso al contenido al que se aplican las etiquetas de confidencialidad.

Cuando un documento o correo electrónico está cifrado, el acceso al contenido está restringido para que:

  • Se cifra tanto en reposo como en tránsito.

  • Permanece cifrado independientemente de dónde resida (dentro o fuera de su organización), incluso si se cambia el nombre del archivo.

  • Solo los usuarios autorizados por la configuración de cifrado de la etiqueta pueden descifrarlo.

Haga este paso:

II. Los datos se clasifican y etiquetan automáticamente

Para evitar problemas con los datos que no se etiquetan manualmente o las etiquetas que se aplican de forma inexacta, automatice la clasificación de datos.

Etiquetar automáticamente el contenido en Aplicaciones Microsoft 365 para Enterprise o cliente de etiquetado unificado

Una selección de cliente estratégico para Windows aprovecha las características de protección de información integradas en Microsoft Office. Si esto no es posible, una solución alternativa sería usar el cliente de etiquetado unificado de Azure Information Protection.

Siga estos pasos:

  1. Obtenga información sobre cómo configurar el etiquetado automático para Office aplicaciones.

  2. Aplicar etiquetas de confidencialidad al contenido automáticamente.

Clasificar, etiquetar y proteger automáticamente contenido crítico empresarial con datos confidenciales locales

Puede usar el escáner de Azure Information Protection (AIP) para clasificar y proteger automáticamente los archivos de SharePoint 2013 y posteriores y servidores de archivos locales.

Haga este paso:

  • Configure el escáner para usar el modo exigir y clasificar, etiquetar y proteger automáticamente los archivos con datos confidenciales.




Icono lista de comprobación con dos marcas de verificación.

Objetivos de implementación adicionales

III. La clasificación se aumenta con modelos de aprendizaje automático inteligente

Las empresas tienen una gran cantidad de datos que pueden ser difíciles de etiquetar y clasificar de forma adecuada. Una vez que haya completado los dos primeros pasos, el siguiente paso es usar el aprendizaje automático para una clasificación más inteligente.

Microsoft 365 proporciona tres formas de clasificar el contenido, incluidos manualmente y con coincidencias de patrones automatizadas.

Los clasificadores de aprendizaje (versión preliminar) son un tercer método adecuado para el contenido que no se identifica fácilmente mediante métodos de coincidencia de patrones manuales o automatizados. Un clasificador aprende a identificar un tipo de contenido consultando cientos de ejemplos del contenido que le interesa clasificar. Empieza por darle ejemplos que definitivamente están en la categoría. Una vez que los procesa, prosébalo dándole una combinación de ejemplos que coincidan y que no coincidan. A continuación, el clasificador realiza predicciones sobre si un elemento determinado entra en la categoría que está creando. A continuación, confirme sus resultados, ordenando los positivos, negativos, falsos positivos y falsos negativos para ayudar a aumentar la precisión de sus predicciones. Al publicar el clasificador entrenado, ordena los elementos en ubicaciones como SharePoint Online, Exchange y OneDrive, y clasifica el contenido.

Siga estos pasos:

  1. Obtenga información sobre dónde puede usar clasificadores entrenables.

  2. Crear un clasificador entrenable (versión preliminar).

IV. Las decisiones de Access se rigen por un motor de directiva de seguridad en la nube

Para los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar mediante directivas en ubicaciones dirigidas. Microsoft Defender para aplicaciones en la nube proporciona capacidades adicionales para administrar archivos confidenciales, como:

  • La eliminación de colaboradores para evitar privilegios excesivos y pérdidas de datos.

  • Colocar archivos en cuarentena para una revisión adicional.

  • Crear directivas que apliquen etiquetas proactivamente a archivos confidenciales o en escenarios de usuario de riesgo específicos.

Siga estos pasos:

  1. Configure directivas de etiquetado automático para SharePoint, OneDrive y Exchange.

  2. Integre Microsoft Defender para aplicaciones en la nube y Microsoft Information Protection y úsese también para proteger datos en entornos de terceros como Box o G-Suite.

V. Evitar la filtración de datos a través de directivas DLP basadas en una etiqueta de confidencialidad e inspección de contenido

Para cumplir con los estándares empresariales y las normativas del sector, las organizaciones deben proteger la información confidencial y evitar su divulgación involuntaria. La información confidencial puede incluir datos financieros o información de identificación personal (PII), como números de tarjetas de crédito, números de seguridad social o registros de salud. Con una directiva de prevención de pérdida de datos (DLP) en el Centro de cumplimiento de seguridad de Office 365, puede identificar, supervisar y proteger automáticamente la información confidencial en & Office 365.

Siga estos pasos:

  1. Obtenga información sobre cómo proteger datos con directivas DLP.

  2. Crear, probar y ajustar una directiva DLP.

  3. Use DLP para exigir acciones (por ejemplo, proteger contenido, restringir el acceso o, en el caso de un correo electrónico, bloquear la transmisión) cuando el contenido coincida con un conjunto de condiciones.

Objetivos de seguridad de datos tradicionales

Las etiquetas de confidencialidad son la base del modelo de confianza cero para los datos. Definir niveles de confidencialidad es un proceso de identificación de las partes interesadas para analizar y determinar tipos de datos que son críticos para las empresas y que están sujetos a la regulación gubernamental. A continuación, se puede crear una taxonomía para que este tipo de datos se puedan clasificar como altamente confidenciales o confidenciales, y los documentos que contienen estos datos se etiquetan en consecuencia. De forma similar, se debe tomar una decisión de directiva de seguridad sobre otros niveles de confidencialidad de tipo de datos y etiquetas de documento, como Público general o No Empresarial. Una vez completada la determinación de directivas, descubra los archivos en todas las ubicaciones, valide el contenido de los archivos, compárelos con la decisión de directiva y etiquete los documentos correctamente.

Estas actividades ayudan a abordar el riesgo identificando y marcando información confidencial para evitar el uso compartido accidental de información con entidades no autorizadas. También provocan un impacto mínimo en la productividad, ya que el uso compartido de datos continúa sin interrupciones.

Las siguientes instrucciones le ayudarán a empezar a usar etiquetas de confidencialidad.

Diagrama de los pasos de la fase 5 de los objetivos de implementación adicionales.

Las etiquetas de confidencialidad se aplican manualmente

Definir las directivas de taxonomía y protección de etiquetas adecuadas es el paso más crítico en una implementación de Information Protection, por lo que empiece con la creación de una estrategia de etiquetado que refleje los requisitos de confidencialidad de la organización para la información.

Las etiquetas indican la confidencialidad del contenido y las directivas de la empresa que se aplican. Las etiquetas también son la forma principal para que los usuarios puedan marcar el contenido que debe protegerse.

Una taxonomía de etiquetas adecuada es intuitiva, fácil de usar y alineada con las necesidades empresariales. Ayuda a evitar la filtración y el uso incorrecto de datos, y soluciona los requisitos de cumplimiento, pero no impide que los usuarios puedan realizar su trabajo.

Siga estos pasos:

Detectar automáticamente contenido crítico para la empresa con datos confidenciales locales

El escáner de Azure Information Protection (AIP) ayuda a detectar, clasificar, etiquetar y proteger información confidencial en los repositorios de archivos locales y en los sitios SharePoint 2013+. El escáner AIP proporciona información inmediata sobre los tipos de riesgo de datos antes de pasar a la nube.

Siga estos pasos:

  1. Revise los requisitos previos para instalar el escáner AIP.

  2. Configure el escáner en Azure Portal.

  3. Instale el escáner.

  4. Obtenga un Azure AD de datos para el escáner.

  5. Ejecute un ciclo de detección y vea informes para el escáner.

Etiquetas y clasificaciones disponibles para Office usuarios en cualquier dispositivo y aplicadas manualmente al contenido

Una vez que se han publicado etiquetas de confidencialidad desde un Centro de cumplimiento o un centro de etiquetado equivalente, hay aplicaciones cliente que los usuarios pueden aprovechar para clasificar y proteger los datos a medida que se crean o editan, como el cliente de etiquetado integrado de Microsoft Office nativo o el cliente de etiquetado unificado de Azure Information Protection. Microsoft 365

Siga estos pasos:

  1. Compare las características del cliente de etiquetado para Windows equipos y revise el soporte técnico para las capacidades de etiquetas de confidencialidad en las aplicaciones de Office para determinar qué características de confidencialidad y requisitos de plataforma son importantes para sus escenarios.

  2. Empiece a usar etiquetas de confidencialidad Office aplicaciones, incluidos los sitios de Microsoft Team, Microsoft 365 grupos (anteriormente Office 365 grupos)y SharePoint web. Las etiquetas de confidencialidad también se pueden usar para clasificar y etiquetar datos confidenciales en Power BI servicio y se pueden aplicar a conjuntos de datos, informes, paneles y flujos de datos.

Etiqueta predeterminada aplicada al nuevo contenido creado por los usuarios

Al publicar una directiva de etiqueta, puede identificar una etiqueta específica que se aplicará de forma predeterminada a todo el contenido creado por usuarios y grupos incluidos en la directiva. Esta etiqueta puede establecer un piso de protección, incluso si los usuarios o la configuración del sistema no toman ninguna otra acción.

Haga este paso:

Marcas visuales para indicar documentos confidenciales en aplicaciones y servicios

Después de crear y aplicar una etiqueta de confidencialidad a un correo electrónico o documento, las opciones de protección configuradas para esa etiqueta se aplican al contenido. Al usar aplicaciones Office, las marcas de agua se pueden aplicar a encabezados o pies de página de correos electrónicos o documentos que tengan aplicada la etiqueta.

Captura de pantalla de un Office con una marca de agua y un encabezado sobre confidencialidad.

Haga este paso:

Auditar datos para comprender los comportamientos de etiquetado, clasificación y protección de los usuarios

Una vez que las etiquetas de confidencialidad se hayan publicado en su organización, puede usar la clasificación de datos para identificar el contenido confidencial, dónde se encuentra y la exposición de las actividades del usuario.

La pestaña explorador de contenido del Centro de cumplimiento de Microsoft 365 proporciona una vista de los datos en riesgo mostrando la cantidad y los tipos de datos confidenciales en un documento determinado, que se pueden filtrar por tipo de etiqueta o confidencialidad para obtener una vista detallada de las ubicaciones donde se almacenan los datos confidenciales. La pestaña Explorador de actividades proporciona una vista de las actividades relacionadas con los datos confidenciales, la confidencialidad y las etiquetas de retención (como la disminución de la protección debido a la degradación de etiquetas o los cambios). El explorador de actividades también ayuda a investigar eventos que podrían estar llevando a un escenario de pérdida de datos (por ejemplo, la eliminación de etiquetas). Comprender estas actividades proporciona la capacidad de identificar las directivas adecuadas para la protección o la prevención de pérdida de datos para garantizar que los datos más confidenciales son seguros.

Siga estos pasos:

  1. Introducción al explorador de contenido para ver de forma nativa los elementos resumidos en la página de información general de clasificación de datos.

  2. Introducción al explorador de actividades para supervisar el historial de actividades relacionadas con el contenido etiquetado.

Productos tratados en esta guía

Microsoft Azure

Azure Information Protection con cliente de etiquetado unificado y escáner

Microsoft 365

Microsoft Defender para aplicaciones en la nube

Conclusión

Microsoft Information Protection (MIP) es un enfoque completo, flexible, integrado y extensible para proteger datos confidenciales.

Diagrama de Microsoft Information Protection datos con Egress corporativos resaltados.

Para obtener más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente.



Serie de guías de implementación de confianza cero

Icono de la introducción

Icono de identidad

Icono para puntos de conexión

Icono para aplicaciones

Icono de datos

Icono de infraestructura

Icono para redes

Icono de visibilidad, automatización, organización