guía de Microsoft Purview Information Protection para el cumplimiento del gobierno australiano con PSPF
Microsoft ha preparado esta guía de Microsoft Purview Information Protection para su uso por parte del Gobierno australiano y otras organizaciones interesadas. Su intención es ayudar a los clientes del Gobierno australiano a mejorar su posición de seguridad de los datos a la vez que cumplen los requisitos de protección y clasificación de la información. Los consejos de esta guía se alinean estrechamente con los requisitos establecidos en el Marco de directivas de seguridad protegida (PSPF) y el Manual de seguridad de la información (ISM).
Esta guía está dirigida a los directores de datos del Gobierno de Australia (CDO), jefes de tecnología (CTO), jefes de seguridad (CSO), jefes de seguridad de la información (CISO), oficiales de riesgo o cumplimiento, privacidad de la información u otros roles de administración de la información.
El enfoque del programa sugerido ayuda a las organizaciones a establecer un programa y a trabajar rápidamente para mejorar la madurez de la protección de la información.
La guía está escrita para una organización gubernamental reutilizable, con ejemplos escritos aplicables a este efecto. Sin embargo, todas las organizaciones gubernamentales deben adaptar la guía a sus requisitos únicos. Un ejemplo es un matiz legislativo específico aplicable a una organización. Los ejemplos también ayudan en estos matices.
La sección de la guía titulada Requisito del Gobierno australiano para la asignación de capacidad incluye una lista completa de los requisitos de la directiva 8 y la directiva 9 de PSPF, junto con una explicación de cómo se pueden configurar las funcionalidades de Microsoft Purview para satisfacer cada requisito y un vínculo a las secciones de guía correspondientes. También se tratan los requisitos pertinentes del Manual de seguridad de la información (ISM) y los requisitos de Standard de metadatos de mantenimiento de registros del Gobierno de Australia (AGRkMS).
En esta guía se usan tres funcionalidades clave para cumplir los requisitos de clasificación y protección de la información gubernamental, a saber:
- Etiquetado de confidencialidad
- Prevención de pérdida de datos (DLP)
- Etiquetado automático de confidencialidad
En el diagrama siguiente se proporciona información general conceptual sobre la interacción entre estas tres funcionalidades de Microsoft 365 junto con ejemplos de uso.
Microsoft Purview Information Protection incluye una funcionalidad denominada etiquetado de confidencialidad. El etiquetado de confidencialidad permite a los usuarios aplicar etiquetas a elementos como archivos y correo electrónico. Estas etiquetas se pueden alinear con los controles de seguridad de datos para proteger la información incluida. El etiquetado de confidencialidad también se puede extender a otros servicios, como sitios de SharePoint y Teams y reuniones.
Las etiquetas de confidencialidad, cuando se alinean con los requisitos de clasificación de las organizaciones, como las definidas en la directiva 8 del Marco de directivas de seguridad de protección (PSPF), nos permiten tratar las etiquetas como clasificaciones. Nos proporcionan marcas visuales a través de la interfaz de usuario y otras opciones de marcado. Por ejemplo:
Los controles de seguridad de datos que se pueden aplicar a través de etiquetas de confidencialidad incluyen:
- La capacidad de cifrar elementos, lo que impide el acceso de usuarios no autorizados.
- La capacidad de proporcionar recomendaciones de etiquetas a los usuarios tras la detección de información confidencial.
- Control del acceso del usuario externo a ubicaciones etiquetadas.
- Control de la configuración de seguridad de reuniones de Teams para reuniones que tienen determinadas etiquetas aplicadas.
Estas funcionalidades se alinean con los requisitos del Gobierno australiano para el marcado y la protección de información confidencial o clasificada de seguridad.
Como se describe en soporte técnico para clientes de Microsoft Office, los usuarios suelen interactuar con elementos etiquetados a través de un cliente de Aplicaciones Microsoft 365 Office, un cliente basado en web o un dispositivo móvil equivalente. Estos clientes permiten a los usuarios aplicar etiquetas a los elementos.
Si un usuario se olvida de aplicar una etiqueta a un elemento, el cliente solicita al usuario que aplique una etiqueta antes de guardar el elemento o, si es un correo electrónico, antes de enviarlo.
Mientras un usuario trabaja en un elemento, si aún no se aplica una etiqueta y se detecta información que se alinea con una clasificación, se puede proporcionar una recomendación de etiqueta al usuario. Si se detecta contenido confidencial que se alinea con una clasificación mayor que la etiqueta de confidencialidad aplicada, se puede proporcionar al usuario una recomendación para aumentar la confidencialidad del elemento.
Estas recomendaciones ayudan a garantizar la precisión de la etiqueta. La precisión de la etiqueta es importante, ya que muchos controles que rigen el flujo de información se basan en la confidencialidad del elemento.
Microsoft 365 Copilot hereda las múltiples formas de protección de Microsoft 365 contra el riesgo y el acceso no autorizado. El modelo de permisos de Microsoft 365 ayuda a garantizar que la información no se pueda filtrar intencionadamente entre usuarios y grupos.
Importante
La configuración de Microsoft Purview no es un requisito previo para Copilot para Microsoft 365. Sin embargo, la implementación de configuraciones de Microsoft Purview fortalece la posición general de seguridad de la información en todo el entorno de la organización, incluido Copilot.
Las mitigaciones de riesgos de información que proporciona Microsoft Purview son complementarias a Copilot para Microsoft 365. El ejemplo más sencillo de esto es a través de la herencia de etiquetas. Si Copilot se usa para generar un elemento basado en un elemento de origen, por ejemplo, para generar un resumen de un documento de origen Word, el elemento generado hereda las etiquetas de confidencialidad que se aplicaron al elemento de origen. Esto ayuda a garantizar que las protecciones aplicadas a la información se mantienen a medida que cambia el formulario de información.
Al evaluar posibles problemas de seguridad que podrían producirse como resultado de la habilitación de Copilot para Microsoft 365, los riesgos se pueden agrupar en tres categorías:
- Fuga de datos de la herramienta de inteligencia artificial: el contenido generado por Copilot podría contener información confidencial.
- Uso compartido de datos: los usuarios pueden distribuir elementos generados por Copilot que contengan información confidencial.
- Fuga de datos en la herramienta de inteligencia artificial: los usuarios pueden filtrar involuntariamente datos confidenciales en Copilot.
Las siguientes funcionalidades, que se describen en esta guía, pueden ayudar a mitigar la pérdida de datos de Copilot y los riesgos de uso compartido excesivo de datos:
- La información de identificación identifica si el contenido generado o el contenido que se comparte contiene información confidencial o clasificada de seguridad. Los controles protegen la información automáticamente.
- El etiquetado automático basado en cliente identifica cuándo un elemento generado contiene información confidencial y proporciona una recomendación de etiqueta al usuario. La etiqueta está sujeta a cualquier control basado en etiquetas.
- La configuración de grupos de etiquetas y sitios aplica controles de seguridad, incluidas las restricciones de uso compartido y acceso de usuarios externos, a las ubicaciones. Si un elemento generado por Copilot se mueve a una ubicación, que no se considera segura para la etiqueta aplicada al elemento, alertando a los desencadenadores para permitir la limpieza.
- Las reglas DLP que protegen la información clasificada, cuando se emparejan con la configuración de etiquetado obligatoria, se aplican a todos los documentos y correos electrónicos de Office. Debido a la herencia de etiquetas, el contenido generado por Copilot hereda las etiquetas aplicadas a su información de origen, lo que significa que también estarán dentro del ámbito de las directivas DLP pertinentes basadas en etiquetas.
- Las reglas DLP que protegen la información confidencial garantizan que, independientemente de la etiqueta que se haya aplicado a un elemento, se sigan aplicando los controles de seguridad correctos. Esto garantiza que, en caso de que Copilot haya usado información confidencial en un elemento generado, la información está protegida contra el uso compartido excesivo.
- El cifrado de etiquetas de confidencialidad evita el uso compartido excesivo al garantizar que solo los usuarios autorizados puedan acceder a elementos clasificados de seguridad. Además, los permisos de cifrado bloquean Copilot de elementos altamente confidenciales, lo que reduce el riesgo de que se incluya información en el contenido generado.
Para obtener más información específica de Copilot para Microsoft 365 sobre estos controles, consulte Consideraciones de protección de la información para Copilot.
Con respecto a los riesgos relacionados con la fuga de datos en las herramientas de inteligencia artificial, el cifrado de etiquetas de confidencialidad es relevante para esto. Otros controles no son específicos de Microsoft Purview y no se abordan como parte de esta guía. Sin embargo, los vínculos siguientes proporcionan información relevante:
- La búsqueda restringida de SharePoint (RSS) permite a las organizaciones limitar Copilot para Microsoft 365 a acceder solo a una lista aprobada de hasta 100 sitios. La implementación de esta funcionalidad puede ayudar a reducir el riesgo de que copilot indexe información a la que las organizaciones no están preparadas para que tenga acceso. Esta característica consiste en habilitar Copilot mientras se implementa la lista anterior de controles de Microsoft Purview y se aborda cualquier uso compartido excesivo existente debido a permisos inadecuados. Una vez mitigada la posibilidad de riesgo de información, RSS se deshabilita para permitir a los usuarios aprovechar al máximo las capacidades de Copilot.
- Los informes de gobernanza del acceso a datos, incluidos en SharePoint Premium, se pueden usar para detectar sitios que contienen contenido potencialmente sobrecompartido o confidencial para que se puedan abordar.
- La administración del ciclo de vida del sitio, incluida en SharePoint Premium, se puede usar para detectar y actuar automáticamente en sitios inactivos. La eliminación de sitios inactivos ayuda a garantizar que la información a la que Copilot tiene acceso es actual y pertinente.
Si desea ponerse en contacto con los creadores de esta guía para analizar los consejos proporcionados, no dude en hacerlo a través de AUGovMPIPGuide@microsoft.com.