Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre la configuración de la directiva de etiqueta de confidencialidad de Microsoft Purview. Su propósito es demostrar cómo se pueden configurar las directivas de etiqueta para alinearse mejor con los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Para que los usuarios puedan seleccionar etiquetas de confidencialidad para la aplicación en los elementos, deben publicarse a través de directivas de etiqueta. Las directivas de etiqueta se configuran en el portal de Microsoft Purview en el menú de protección de la información .
Para obtener instrucciones paso a paso sobre el proceso estándar de creación de una etiqueta de confidencialidad, consulte Creación de una etiqueta de confidencialidad. En este artículo se amplía esta guía proporcionando configuraciones que se alinean con los requisitos del Gobierno australiano.
Configuración de directivas de etiquetas
Las directivas de etiquetas de confidencialidad contienen varias configuraciones de directiva, que controlan el comportamiento de los clientes compatibles con la etiqueta de confidencialidad. Esta configuración es importante para permitir que las organizaciones gubernamentales australianas cumplan algunos requisitos clave.
Etiqueta predeterminada
La opción Etiqueta predeterminada indica a Microsoft 365 que aplique automáticamente la etiqueta seleccionada a los elementos. Para cumplir los requisitos de PSPF e ISM del Gobierno de Australia, la configuración de etiqueta predeterminada se establece en ninguno. Sin impedir la aplicación predeterminada de etiquetas, existe el riesgo de que las clasificaciones de seguridad no se establecieron correctamente.
| Requisito | Detalles |
|---|---|
| PSPF 2024 - 09. Clasificaciones & advertencias: requisito 60 | La clasificación de seguridad se establece en el nivel razonable más bajo. |
| ISM-0271 (marzo de 2025) | Las herramientas de marcado de protección no insertan automáticamente marcas de protección en los correos electrónicos. |
Justificación de cambio de etiqueta
En el caso de las organizaciones gubernamentales australianas, Microsoft recomienda que se habilite la justificación del cambio de etiqueta.
En muchas organizaciones, es probable que la confidencialidad de la información cambie con el tiempo. Entre los ejemplos se incluyen la información embargo y las versiones multimedia en las que, después de que se haga pública la información, ya no debe considerarse confidencial. Los desencadenadores de justificación de cambio de etiqueta en caso de que un usuario intente quitar o reducir una etiqueta de confidencialidad aplicada. La opción solicita que el usuario proporcione un motivo para el cambio:
Auditoría de cambios de etiqueta
Todos los cambios de etiqueta y sus respuestas de justificación se registran en el registro de auditoría y son visibles para los administradores en el Explorador de actividad de Microsoft Purview.
La información del registro de auditoría, incluidos los eventos en torno a los cambios de etiqueta, se puede ingerir en Microsoft Sentinel o en una solución de administración de eventos e información de seguridad (SIEM) equivalente. Estas soluciones se pueden configurar para alertar o informar sobre cualquier cambio de etiqueta.
Los cambios en las etiquetas de confidencialidad también son visibles para Insider Risk Management , que se puede configurar para considerar la degradación de etiquetas como un signo de riesgo del usuario, lo que podría impedir que los usuarios compartan datos a través de Adaptive Protection si su nivel de riesgo alcanza un umbral configurado.
Sugerencia
Las directivas de Administración de riesgos internos también se pueden configurar para centrarse en etiquetas de confidencialidad concretas, como PROTECTED, y para desencadenar alertas cada vez que estos elementos reduzcan su etiqueta de confidencialidad.
La justificación del cambio de etiqueta no se desencadena para los cambios entre las subetiquetas. Si usa una taxonomía de etiquetas con IMM en una etiqueta primaria, los usuarios pueden agregar o quitar un marcador de administración de información (IMM) sin necesidad de justificar la acción. Esto funciona a nuestro favor, ya que la eliminación o adición de una IMM no constituye un cambio en la clasificación de seguridad. Tenga en cuenta, sin embargo, que estos cambios de etiqueta se registran en el registro de auditoría de Microsoft 365.
Las organizaciones gubernamentales también deben considerar la retención de respuestas de justificación del cambio de etiqueta. Las directivas de retención de registros de auditoría se pueden usar para ampliar la retención de esta información de registro. Puede encontrar más información sobre el registro de auditoría y las opciones para la retención de registros en el registro de auditoría.
Consideraciones de reclasificación
La justificación del cambio de etiqueta es una característica en la que las opciones disponibles difieren de la intención de los requisitos gubernamentales. PSPF indica que el originador de un elemento, que se define como la entidad que inicialmente generó o recibió la información, debe seguir siendo responsable de controlar su desclasificación o reclasificación:
| Requisito | Detalles |
|---|---|
| PSPF 2024 - 09. Clasificaciones & advertencias: requisito 58 | El originador sigue siendo responsable de controlar la desinfección, reclasificación o desclasificación de información clasificada oficial y de seguridad, y aprueba cualquier cambio en la clasificación de seguridad de la información. |
Además, el ISM-1089 indica que:
| Requisito | Detalles |
|---|---|
| ISM-1089 (marzo de 2025) | Las herramientas de marcado de protección no permiten a los usuarios responder o reenviar correos electrónicos seleccionar marcas de protección inferiores a las usadas anteriormente. |
El enfoque usado en Microsoft Purview es uno de "confianza pero comprobación", que permite a los usuarios con permiso editar elementos y ajustar la etiqueta aplicada a esos elementos. La justificación del cambio de etiqueta proporciona supervisión y responsabilidad de los cambios.
Aquellos que consideren los requisitos de reclasificación de PSPF en consonancia con el enfoque de "confianza pero comprobación" de Microsoft deben considerar una combinación de las siguientes opciones para ayudar a mitigar los riesgos de desclasificación.
Bloqueo del correo electrónico reclasificado
DLP se puede usar para identificar y abordar la desclasificación. Considere la posibilidad de una conversación de correo electrónico que se haya etiquetado como PROTEGIDA. Esta conversación incluye una o varias marcas de protección, como un marcado de asunto de [SEC=PROTECTED] dentro del cuerpo del correo electrónico. Una directiva DLP se puede construir con condiciones de:
- El contenido contiene etiquetas de confidencialidad: UNOFFICIAL, OFFICIAL o OFFICIAL: Confidencial y
- El contenido contiene la palabra clave "SEC=PROTECTED".
Las condiciones anteriores proporcionan una indicación clara de que el elemento se ha reclasificado con una etiqueta de confidencialidad inferior. Las acciones de bloqueo e informes se pueden configurar para que se realice la acción de la repetición. Un ejemplo de un enfoque que evalúa las marcas aplicadas a los elementos en lugar de a la etiqueta de confidencialidad se puede ver en Control del correo electrónico de información marcada a través de DLP.
Controles de administración de riesgos internos
Insider Risk Management incluye una larga lista de indicadores de riesgo que se pueden tener en cuenta al determinar el nivel de riesgo de un usuario. Esto incluye indicadores para reducir una etiqueta de confidencialidad aplicada. Insider Risk Management también entiende los patrones de uso malintencionados, como la reducción de la clasificación aplicada a un elemento seguido de la filtración.
Insider Risk Management alerta a los usuarios que intentan repetidamente filtrar información como "de riesgo" y permiten que los equipos de seguridad intervengan. Esta herramienta tiene la capacidad de ingerir fuentes de distribución de datos de RR. HH. y correlacionar las actividades de filtración de datos con señales de RR. HH., como la fecha de finalización del contrato pendiente. Esta funcionalidad indica a los administradores que los usuarios con intención malintencionada se pueden identificar y tratar rápidamente, lo que elimina el riesgo de desclasificación y filtración malintencionada.
Para seguir así, las características de Protección adaptable se pueden habilitar en Insider Risk Management, que puede restringir automáticamente el acceso del usuario de riesgo y la capacidad de filtrar información etiquetada después de un evento de riesgo. Esto puede ayudar a proteger la información implementando controles inmediatamente en lugar de esperar a que los equipos de seguridad actúen sobre las alertas.
Capas de controles DLP
Los enfoques DLP tradicionales se centraban en un único identificador de confidencialidad del elemento, que era la clasificación de seguridad de un elemento. Las técnicas modernas de clasificación de datos permiten el examen y la identificación de contenido confidencial dentro de los elementos. Cuando se identifica información confidencial dentro de un elemento, se puede proteger independientemente de la etiqueta de confidencialidad que se le pueda aplicar. La agrupación en capas de directivas DLP para proporcionar protección basada en la etiqueta de confidencialidad (contexto de elemento) y la información adjunta del elemento (contenido del elemento), proporciona una profundidad de protección superior a los enfoques tradicionales de solo clasificador.
Siguiendo las instrucciones de configuración dlp proporcionadas en la prevención de la distribución inapropiada de información clasificada de seguridad y la limitación de la distribución de información confidencial, se proporcionará un enfoque por capas para la seguridad de los datos que no depende de la clasificación por sí sola.
Directiva organizativa
Microsoft recomienda que las organizaciones gubernamentales australianas implementen controles basados en directivas organizativas como método para satisfacer los requisitos de desclasificación. Este enfoque debe reforzarse con el entrenamiento del usuario y los artículos de knowledge base, que se pueden poner a disposición de los usuarios a través de vínculos de información para clientes con reconocimiento de etiquetas.
Prevención de la reclasificación
Para aquellos que son firmes en que quieren evitar la reclasificación, hay dos opciones disponibles de forma nativa en Microsoft 365. Estas opciones afectan a la facilidad de uso, por lo que Microsoft recomienda explorar primero los enfoques basados en directivas de la organización, LA DLP, Insider Risk Management y .
Enfoque basado en cifrado
El cifrado de etiquetas de confidencialidad se puede configurar con permisos que restringen la capacidad del usuario para modificar las propiedades del elemento. Los permisos de copropietario permiten cambios en las propiedades, incluida la etiqueta aplicada, mientras que los permisos de coautor permiten editar los elementos, pero no sus propiedades. Esta configuración tendría que estar respaldada por una estructura de grupo para admitir la asignación de dichos permisos a aquellos que los requieran. Esta configuración también tendría que tener en cuenta los demás aspectos para etiquetar el cifrado que se describen en el cifrado de etiquetas de confidencialidad.
El cifrado de nivel de elemento, que es sin duda el futuro para la seguridad de los datos, puede tener algunos impactos en los servicios existentes, como los sistemas de administración de registros que podrían no poder indexar elementos en su formato cifrado. También es probable que haya impactos cuando los elementos deban compartirse con agencias externas, como archivos nacionales, que podrían necesitar completar su propia indexación.
Para obtener más información sobre los permisos de Azure Rights Management necesarios para admitirlo, consulte Configuración de derechos de uso para Azure Information Protection (AIP).
Enfoque de "bloqueo" de etiquetas
El artículo 24 y el artículo 26 de la Ley de Archivos prohíben la eliminación o modificación de determinados tipos de registros de la Commonwealth. Los cambios de etiqueta son metadatos de un registro y pueden constituir una modificación de ese registro. Para prohibir los cambios en las etiquetas, las organizaciones pueden implementar etiquetas de retención que usan características Administración de registros de Microsoft Purview para "bloquear" elementos en un estado. Una vez bloqueados, los elementos y su etiqueta de confidencialidad asociada no se pueden cambiar, lo que impide la reclasificación. La configuración de Microsoft 365 de tal manera ayuda a las organizaciones a cumplir los requisitos de PSPF y Archivo Act para esos tipos de registros de commonwealth.
Para obtener más información sobre cómo evitar cambios en los elementos a través de etiquetas de registros, vea Declarar registros mediante etiquetas de retención.
Etiquetado obligatorio
Las directivas de etiquetas proporcionan la capacidad de requerir que los usuarios seleccionen una etiqueta para documentos y correos electrónicos. Esta configuración pide a los usuarios que seleccionen una etiqueta cada vez que:
- Guardar un nuevo elemento (archivo o correo electrónico),
- Intente enviar un correo electrónico sin etiquetar, o
- Cambie un elemento, que aún no tiene una etiqueta aplicada.
Esta configuración garantiza que todos los elementos tengan marcas de protección y otros controles asociados aplicados.
| Requisito | Detalles |
|---|---|
| PSPF 2024 - 09. Clasificaciones & advertencias: requisito 59 | El autor evalúa el valor, la importancia o la confidencialidad de la información oficial (destinada a su uso como registro oficial) considerando el posible daño al gobierno, el interés nacional, las organizaciones o las personas que surgirían si la confidencialidad de la información estuviera en peligro. |
Sugerencia
Aunque la configuración de etiquetado obligatoria garantiza que los elementos tengan etiquetas aplicadas, se recomienda que las recomendaciones de etiquetado automático basadas en cliente y configuradas y habilitadas para guiar a los usuarios en una aplicación de etiquetas precisa. Puede encontrar más información sobre esta funcionalidad en el artículo Etiquetado automático basado en cliente .
Herencia de etiquetas
La configuración de herencia de etiquetas permite que los correos electrónicos hereden la confidencialidad de sus datos adjuntos. Esto entra en vigor si un elemento con mayor confidencialidad se adjunta a un correo electrónico con una etiqueta de confidencialidad inferior aplicada. Esta configuración ayuda a garantizar que los elementos altamente confidenciales no se divulguen inapropiadamente a través de correos electrónicos de menor confidencialidad.
Al igual que con todos los procesos de etiquetado automático, la automatización no invalidará una etiqueta aplicada manualmente. Para obtener la mayoría de las ventajas, las organizaciones gubernamentales australianas deben seleccionar ambas opciones. La selección de ambas opciones permite que los elementos recién creados hereden la confidencialidad de los datos adjuntos. En situaciones en las que un usuario ya ha aplicado una etiqueta, la segunda opción entra en vigor y recomienda que se aumente la confidencialidad del correo electrónico para que coincida.
Esta configuración se alinea con los siguientes requisitos:
| Requisito | Detalles |
|---|---|
| ISM-0270 (marzo de 2025) | Las marcas de protección se aplican a los correos electrónicos y reflejan la más alta sensibilidad o clasificación del asunto, el cuerpo y los datos adjuntos. |
| ISM-0271 (marzo de 2025) | Las herramientas de marcado de protección no insertan automáticamente marcas de protección en los correos electrónicos. |
La herencia de etiquetas ayuda a garantizar que:
- Cualquier flujo de correo o controles relacionados con DLP que estén asociados a la etiqueta del correo electrónico (por ejemplo, los descritos en la prevención de la distribución de correo electrónico de información clasificada) se aplica en función de los datos adjuntos del correo electrónico.
- Si la etiqueta heredada incluye controles avanzados, como el cifrado de etiquetas, el correo electrónico tiene estos controles aplicados (como se describe en Cifrado de etiquetas de confidencialidad).
Página de ayuda personalizada
La opción de página de ayuda personalizada permite a las organizaciones proporcionar un vínculo a través de una opción de "más información" que se muestra en la parte inferior del menú de etiquetas. El usuario se dirige a la dirección URL de un sitio proporcionando información sobre cómo aplicar correctamente las etiquetas de confidencialidad e informar a los usuarios de sus obligaciones de marcado o clasificación.
Junto con la información sobre herramientas de etiquetas, el personal usa el sitio web "más información" al determinar qué etiqueta es más adecuada para un elemento. Esto se alinea con el requisito 60 de PSPF 2024, ya que ayuda a los usuarios a evaluar la información confidencial y clasificada de seguridad.
| Requisito | Detalles |
|---|---|
| PSPF 2024 - 09. Clasificaciones & advertencias: requisito 60 | La clasificación de seguridad se establece en el nivel razonable más bajo. |
Las organizaciones suelen usar una intranet del personal o una ubicación similar para publicar contenido relevante para los requisitos y procesos de clasificación. Este mismo sitio podría ser un destino adecuado para este vínculo "Más información". Hay otros usos para este tipo de sitio, que se describen más adelante en Alertas de datos fuera de lugar.
Varias directivas
Muchas organizaciones podrán cumplir sus requisitos de etiqueta con una sola directiva. Las organizaciones con requisitos más granulares necesitan directivas adicionales. Por ejemplo, una organización que quiere que su etiqueta PROTEGIDA y las subetiquetas asociadas se publiquen en un subconjunto de usuarios, requiere otra directiva para lograrlo. Se podría crear una directiva denominada directiva de etiqueta protegida , que solo tiene seleccionadas las etiquetas PROTEGIDAs. A continuación, la directiva se puede publicar en un grupo de usuarios protegidos .
El plano técnico de ASD para la nube segura recomienda dos directivas, una para los usuarios hasta OFICIAL: confidencial y otra para hasta PROTEGIDA. Es probable que este sea un buen enfoque para muchas organizaciones
Importante
Restringir la capacidad de aplicar una etiqueta no impide el acceso a la información que tiene aplicada la etiqueta. Para aplicar la restricción de acceso de forma conjunta con la directiva de etiqueta, se debe aplicar la configuración, incluida la prevención de pérdida de datos (DLP), el contexto de autenticación y el cifrado de etiquetas .
Ordenación de directivas
Se pueden configurar varias directivas de etiquetas para implementar diferentes conjuntos de etiquetas o diferentes opciones de directiva en grupos de usuarios. En estos escenarios, el orden de directivas es importante. Los usuarios dentro del ámbito de varias directivas reciben todas las etiquetas que se les han asignado a través de las distintas directivas, pero solo recibirán la configuración de la directiva con el orden más alto.
Directivas de etiqueta de ejemplo
En el siguiente ejemplo de etiqueta se muestra una configuración de directiva típica para las organizaciones gubernamentales australianas. La directiva protegida siguiente está pensada para demostrar cómo un conjunto de etiquetas solo se puede publicar en un subconjunto de usuarios y no será necesario para todas las organizaciones:
| Nombre de la directiva | Order | Etiquetas publicadas | Publicado para |
|---|---|---|---|
| Todas las directivas de usuario | 0 | -EXTRAOFICIAL -OFICIAL - OFICIAL: Confidencial - OFICIAL: Privacidad personal confidencial - OFICIAL: Privilegios legales confidenciales - OFICIAL: Secreto legislativo confidencial - OFICIAL: GABINETE NACIONAL CONFIDENCIAL |
Todos los usuarios |
| Directiva de prueba | 1 | todas | Probar cuentas de usuario |
| Directiva protegida | 2 | -PROTEGIDO - Personal-Privacy PROTEGIDAS - Legal-Privilege PROTEGIDAS - Legislative-Secrecy PROTEGIDAS - ARMARIO PROTEGIDO - GABINETE NACIONAL PROTEGIDO |
Grupo de Microsoft 365 "Usuarios protegidos" |
Estas directivas se pueden configurar con las siguientes opciones, que se ajustan mejor a los requisitos del Gobierno de Australia:
| Opción de directiva | Configuración |
|---|---|
| Los usuarios deben proporcionar una justificación para quitar una etiqueta o reducir su clasificación. | ACTIVADA |
| Requerir que los usuarios apliquen una etiqueta a sus correos electrónicos y documentos. | ACTIVADA |
| Requerir que los usuarios apliquen una etiqueta a su contenido de Power BI. | ACTIVADA |
| Proporcione a los usuarios un vínculo a una página de ayuda personalizada. | insertar la dirección URL del sitio de ayuda basado en intranet |
| Etiqueta predeterminada para documentos. | Ninguno |
| Etiqueta predeterminada para los correos electrónicos. | Ninguno |
| Hereda la etiqueta de los datos adjuntos. - Email hereda la etiqueta de prioridad más alta de los datos adjuntos. - Recomendamos a los usuarios que apliquen la etiqueta de los datos adjuntos en lugar de aplicarlos automáticamente. |
ACTIVADA ACTIVADA |
| Etiqueta predeterminada para reuniones y eventos de calendario. | Ninguno |
| Requerir que los usuarios apliquen una etiqueta a sus reuniones y eventos de calendario. | ACTIVADA |
| Etiqueta predeterminada para sitios y grupos. | Ninguno |
| Requerir que los usuarios apliquen una etiqueta a sus grupos o sitios. | ACTIVADA |
| Etiqueta predeterminada para Power BI. | Ninguno |
Cambios en la directiva de etiquetas
El personal responsable de administrar los cambios en la configuración de la directiva de etiquetas o etiquetas debe tener en cuenta que los cambios tardan un máximo de 24 horas en implementarse en los usuarios y sincronizarse con los dispositivos cliente. Esto debe tenerse en cuenta en las ventanas de pruebas y cambios técnicos.
Sugerencia
Cuando los usuarios deben probar rápidamente una configuración, esos usuarios pueden cerrar la sesión de su Aplicaciones Microsoft 365 cliente de Outlook u Office y, a continuación, volver a iniciar sesión. A medida que el cliente inicia sesión, recibe una copia más reciente de las directivas asignadas, lo que acelera el proceso de implementación de etiquetas o directivas.