Puntuación del Administrador de cumplimiento
Importante
Las recomendaciones del Administrador de cumplimiento no deberán interpretarse como una garantía de cumplimiento. Depende de usted evaluar y validar la eficacia de los controles de los clientes según su entorno normativo. Estos servicios están sujetos a los términos y condiciones de los Términos del producto. Consulte también la guía de licencias de Microsoft 365 para obtener información sobre seguridad y cumplimiento.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Descripción de la puntuación de cumplimiento
El panel administrador de cumplimiento muestra la puntuación de cumplimiento general. Esta puntuación mide el progreso al completar las acciones de mejora recomendadas dentro de los controles. La puntuación puede ayudarle a comprender la posición de cumplimiento actual. También puede ayudarle a priorizar las acciones en función de su potencial para reducir el riesgo.
Se asigna un valor de puntuación en estos niveles:
Acción de mejora: cada acción tiene un impacto diferente en la puntuación en función del riesgo potencial implicado. Consulte Tipos de acción y puntuación a continuación para obtener más información.
Evaluación: esta puntuación se calcula mediante puntuaciones de acción de mejora. Cada acción de Microsoft y cada acción de mejora administrada por su organización se cuentan una vez, independientemente de la frecuencia con la que se haga referencia a ella en un control.
La puntuación de cumplimiento general se calcula mediante puntuaciones de acción de mejora, donde cada acción de Microsoft se cuenta una vez, cada acción técnica que administra se cuenta una vez y cada acción no técnica que administra se cuenta una vez por grupo. Esta lógica está diseñada para proporcionar la contabilidad más precisa de cómo se implementan y prueban las acciones en su organización. Es posible que observe que esto puede hacer que la puntuación de cumplimiento general difiera del promedio de las puntuaciones de evaluación. Obtenga más información a continuación sobre cómo se puntúan las acciones.
Puntuación inicial basada en la línea base de protección de datos de Microsoft 365
El Administrador de cumplimiento proporciona una puntuación inicial basada en la línea base de protección de datos de Microsoft 365. Esta línea base es un conjunto de controles que incluye normas clave y estándares para la protección de datos y la gobernanza general de datos. Esta línea base se basa principalmente en los elementos de NIST CSF (National Institute of Standards and Technology Cybersecurity Framework) e ISO (International Organization for Standardization), así como de FedRAMP (Federal Risk and Authorization Management Program) y RGPD (Reglamento general de protección de datos de la Unión Europea).
La puntuación inicial se calcula según la evaluación predeterminada de la línea de base de protección de datos proporcionada a todas las organizaciones. Tras su primera visita, el Administrador de cumplimiento ya está recopilando señales de las soluciones de Microsoft 365. Verá de un vistazo cómo funciona su organización en relación con los estándares y las regulaciones clave de protección de datos, y verá las acciones de mejora sugeridas que debe realizar.
Dado que cada organización tiene necesidades específicas, el Administrador de cumplimiento se basa en usted para configurar y administrar evaluaciones para ayudar a minimizar y mitigar el riesgo de la forma más completa posible.
Tipos de acción y puntuación
Las acciones de mejora tienen puntos que se conceden cuando se completan los requisitos para la implementación. El estado de la acción se actualiza en el panel en un plazo de 24 horas después de realizar un cambio. Una vez que siga una recomendación para implementar un control, normalmente verá el estado del control actualizado al día siguiente.
Los puntos se conceden por acción por valoración. Por ejemplo, si una acción vale 10 puntos, pero aparece en dos evaluaciones, la acción vale 20 puntos en total para el inquilino. Una excepción es para las acciones técnicas que se limitan al inquilino; Los puntos de estas acciones se conceden una vez por acción, independientemente del número de grupos a los que pertenece la acción.
Acciones para servicios compatibles con Microsoft Defender for Cloud
La puntuación general de una acción de mejora se basa en el promedio de puntuaciones recibidas por sus suscripciones. Cada suscripción se puntua en función del estado de los recursos virtuales pertinentes.
Por ejemplo, considere una acción con dos suscripciones, A y B. La suscripción A tiene 0 de 1 recurso completado y la suscripción B tiene 1 de 2 recursos completados. Las puntuaciones de suscripción son: A es 0 %, B es 50 %. Se promedian las dos puntuaciones de suscripción para obtener la puntuación de acción general del 25 %.
Cómo se determinan los valores de puntuación
A las acciones se les asigna un valor de puntuación en función de si son obligatorias o discrecionales, y si son preventivas, detectives o correctivas.
Acciones obligatorias y discrecionales
Las acciones obligatorias no se pueden omitir, ya sea de forma intencionada o accidental. Un ejemplo de una acción obligatoria es una directiva de contraseña administrada centralmente que establece los requisitos de longitud, complejidad y expiración de contraseñas. Los usuarios deben cumplir estos requisitos para acceder al sistema.
Las acciones discrecionales dependen de los usuarios para comprender y cumplir una directiva. Por ejemplo, una directiva que requiere que los usuarios bloqueen su equipo cuando están desatendidos es una acción discrecional porque se basa en el usuario.
Acciones preventivas, detectives y correctivas
Las acciones preventivas abordan unos riesgos determinados. Por ejemplo, proteger la información en reposo con cifrado es una acción preventiva contra ataques y vulneraciones. La separación de tareas es una acción preventiva para administrar los conflictos de intereses y proteger contra el fraude.
Las acciones de los detectives supervisan activamente los sistemas para identificar condiciones o comportamientos irregulares que representan riesgos, o que se pueden usar para detectar intrusiones o infracciones. Algunos ejemplos son la auditoría de acceso al sistema y las acciones administrativas con privilegios. Las auditorías de cumplimiento normativo son un tipo de acción de detective que se usa para buscar problemas de proceso.
Las acciones correctivas intentan mantener al mínimo los efectos adversos de un incidente de seguridad, tomar medidas correctivas para reducir el efecto inmediato e invertir el daño si es posible. La respuesta a incidentes de privacidad es una acción correctiva para limitar el daño y restaurar los sistemas a un estado operativo después de una infracción.
Cada acción tiene un valor asignado en el Administrador de cumplimiento en función del riesgo que representa:
Tipo | Puntuación asignada |
---|---|
Obligatorio preventivo | 27 |
Discrecional preventiva | 9 |
Detective obligatorio | 3 |
Detective discrecional | 1 |
Correctiva obligatoria | 3 |
Discreción correctiva | 1 |