Protección de los datos con Confianza cero

Información preliminar

La protección de los datos es una de las principales responsabilidades de los equipos de seguridad y cumplimiento. Los datos deben permanecer protegidos mientras están en reposo, en uso y cuando abandonan los puntos de conexión, las aplicaciones, la infraestructura y las redes que están bajo el control de la organización. Para garantizar la protección y que el acceso a los datos esté restringido a los usuarios autorizados, los datos se deben inventariar, clasificar, etiquetar y, si procede, cifrar.

Los tres elementos principales de una estrategia de protección de datos son:

  1. Conozca los datos

    Si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Debe detectar datos en toda la organización y clasificar todos los datos por nivel de confidencialidad.

  2. Protección de los datos y prevención de la pérdida de datos

    Los datos confidenciales se deben proteger mediante directivas de protección de datos que etiqueten y cifren los datos o bloqueen el uso compartido en exceso. Esto garantiza que solo los usuarios autorizados puedan acceder a los datos, incluso cuando los datos se desplazan fuera de su entorno corporativo.

  3. Supervisión y corrección

    Debe supervisar continuamente los datos confidenciales para detectar infracciones de directivas y comportamientos de usuario de riesgo. Esto le permite tomar las medidas adecuadas, como revocar el acceso, bloquear a los usuarios y refinar las directivas de protección.

Diagram of monitoring activiting and remediation.

Cuando los datos y el contenido confidencial se conocen, etiquetan y clasifican, las organizaciones pueden:

  • Informar y aplicar decisiones de directivas para bloquear o quitar correos electrónicos, datos adjuntos o documentos.

  • Cifrar los archivos con etiquetas de confidencialidad en los puntos de conexión de los dispositivos.

  • Clasificar automáticamente el contenido con etiquetas de confidencialidad mediante directivas y aprendizaje automático.

  • Realizar un seguimiento y supervisar el contenido confidencial mediante directivas a medida que el contenido viaja dentro y fuera de su patrimonio digital.

Objetivos de la implementación de Confianza cero para los datos

Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización. Como línea base, debe definir etiquetas, detectar datos confidenciales y supervisar el uso de etiquetas y acciones en todo el entorno. Al final de esta guía se describe el uso de las etiquetas de confidencialidad.

Nota

Antes de que muchas organizaciones inicien el recorrido de la Confianza cero, su seguridad de los datos se caracteriza por lo siguiente:

  • El acceso se rige por el control perimetral, no por la confidencialidad de los datos.

  • Las etiquetas de confidencialidad se aplican manualmente, con clasificación de datos incoherente.

Los objetivos iniciales de implementación para la protección de la información son:

  1. Definir la taxonomía de etiquetas de la organización.

  2. Definir las características de protección de la información de su organización que están en el ámbito de la implementación.

  3. Asignar las características del ámbito a la escala de tiempo del proyecto.

  4. Revise la hoja de ruta de los productos de Microsoft para tener en cuenta las características venideras y que se alinearán con el recorrido de protección de la información de su organización.

Las actividades anteriores son coherentes para todas las organizaciones que planean un proyecto de protección de la información, no solo para aquellas centradas en implementar un enfoque de Confianza cero para proteger los datos. En esta guía no hablaremos más sobre estas actividades. Para más información, consulte:

Al implementar un marco de trabajo completo de Confianza cero para los datos, se recomienda centrarse primero en estos objetivos de implementación iniciales:

List icon with one checkmark.

Las decisiones de I.Accessse rigen por el cifrado.

II.Los datos se clasifican y etiquetan automáticamente.

Una vez que haya completado estos requisitos, céntrese en los siguientes objetivos de implementación adicionales:

List icon with two checkmarks.

III.La clasificación se aumenta mediante modelos de aprendizaje automático inteligentes.

IV.Las decisiones de acceso se rigen por un motor de directivas de seguridad en la nube.

V.Evitarla pérdida de datos a través de directivas DLP basadas en una etiqueta de confidencialidad e inspección de contenido.

Capabilities

Table of capabilities.

Guía de implementación del modelo de Confianza cero para los datos

Esta guía le indicará los pasos detallados de un enfoque de Confianza cero de madurez de la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente en función de la confidencialidad de la información y del tamaño y la complejidad de la organización.




Checklist icon with one checkmark.

Objetivos de implementación adicionales

I. Las decisiones de acceso se rigen por el cifrado

Proteja los datos más confidenciales con cifrado para restringir el acceso al contenido al que se aplican las etiquetas de confidencialidad.

Cuando se cifra un documento o un correo electrónico, el acceso al contenido está restringido, de manera que:

  • Se cifra tanto en reposo como en tránsito.

  • Permanece cifrado independientemente de dónde se encuentre, dentro o fuera de la organización, incluso si se cambia el nombre del archivo.

  • Solo los usuarios autorizados en la configuración de cifrado de la etiqueta pueden descifrarlo.

Siga este paso:

II. Los datos se clasifican y etiquetan automáticamente

Automatice la clasificación de datos para evitar problemas con los datos que no se etiquetan manualmente o las etiquetas que se aplican de forma inexacta.

Etiquetado automático del contenido en Aplicaciones de Microsoft 365 para empresas o el cliente de etiquetado unificado

Una selección estratégica de cliente para Windows aprovecha las características integradas de protección de la información de Microsoft Office. Si esto no es posible, una solución alternativa sería usar el cliente de etiquetado unificado de Azure Information Protection.

Siga estos pasos:

  1. Aprenda a configurar el etiquetado automático para aplicaciones de Office.

  2. Aplicar automáticamente una etiqueta de confidencialidad al contenido.

Clasificación, etiquetado y protección automáticos del contenido crítico para la empresa con datos confidenciales en el entorno local

Puede usar el analizador de Azure Information Protection (AIP) para clasificar y proteger automáticamente los archivos de SharePoint 2013 y posteriores y los servidores de archivos locales.

Siga este paso:




Checklist icon with two checkmarks.

Objetivos de implementación adicionales

III. La clasificación se aumenta mediante modelos de aprendizaje automático inteligente

Las empresas tienen grandes cantidades de datos que pueden ser difíciles de etiquetar y clasificar adecuadamente. Una vez completados los dos primeros pasos, el siguiente paso es usar el aprendizaje automático para una clasificación más inteligente.

Microsoft 365 proporciona tres maneras de clasificar el contenido, entre ellas, de forma manual y con coincidencia de patrones automatizada.

Los clasificadores entrenables (versión preliminar) son un tercer método adecuado para el contenido que no se identifica fácilmente mediante métodos manuales o de coincidencia de patrones automatizada. Un clasificador aprende a identificar un tipo de contenido observando cientos de ejemplos del contenido que le interesa clasificar. Empiece por alimentarle con ejemplos que estén definitivamente incluidos en la categoría. Una vez que los procesa, se prueba con una combinación de ejemplos de coincidencia y de no coincidencia. A continuación, el clasificador realiza predicciones sobre si algún elemento determinado entra en la categoría que está compilando. A continuación, confirme sus resultados, ordenando los positivos, negativos, falsos positivos y falsos negativos para ayudar a aumentar la precisión de sus predicciones. Al publicar el clasificador entrenado, este ordena los elementos de ubicaciones como SharePoint Online, Exchange y OneDrive, y clasifica el contenido.

Siga estos pasos:

  1. Obtenga información sobre dónde puede usar clasificadores entrenables.

  2. Creación de un clasificador entrenable (versión preliminar).

IV. Las decisiones de acceso se rigen por un motor de directivas de seguridad en la nube

Para los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar mediante directivas en ubicaciones de destino. Microsoft Defender for Cloud Apps proporciona funcionalidades adicionales para administrar archivos confidenciales, entre los que se incluyen:

  • Eliminación de colaboradores para evitar privilegios excesivos y pérdida de datos.

  • Puesta en cuarentena de los archivos para su revisión adicional.

  • Creación de directivas que aplican de forma proactiva etiquetas a los archivos confidenciales o en escenarios de usuario de riesgo específicos.

Siga estos pasos:

  1. Configure directivas de etiquetado automático para SharePoint, OneDrive y Exchange.

  2. Integre Microsoft Defender for Cloud Apps y Microsoft Information Protection y úselo para proteger también los datos en entornos de terceros, como Box o G-Suite.

V. Evitar la pérdida de datos mediante directivas de DLP basadas en una etiqueta de confidencialidad y la inspección del contenido

Para cumplir con los estándares empresariales y la normativa del sector, las organizaciones deben proteger la información confidencial y evitar su divulgación involuntaria. La información confidencial puede incluir datos financieros o información de identificación personal (PII), como números de tarjetas de crédito, números de la seguridad social o historiales médicos. Con una directiva de prevención de pérdida de datos (DLP) en el Centro de cumplimiento de seguridad de Office 365 & , puede identificar, supervisar y proteger automáticamente información confidencial en Office 365.

Siga estos pasos:

  1. Obtenga información sobre cómo proteger los datos con directivas de DLP.

  2. Creación, prueba y ajuste de una directiva de DLP

  3. Use DLP para aplicar acciones (por ejemplo, proteger el contenido, restringir el acceso o, en el caso de un correo electrónico, bloquear la transmisión) cuando el contenido coincida con un conjunto de condiciones.

Objetivos de seguridad de datos tradicionales

Las etiquetas de confidencialidad son la base del modelo de Confianza cero para los datos. La definición de niveles de confidencialidad es un proceso de identificación de las partes interesadas para analizar y determinar los tipos de datos que son críticos para las empresas y que están sujetos a regulación gubernamental. A continuación, se puede realizar una taxonomía para que este tipo de datos se pueda clasificar como extremadamente confidencial o confidencial, y los documentos que contienen estos datos se etiqueten en consecuencia. De forma similar, se debe tomar una decisión de directivas de seguridad sobre otros niveles de confidencialidad de tipos de datos y etiquetas de documentos, como Público general o No empresarial. Una vez completada la determinación de las directivas, detecte los archivos en todas las ubicaciones, valide el contenido de los archivos, compárelo con la decisión de directivas y etiquete los documentos de un modo adecuado.

Estas actividades ayudan a abordar el riesgo mediante la identificación y el marcado de la información confidencial para evitar el uso compartido accidental de la información con entidades no autorizadas. También provocan un impacto mínimo en la productividad, ya que el uso compartido de datos continúa ininterrumpido.

Las instrucciones siguientes le ayudarán a empezar a trabajar con etiquetas de confidencialidad.

Diagram of the steps within phase 5 of the additional deployment objectives.

Las etiquetas de confidencialidad se aplican manualmente

La definición de las directivas de protección y la taxonomía de etiquetas son el paso más crítico en una implementación de Information Protection; por lo tanto, empiece por crear una estrategia de etiquetado que refleje los requisitos de confidencialidad de la organización para la información.

Las etiquetas indican la confidencialidad del contenido y qué directivas de empresa se aplican. Las etiquetas también son la forma principal para que los usuarios marquen el contenido que se debe proteger.

Una taxonomía de etiquetas adecuada es intuitiva, fácil de usar y está alineada con las necesidades empresariales. Ayuda a evitar la pérdida y el uso indebido de datos, y soluciona los requisitos de cumplimiento, pero no impide que los usuarios puedan realizar su trabajo.

Siga estos pasos:

Detección automática del contenido crítico para la empresa con datos confidenciales en el entorno local

El analizador de Azure Information Protection (AIP) ayuda a detectar, clasificar, etiquetar y proteger la información confidencial de los repositorios de archivos locales y los sitios locales de SharePoint 2013+. El analizador de AIP proporciona información inmediata sobre los tipos de riesgo de datos antes de pasar a la nube.

Siga estos pasos:

  1. Revise los requisitos previos para instalar el analizador de AIP.

  2. Configure el analizador en Azure Portal.

  3. Instale el analizador.

  4. Obtenga un token de Azure AD para el analizador.

  5. Ejecute un ciclo de detección y visualice los informes del analizador.

Etiquetas y clasificaciones disponibles para los usuarios de Office en cualquier dispositivo y aplicadas manualmente al contenido

Una vez que se hayan publicado las etiquetas de confidencialidad desde el Centro de cumplimiento de Microsoft 365 o un centro de etiquetado equivalente, hay aplicaciones cliente que los usuarios pueden aprovechar para clasificar y proteger los datos a medida que se crean o editan, como el cliente de etiquetado integrado de Microsoft Office nativo o el cliente de etiquetado unificado de Azure Information Protection.

Siga estos pasos:

  1. Compare las características del cliente de etiquetado para equipos Windows y revise la compatibilidad con las funcionalidades de etiquetas de confidencialidad de las aplicaciones de Office para determinar qué características de confidencialidad y requisitos de plataforma son importantes para sus escenarios.

  2. Empiece a usar etiquetas de confidencialidad en las aplicaciones de Office, incluidos los sitios de Microsoft Teams, los grupos de Microsoft 365 (anteriormente grupos de Office 365) y los sitios de SharePoint. Las etiquetas de confidencialidad también se pueden usar para clasificar y etiquetar datos confidenciales en el servicio Power BI y se pueden aplicar a conjuntos de datos, informes, paneles y flujos de datos.

Etiqueta predeterminada aplicada al nuevo contenido creado por los usuarios

Al publicar una directiva de etiquetas, puede identificar una etiqueta específica que se aplicará de manera predeterminada a todo el contenido creado por los usuarios y grupos incluidos en la directiva. Esta etiqueta puede establecer un nivel mínimo de protección, incluso si los usuarios o la configuración del sistema no han realizado ninguna otra acción.

Siga este paso:

Distintivos visuales para indicar documentos confidenciales en aplicaciones y servicios

Una vez que se crea y aplica una etiqueta de confidencialidad a un correo electrónico o un documento, se aplican al contenido los valores de protección configurados para esa etiqueta. Cuando se usan aplicaciones de Office, se pueden aplicar marcas de agua a los encabezados o pies de página de los correos electrónicos o los documentos a los que se aplica la etiqueta.

Screenshot of an Office document with a watermark and header about confidentiality.

Siga este paso:

Auditoría de los datos para comprender los comportamientos de etiquetado, clasificación y protección de los usuarios

Una vez publicadas las etiquetas de confidencialidad en la organización, puede usar la clasificación de datos para identificar el contenido confidencial, dónde se encuentra y la exposición a las actividades del usuario.

La pestaña Explorador de contenido del Centro de cumplimiento de Microsoft 365 proporciona una vista de los datos en riesgo que muestra la cantidad y los tipos de datos confidenciales de un documento determinado, los cuales se pueden filtrar por etiqueta o tipo de confidencialidad para obtener una vista detallada de las ubicaciones donde se almacenan los datos confidenciales. La pestaña Explorador de actividades proporciona una vista de las actividades relacionadas con la información confidencial, la confidencialidad y las etiquetas de retención (por ejemplo, una reducción de la protección debida a cambios en la etiqueta o a cambios a una versión anterior). El Explorador de actividades también ayuda a investigar eventos que podrían estar conduciendo a un escenario de pérdida de datos (por ejemplo, la eliminación de etiquetas). Comprender estas actividades proporciona la capacidad de identificar las directivas adecuadas para la protección o la prevención de pérdida de datos para garantizar que los datos más confidenciales estén seguros.

Siga estos pasos:

  1. Empiece a trabajar con el Explorador de contenido para ver de forma nativa los elementos resumidos en la página de información general de clasificación de datos.

  2. Introducción al Explorador de actividades, para supervisar el historial de actividades relacionadas con el contenido etiquetado.

Productos tratados en esta guía

Microsoft Azure

Azure Information Protection con el analizador y el cliente de etiquetado unificado

Microsoft 365

Microsoft Defender para aplicaciones en la nube

Conclusión

Microsoft Information Protection (MIP) es un enfoque completo, flexible, integrado y extensible para proteger los datos confidenciales.

Diagram of Microsoft Information Protection for data with Corporate Egress highlighted.

Para más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente.



La serie de la guía de implementación de Confianza cero

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration