Información sobre riesgos internos de Microsoft

Sugerencia

¿Sabía que puede probar las versiones premium de las nueve soluciones de Microsoft Purview de forma gratuita? Utilice la prueba de 90 días de las soluciones Purview para explorar cómo las sólidas capacidades de Purview pueden ayudar a su organización a satisfacer sus necesidades de cumplimiento. Los clientes Microsoft 365 E3 y Office 365 E3 pueden empezar ahora en el Centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga información sobre las personas que pueden registrarse y los términos de la prueba.

La Administración de riesgos internos de Microsoft Purview es una solución de cumplimiento que ayuda a minimizar los riesgos internos, ya que le permite detectar, investigar y actuar en actividades malintencionadas e involuntarias en su organización. Las directivas de riesgos internos le permiten definir los tipos de riesgos a identificar y detectar en su organización, incluida la acción sobre casos y la elevación de casos a Microsoft eDiscovery (Premium) si es necesario. Los analistas de riesgo de su organización pueden tomar rápidamente las medidas adecuadas para asegurarse de que los usuarios cumplen los estándares de cumplimiento de su organización.

Para obtener más información y una introducción al proceso de planeación para abordar las actividades de riesgo en su organización, consulte Inicio de un programa de administración de riesgos internos.

Vea los vídeos siguientes para obtener información sobre cómo la administración de riesgos internos puede ayudar a su organización a prevenir, detectar y contener riesgos a la vez que prioriza los valores, la cultura y la experiencia del usuario de la organización:

Solución de administración de riesgos internos & desarrollo:


Flujo de trabajo de administración de riesgos internos:

Consulte el vídeo de Microsoft Mechanics sobre cómo funcionan conjuntamente la administración de riesgos internos y el cumplimiento de comunicaciones para ayudar a minimizar los riesgos de datos de los usuarios de su organización.

Importante

La administración de riesgos internos está disponible actualmente en inquilinos hospedados en regiones geográficas y países compatibles con las dependencias del servicio de Azure. Para comprobar que la administración de riesgos internos es compatible con su organización, consulte Disponibilidad de dependencias de Azure por país o región.

Puntos de dolor de riesgo modernos

La administración y minimización de los riesgos en su organización empieza con la comprensión de los tipos de riesgos que se encuentran en Modern Workplace. Algunos riesgos están controlados por eventos externos y factores que están fuera del control directo. Otros riesgos se deben a eventos internos y actividades de usuario que se pueden minimizar y evitar. Algunos ejemplos son los riesgos de comportamientos y acciones ilegales, inadecuados, no autorizados o no éticos por parte de los usuarios de la organización. Estos comportamientos incluyen una amplia gama de riesgos internos de los usuarios:

  • Filtraciones de datos confidenciales y pérdida de datos
  • Infracciones de confidencialidad
  • Robo de propiedad intelectual
  • Fraude
  • Tráfico de información privilegiada
  • Infracciones de cumplimiento normativo

Los usuarios del área de trabajo moderna tienen acceso para crear, administrar y compartir datos en un amplio espectro de plataformas y servicios. En la mayoría de los casos, las organizaciones tienen recursos y herramientas limitados para identificar y mitigar los riesgos de toda la organización, a la vez que cumplen los estándares de privacidad de los usuarios.

La administración de riesgos internos usa toda la amplitud del servicio y los indicadores de terceros para ayudarle a identificar, evaluar y actuar rápidamente sobre la actividad de riesgo. Mediante el uso de registros de Microsoft 365 y Microsoft Graph, la administración de riesgos internos le permite definir directivas específicas para identificar indicadores de riesgo. Estas directivas le permiten identificar actividades de riesgo y actuar para mitigar estos riesgos.

La administración de riesgos internos se centra en los siguientes principios:

  • Transparencia: equilibre la privacidad del usuario frente al riesgo de la organización con la arquitectura de privacidad por diseño.
  • Configurable: directivas configurables basadas en el sector, geográficas y grupos empresariales.
  • Integrado: flujo de trabajo integrado en las soluciones de Microsoft Purview.
  • Accionable: proporciona información para habilitar las notificaciones del revisor, las investigaciones de datos y las investigaciones de usuario.

Identificación de posibles riesgos con análisis

Los análisis de riesgos internos le permiten realizar una evaluación de los posibles riesgos internos en su organización sin necesidad de configurar ninguna directiva de riesgos internos. Esta evaluación puede ayudar a su organización a identificar áreas potenciales de mayor riesgo para los usuarios y ayudar a determinar el tipo y el alcance de las directivas de administración de riesgos internos que puede considerar configurar. Esta evaluación también puede ayudarle a determinar las necesidades de licencias adicionales o la optimización futura de las directivas de riesgo internos existentes.

Para más información sobre el análisis de riesgos internos, consulte Configuración de administración de riesgos internos: Análisis.

Tanto si va a configurar la administración de riesgos internos por primera vez como si está empezando a crear nuevas directivas, la nueva experiencia de acciones recomendadas puede ayudarle a sacar el máximo partido a las funcionalidades de administración de riesgos internos. Entre las acciones recomendadas se incluyen la configuración de permisos, la elección de indicadores de directiva, la creación de una directiva, etc.

Flujo de trabajo

El flujo de trabajo de administración de riesgos internos le ayuda a identificar, investigar y tomar medidas para abordar los riesgos internos en su organización. Con plantillas de directivas centradas, señalización de actividad completa en el servicio Microsoft 365 y herramientas de administración de alertas y casos, puede usar información procesable para identificar y actuar rápidamente sobre comportamientos de riesgo.

La identificación y resolución de actividades de riesgo internas y problemas de cumplimiento con la administración de riesgos internos usa el flujo de trabajo siguiente:

Flujo de trabajo de administración de riesgos internos.

Directivas

Las directivas de administración de riesgos internos se crean mediante plantillas predefinidas y condiciones de directiva que definen qué eventos desencadenantes e indicadores de riesgo se examinan en su organización. Estas condiciones incluyen cómo se usan los indicadores de riesgo para las alertas, qué usuarios se incluyen en la directiva, qué servicios se priorizan y el período de tiempo de detección.

Puede seleccionar entre las siguientes plantillas de directiva para empezar a trabajar rápidamente con la administración de riesgos internos:

Panel de directivas de administración de riesgos internos.

Alertas

Las alertas se generan automáticamente mediante indicadores de riesgo que coinciden con las condiciones de la directiva y se muestran en el panel Alertas. Este panel ofrece una vista rápida de todas las alertas que se deben revisar, alertas abiertas a lo largo del tiempo y estadísticas de alertas de la organización. Todas las alertas de directiva se muestran con la siguiente información para ayudarle a identificar rápidamente el estado de las alertas existentes y las nuevas alertas que necesitan acción:

  • Estado
  • Severity
  • Tiempo detectado
  • Case
  • Estado del caso

Panel de alertas de administración de riesgos internos.

Clasificación

Las nuevas actividades de usuario que necesitan investigación generan automáticamente alertas a las que se les asigna un estado de revisión Necesidades . Los revisores pueden identificar y revisar rápidamente, evaluar y evaluar estas alertas.

Para resolver las alertas, se abre un nuevo caso, se asigna la alerta a un caso existente o se descarta la alerta. Con los filtros de alertas, es fácil identificar rápidamente las alertas por estado, gravedad o tiempo detectado. Como parte del proceso de evaluación de prioridades, los revisores pueden ver los detalles de las alertas de las actividades identificadas por la directiva, ver la actividad del usuario asociada a la coincidencia de directiva, ver la gravedad de la alerta y revisar la información del perfil de usuario.

Evaluación interna de la administración de riesgos.

Investigación

Investigue rápidamente todas las actividades de un usuario seleccionado con informes de actividad de usuario (versión preliminar). Estos informes permiten a los investigadores de su organización examinar las actividades de usuarios específicos durante un período de tiempo definido sin tener que asignarlas de forma temporal o explícita a una directiva de administración de riesgos internos. Después de examinar las actividades de un usuario, los investigadores pueden descartar actividades individuales como benignas, compartir o enviar por correo electrónico un vínculo al informe con otros investigadores, o elegir asignar al usuario temporal o explícitamente a una directiva de administración de riesgos internos.

Los casos se crean para las alertas que requieren una revisión e investigación más detalladas de los detalles y las circunstancias de la actividad en torno a la coincidencia de directivas. El panel de casos ofrece una vista integral de todos los casos activos, casos abiertos a lo largo del tiempo y estadísticas de casos para la organización. Los revisores pueden filtrar rápidamente los casos por estado, la fecha en que se abrió el caso y la fecha en que se actualizó el caso por última vez.

Si se selecciona un caso en el panel de casos, se abre el caso para su investigación y revisión. Este paso es el núcleo del flujo de trabajo de administración de riesgos internos. Esta área es donde las actividades de riesgo, las condiciones de directiva, los detalles de alertas y los detalles del usuario se sintetizan en una vista integrada para los revisores. Las herramientas de investigación principales de esta área son:

  • Actividad del usuario: la actividad del usuario se muestra automáticamente en un gráfico interactivo que traza las actividades a lo largo del tiempo y por nivel de riesgo para las actividades de riesgo actuales o pasadas. Los revisores pueden filtrar y ver rápidamente todo el historial de riesgos del usuario y profundizar en actividades específicas para obtener más detalles.
  • Explorador de contenido: todos los archivos de datos y mensajes de correo electrónico asociados a las actividades de alerta se capturan y muestran automáticamente en el Explorador de contenido. Los revisores pueden filtrar y ver archivos y mensajes por origen de datos, tipo de archivo, etiquetas, conversación y muchos más atributos.
  • Notas del caso: los revisores pueden proporcionar notas para un caso en la sección Notas del caso. Esta lista consolida todas las notas en una vista central e incluye información de revisor y fecha enviada.

Investigación de administración de riesgos internos.

Además, el nuevo registro de auditoría (versión preliminar) le permite mantenerse informado de las acciones que se realizaron en las características de administración de riesgos internos. Este recurso permite una revisión independiente de las acciones realizadas por los usuarios asignados a uno o varios grupos de roles de administración de riesgos internos.

Acción

Una vez investigados los casos, los revisores pueden actuar rápidamente para resolver el caso o colaborar con otras partes interesadas de riesgo de la organización. Si los usuarios infringen accidental o involuntariamente las condiciones de la directiva, se puede enviar al usuario un aviso sencillo desde las plantillas de aviso que puede personalizar para su organización. Estos avisos pueden servir como recordatorios simples o pueden dirigir al usuario a un entrenamiento de actualización o una guía para ayudar a evitar comportamientos de riesgo futuros. Para más información, consulte plantillas de notificación de administración de riesgos internos.

En situaciones más graves, es posible que tenga que compartir la información del caso de administración de riesgos internos con otros revisores o servicios de su organización. La administración de riesgos internos está estrechamente integrada con otras soluciones de Microsoft Purview para ayudarle con la resolución de riesgos de un extremo a otro.

  • eDiscovery (Premium): escalar un caso para investigación le permite transferir datos y administración del caso a Microsoft Purview eDiscovery (Premium). eDiscovery (Premium) ofrece un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar el contenido que responde a las investigaciones internas y externas de la organización. Permite que los equipos legales administren todo el flujo de trabajo de notificaciones de suspensión legal. Para obtener más información sobre los casos de eDiscovery (Premium), consulte Información general de Microsoft Purview eDiscovery (Premium).
  • Integración de las API de administración de Office 365 (versión preliminar): la administración de riesgos internos admite la exportación de información de alertas a servicios de administración de eventos e información de seguridad (SIEM) a través de las API de administración de Office 365. Tener acceso a la información de alertas en la plataforma que mejor se adapte a los procesos de riesgo de su organización le proporciona más flexibilidad para actuar sobre las actividades de riesgo. Para más información sobre la exportación de información de alertas con las API de administración de Office 365, consulte Exportación de alertas.

Nota

Gracias por sus comentarios y soporte técnico durante la versión preliminar del conector de ServiceNow. Hemos decidido finalizar la versión preliminar del conector de ServiceNow y dejar de admitir la administración de riesgos internos el 30 de noviembre de 2020. Estamos evaluando activamente métodos alternativos para proporcionar a los clientes la integración de ServiceNow en la administración de riesgos internos.

Escenarios

La administración de riesgos internos puede ayudarle a detectar, investigar y tomar medidas para mitigar los riesgos internos en su organización en varios escenarios comunes:

Robo de datos por parte de los usuarios que abandonan la organización

Cuando los usuarios abandonan una organización, ya sea voluntariamente o como resultado de la terminación, a menudo hay preocupaciones legítimas de que la empresa, el cliente y los datos de usuario están en riesgo. Los usuarios pueden suponer inocentemente que los datos del proyecto no son propiedad de la empresa, o pueden verse tentados a tomar datos de la empresa para obtener ganancias personales e infringir la política de la empresa y los estándares legales. Las directivas de administración de riesgos internos que usan la plantilla de directiva Robo de datos al salir de los usuarios detectan automáticamente actividades asociadas normalmente con este tipo de robo. Con esta directiva, recibirá automáticamente alertas de actividades sospechosas asociadas con el robo de datos por parte de los usuarios que abandonan el servicio para que pueda realizar las acciones de investigación adecuadas. La configuración de un conector de RR. HH. de Microsoft 365 para su organización es necesaria para esta plantilla de directiva.

Fuga intencionada o involuntaria de información confidencial o confidencial

En la mayoría de los casos, los usuarios hacen todo lo posible para controlar correctamente la información confidencial o confidencial. Pero en ocasiones, los usuarios pueden cometer errores y la información se comparte accidentalmente fuera de su organización o infringe las directivas de protección de la información. En otras circunstancias, los usuarios pueden filtrar o compartir intencionadamente información confidencial con intenciones malintencionadas y para posibles ganancias personales. Las directivas de administración de riesgos internos creadas con las siguientes plantillas de directiva de pérdida de datos detectan automáticamente actividades asociadas normalmente con el uso compartido de información confidencial o confidencial:

Infracciones de directivas de seguridad intencionadas o involuntarias (versión preliminar)

Los usuarios suelen tener un gran grado de control al administrar sus dispositivos en el área de trabajo moderna. Este control puede incluir permisos para instalar o desinstalar las aplicaciones necesarias en el desempeño de sus tareas o la capacidad de deshabilitar temporalmente las características de seguridad del dispositivo. Independientemente de si esta actividad es involuntaria, accidental o malintencionada, esta conducta puede suponer un riesgo para su organización y es importante identificar y actuar para minimizar. Para ayudar a identificar estas actividades de seguridad de riesgo, las siguientes plantillas de infracción de directivas de seguridad de administración de riesgos internos puntúan los indicadores de riesgo de seguridad y usan alertas de Microsoft Defender para punto de conexión para proporcionar información sobre las actividades relacionadas con la seguridad:

Directivas para usuarios basadas en la posición, el nivel de acceso o el historial de riesgos (versión preliminar)

Los usuarios de su organización pueden tener distintos niveles de riesgo en función de su posición, nivel de acceso a información confidencial o historial de riesgos. Esta estructura puede incluir miembros del equipo directivo ejecutivo de la organización, administradores de TI que tienen amplios privilegios de acceso a datos y redes o usuarios con un historial pasado de actividades de riesgo. En estas circunstancias, una inspección más cercana y una puntuación de riesgo más agresiva son importantes para ayudar a exponer alertas para la investigación y la acción rápida. Para ayudar a identificar actividades de riesgo para estos tipos de usuarios, puede crear grupos de usuarios prioritarios y crear directivas a partir de las siguientes plantillas de directiva:

Healthcare (versión preliminar)

En el caso de las organizaciones de la industria sanitaria, estudios recientes han encontrado una tasa muy alta de infracciones de datos relacionadas con los usuarios internos. La detección del uso indebido de los datos de los pacientes y la información de los registros de salud es un componente fundamental para proteger la privacidad de los pacientes y cumplir con la normativa de cumplimiento, como la Ley de Portabilidad y Responsabilidad del Seguro De Salud (HIPAA) y la Ley de Tecnología de información sanitaria para la salud económica y clínica (HITECH). El uso indebido de los datos de los pacientes puede ir desde el acceso a registros de pacientes con privilegios hasta el acceso a registros de pacientes de familiares o vecinos con intenciones malintencionadas. Para ayudar a identificar estos tipos de actividades de riesgo, las siguientes plantillas de directivas de administración de riesgos internos usan el conector de RR. HH. de Microsoft 365 y un conector de datos específico para la salud para empezar a puntuar indicadores de riesgo relacionados con comportamientos que pueden producirse en los sistemas de registro de salud electrónico (EHR):

Acciones y comportamientos de usuarios descontentos (versión preliminar)

Los eventos de estrés de empleo pueden afectar al comportamiento del usuario de varias maneras relacionadas con los riesgos internos. Estos factores de estrés pueden ser una revisión de rendimiento deficiente, una disminución de posición o la colocación del usuario en un plan de revisión de rendimiento. Aunque la mayoría de los usuarios no responden malintencionadamente a estos eventos, el estrés de estas acciones puede dar lugar a que algunos usuarios se comporten de maneras que normalmente no consideren en circunstancias normales. Para ayudar a identificar estos tipos de actividades de riesgo, las siguientes plantillas de directivas de administración de riesgos internos usan el conector de RR. HH. de Microsoft 365 y comienzan a puntuar indicadores de riesgo relacionados con comportamientos que pueden producirse cerca de eventos de estrés en el empleo:

Uso de explorador de riesgo que podría dar lugar a un incidente de seguridad (versión preliminar)

La mayoría de las organizaciones proporcionan a los usuarios reglas y directrices que aclaran cómo se deben usar los dispositivos y el acceso a Internet de una organización. Estas directivas ayudan a proteger tanto a la organización como a los usuarios de los riesgos de seguridad y normativos. Para ayudar a identificar estos tipos de acciones de riesgo, la siguiente plantilla de directiva de administración de riesgos internos puede ayudar a detectar y habilitar la puntuación de riesgos para comportamientos de exploración web que podrían dar lugar a un incidente de seguridad de datos, como visitar sitios que proporcionan herramientas de malware o piratería.

¿Está listo para empezar?