Usar la protección de identidad, dispositivo y amenazas para la regulación de privacidad de datos

  • Artículo
  • 2 minutos para leer

Microsoft 365 proporciona una serie de capacidades de protección de identidades, dispositivos y amenazas que las organizaciones pueden usar para ayudar a cumplir con las normativas de cumplimiento relacionadas con la privacidad de datos. En este artículo se describe lo que requieren las normativas de privacidad de datos en estas áreas y se proporciona una lista de características y servicios relacionados de Microsoft 365 con vínculos a más información para ayudarle a abordar los requisitos de implementación.

Cómo se relaciona la protección de identidades, dispositivos y amenazas con la regulación de privacidad de datos

Aunque los reglamentos de privacidad de datos varían en su especificidad, la esencia de lo que llaman se incluye en el artículo 5(1) f del RGPD, que establece que:

  • Los datos personales se procesarán de manera que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra pérdidas, destrucción o daños accidentales, mediante medidas técnicas o organizativas apropiadas ("integridad y confidencialidad").

Debido a que las infracciones de datos personales suelen deberse a un riesgo administrativo o a una cuenta de usuario final y al acceso malintencionado al sistema. Por ejemplo, un hackeo de una cuenta de administrador puede provocar la filtración de números de tarjeta de crédito del cliente u otra información personal. Toda la identidad, dispositivo y protección contra amenazas generalmente recomendables disponibles con Microsoft 365 posiblemente debe implementarse, lo que se reflejará en la puntuación de cumplimiento, que se encuentra en el Administrador de cumplimiento.

Uso de los resultados del trabajo de evaluación y el Administrador de cumplimiento

El Administrador de cumplimiento incluye la identidad, el dispositivo y la protección contra amenazas mediante estas categorías:

  • Identity corresponde a la categoría Control Access
  • El dispositivo corresponde a la categoría Administrar dispositivos
  • La protección contra amenazas corresponde a la categoría Proteger contra amenazas

Si se seleccionan en nuestro conjunto de ejemplo de cuatro normativas principales de privacidad de datos, el Administrador de cumplimiento especifica 90 acciones de mejora, la mayoría de las cuales se puntuan como "27". Dado que el Administrador de cumplimiento llama a un número tan grande para estas categorías, algunos de los más comunes se enumeran aquí, como referencia.

Use Azure Active Directory (Azure AD) para la identidad y la categoría Control Access, con la que puede:

  • Implementar la autenticación resistente a la reproducción (para evitar ataques "Man in the middle")
  • Bloquear la autenticación heredada.
  • Configurar directivas de riesgo de usuario y de inicio de sesión de usuario.
  • Habilitar el acceso condicional y la autenticación multifactor (MFA) para administradores y no administradores.
  • Configurar y aplicar directivas de contraseña.
  • Restringir el acceso a cuentas con privilegios con Azure AD Privileged Identity Management.
  • Deshabilite el acceso al finalizar.
  • Auditar cuentas de usuario y cambios de estado.
  • Revise los cambios administrativos y del grupo de roles.

Usa Microsoft Endpoint Manager dispositivos y la categoría Administrar dispositivos, con la que puedes:

  • Bloquear la cárcel de dispositivos móviles rotos y arraigados.
  • Configurar Intune para la administración de dispositivos móviles.
  • Crea directivas de cumplimiento para dispositivos Android, iOS, macOS y Windows dispositivos.
  • Crea un perfil de configuración de dispositivo para dispositivos Android, iOS, macOS y Windows dispositivos.
  • Crear directivas de protección de aplicaciones para iOS y Windows.
  • Ocultar información con pantalla de bloqueo.
  • Implementar directivas de contraseña para dispositivos móviles.
  • Requerir que los dispositivos móviles bloquee la inactividad.
  • Requerir que los dispositivos móviles borren varios errores de inicio de sesión.

Usa Exchange Online Protection y Microsoft Defender para Office 365 para la categoría Proteger contra amenazas, con la que puedes:

  • Habilitar la autenticación del remitente (SPF, DMARC y DKIM).
  • Configurar Microsoft Defender para las directivas Office 365 anti phishing.
  • Implemente Caja fuerte adjuntos.
  • Implemente Caja fuerte vínculos.
  • Implementar directivas de detección y respuesta de malware.
  • Implementar directivas de correo no deseado salientes y entrantes.

Referencias: