Compartir a través de

Configuración de Microsoft Purview para Confianza cero: Protección de datos

Proteger los datos de la organización significa garantizar que el contenido cifrado pueda fluir de forma segura hacia y desde los usuarios autorizados, tanto dentro como fuera de la organización. La configuración mal configurada puede bloquear silenciosamente la colaboración legítima en el contenido protegido, lo que deja a los usuarios incapaces de abrir archivos cifrados o correos electrónicos de asociados externos.

recomendaciones de seguridad de Confianza cero

Configuración del acceso entre inquilinos para permitir el uso compartido de contenido cifrado

Cuando los usuarios envían o comparten archivos o correos electrónicos cifrados con personas ajenas a su organización, o reciben contenido cifrado de asociados, Microsoft Entra ID debe comprobar las identidades. Realiza esta comprobación para ambos lados del envío y la recepción para aplicar la configuración de cifrado. Si la configuración de acceso entre inquilinos bloquea el acceso al servicio Azure Rights Management, esos usuarios verán un error "El acceso está bloqueado por su organización". En este escenario, no pueden abrir el contenido protegido.

Permita la aplicación Microsoft Rights Management Services mediante la configuración de los valores de acceso entre inquilinos para el tráfico entrante (usuarios externos que abren el contenido que comparte) y el tráfico saliente (los usuarios abren contenido de asociados). Sin esta configuración, el uso compartido de contenido cifrado se interrumpe, incluso cuando se asignan los permisos adecuados.

Acción de corrección

Azure Rights Management servicio está activado

El servicio Azure Rights Management proporciona la tecnología básica de cifrado y control de acceso para Microsoft Purview Information Protection. Se usa con etiquetas de confidencialidad que aplican cifrado, protegen los correos electrónicos con Cifrado de mensajes de Microsoft Purview e incluso se usan con las tecnologías de protección más antiguas, como IRM de SharePoint y reglas de flujo de correo que aplican el cifrado. Este servicio debe activarse para el inquilino antes de configurar cualquier otra característica de protección de la información.

Acción de corrección

Las licencias de Internal Rights Management están habilitadas

Las licencias internas de RMS permiten a los usuarios y servicios de la organización conceder licencias de contenido protegido para la distribución interna y el uso compartido. Se habilita automáticamente cuando se activa Azure RMS. Si está deshabilitado, los usuarios no pueden colaborar en correos electrónicos y archivos cifrados internamente, y las operaciones de retención legal, exhibición de documentos electrónicos y recuperación de datos no pueden acceder al contenido cifrado.

Acción de corrección

La pertenencia a superusuario está configurada para Microsoft Purview Information Protection

La característica de superusuario del servicio Azure Rights Management concede a las cuentas designadas la capacidad de descifrar el contenido que su organización ha cifrado mediante este servicio, independientemente de los permisos originales asignados. Es posible que los superusuarios sean necesarios para la exhibición de documentos electrónicos, la recuperación de datos, las investigaciones de cumplimiento y la migración de contenido. La característica de superusuario garantiza que los usuarios y servicios autorizados siempre puedan leer e inspeccionar los datos que el servicio Azure Rights Management cifra para su organización.

Cuando se usa un grupo para designar cuentas de superusuario, la pertenencia a ese grupo debe controlarse cuidadosamente y limitarse, por ejemplo, a las cuentas de servicio que usan las herramientas de cumplimiento o las plataformas de exhibición de documentos electrónicos. A menos que tenga una característica o una necesidad empresarial que requiera que la característica se habilite todo el tiempo, Microsoft recomienda mantener la característica deshabilitada de forma predeterminada y habilitarla solo cuando sea necesario. Cuando use un grupo para designar cuentas de superusuario, use Microsoft Entra Privileged Identity Management (PIM) para reducir el riesgo habilitando el acceso Just-In-Time cuando sea necesario y minimizando los privilegios permanentes.

Acción de corrección

Los exámenes a petición están configurados para la detección de información confidencial

Los elementos de SharePoint, OneDrive y en dispositivos se evalúan y clasifican cuando se editan o tocan. Si no se editan y están en el ámbito de una directiva de Microsoft Purview, permanecen sin clasificar e invisibles para las directivas de Microsoft Purview. Los exámenes a petición permiten desencadenar manualmente la evaluación de elementos en ubicaciones de SharePoint, OneDrive o Dispositivos especificadas para detectar y clasificar contenido histórico. Esto puede proporcionarle una vista más completa de su posición de protección de la información.

Acción de corrección

OCR está habilitado para la detección de información confidencial

OCR (reconocimiento óptico de caracteres) extiende el tipo de información confidencial y la detección de clasificadores entrenables a las imágenes de los dispositivos Exchange, SharePoint, OneDrive, Teams y punto de conexión. Sin OCR, las directivas DLP y las directivas de etiquetado automático no pueden examinar el contenido basado en imágenes, los documentos escaneados, las capturas de pantalla y las facturas, lo que deja sin protección la información confidencial de las imágenes. OCR requiere Azure facturación de pago por uso para Microsoft Syntex y se configura en el nivel de inquilino.

Acción de corrección

Se configuran tipos de información confidencial personalizados

Los tipos de información confidencial (SIT) personalizados amplían la capacidad de Microsoft Purview para detectar información confidencial más allá de los SIT integrados para cubrir patrones de datos específicos de la organización, identificadores propietarios, esquemas de clasificación internos, códigos del sector especializados u otros formatos que los SIT integrados no buscan. Úselas para crear reglas de detección personalizadas que se adapten a las necesidades únicas de protección de datos de su organización, lo que garantiza que la información más confidencial se identifique y proteja con precisión.

Acción de corrección

La coincidencia exacta de datos está configurada para la detección de información confidencial

La coincidencia exacta de datos (EDM) es un tipo de información confidencial avanzada que detecta datos específicos de la organización mediante la coincidencia de valores exactos con una base de datos de referencia cargada. A diferencia de los tipos de información confidencial (SIT) basados en patrones que detectan formatos comunes, EDM identifica elementos como listas de clientes, identificadores de empleados o códigos propietarios únicos para su organización. Al configurar SIT basados en EDM, puede mejorar significativamente la precisión de la detección de información confidencial en Microsoft Purview, lo que garantiza que los datos críticos se identifiquen y protejan correctamente.

Acción de corrección

Los tipos de información confidencial de entidades con nombre se usan en las directivas de prevención de pérdida de datos y etiquetado automático

Los tipos de información confidencial de entidad con nombre (SIT) son clasificadores de Microsoft creados previamente que detectan entidades confidenciales comunes, como nombres de personas, direcciones físicas y terminología médica. Amplían la protección de datos más allá de la coincidencia de patrones en la clasificación contextual y se pueden usar en directivas de etiquetado automático y reglas DLP sin ningún desarrollo personalizado.

Acción de corrección

Los clasificadores entrenables se usan en las directivas de prevención de pérdida de datos y etiquetado automático

Los clasificadores que se pueden entrenar son clasificadores basados en aprendizaje automático que reconocen el contenido por significado y contexto en lugar de patrones fijos. A diferencia de los tipos de información confidencial que coinciden con formatos predefinidos, los clasificadores entrenables pueden identificar contenido no estructurado, como planes estratégicos, informes financieros o documentos de RR. HH. El uso de clasificadores entrenables en directivas de etiquetado automático y reglas de prevención de pérdida de datos (DLP), amplía la protección al contenido empresarial confidencial que las reglas basadas en patrones no pueden capturar de forma confiable.

Acción de corrección

El registro de auditoría de Purview está habilitado

El registro de auditoría en Microsoft 365 registra qué usuarios y administradores accedieron a datos confidenciales, cuándo se produjeron infracciones de directiva y qué acciones administrativas realizaron en Microsoft 365. Cuando hay registros de auditoría disponibles, los equipos de seguridad pueden investigar incidentes, realizar detección electrónica para investigaciones y casos legales, detectar amenazas internas y demostrar controles a auditores y reguladores mediante soluciones de auditoría de Microsoft Purview.

El registro de auditoría está activado de forma predeterminada para las organizaciones de Microsoft 365, pero puede desactivarlo. Si desactiva el registro de auditoría, los actores de amenazas a menudo pueden funcionar sin detectar y la respuesta a incidentes se vuelve imposible debido a la falta de pruebas. Las organizaciones que no habilitan el registro de auditoría también se arriesgan a no cumplir los requisitos normativos que exigen el registro de actividad para operaciones confidenciales.

Acción de corrección

Las etiquetas de confidencialidad están configuradas

Las etiquetas de confidencialidad son la base de Microsoft Purview Information Protection. Permiten a las organizaciones clasificar y proteger datos confidenciales en Microsoft 365, ubicaciones locales y aplicaciones que no son de Microsoft.

Sin etiquetas de confidencialidad, las organizaciones carecen de una manera estandarizada de proteger sus datos, lo que los deja vulnerables al acceso y el uso compartido no autorizados. Una taxonomía de etiquetas bien diseñada normalmente incluye entre 3 y 7 etiquetas de nivel superior: demasiadas etiquetas sobrecargan a los usuarios y reducen la eficacia.

Acción de corrección

La publicación de demasiadas etiquetas globalmente crea confusión y parálisis de decisiones para los usuarios, lo que reduce la adopción y aumenta la clasificación incorrecta. Cuando los usuarios se enfrentan a más de 25 etiquetas, tienen dificultades para identificar la clasificación adecuada, lo que conduce a etiquetas incorrectas o evita la característica por completo.

Microsoft recomienda no más de 25 etiquetas en directivas globales, idealmente organizadas como cinco etiquetas principales con hasta cinco subetiquetas cada una. Use directivas con ámbito para publicar etiquetas especializadas solo para usuarios, grupos o departamentos específicos, manteniendo el conjunto global de etiquetas centrado en escenarios comunes.

Acción de corrección

Las etiquetas de confidencialidad con cifrado están configuradas

Sin cifrado, las etiquetas de confidencialidad denota el nivel de confidencialidad de un elemento sin impedir el acceso no autorizado, a menos que se complemente con otro mecanismo de protección. Las etiquetas de confidencialidad que están configuradas para aplicar el cifrado desde el servicio Azure Rights Management aplican derechos de uso y control de acceso. Esta protección persiste independientemente de dónde se almacene o comparta el contenido. Por ejemplo, los usuarios todavía pueden compartir un documento etiquetado como "Confidencial", pero si esa etiqueta aplica el cifrado, las personas no autorizadas no podrán abrirlo.

Las organizaciones que usan etiquetas sin cifrado obtienen visibilidad del nivel de confidencialidad, pero las propias etiquetas carecen de cumplimiento técnico. Las etiquetas que aplican cifrado garantizan que solo los usuarios autorizados puedan descifrar el contenido y usarlo con las restricciones especificadas para ese usuario. Por ejemplo, solo lectura o impedir la copia. Esta protección ayuda a evitar la filtración de datos incluso si los archivos se filtran o se comparten incorrectamente. Se debe configurar al menos una etiqueta de confidencialidad para aplicar el cifrado para los datos de alto valor que requieren protección más allá de identificar el nivel de confidencialidad.

Acción de corrección

Las etiquetas de cifrado de doble clave están configuradas

El cifrado de doble clave (DKE) proporciona una capa adicional de protección para datos altamente confidenciales al requerir dos claves para descifrar el contenido: una administrada por Microsoft y otra por el cliente. Este enfoque de "mantener su propia clave" garantiza que Microsoft no pueda descifrar el contenido incluso con compulsión legal, cumpliendo estrictos requisitos normativos para la soberanía de los datos.

Sin embargo, DKE presenta una complejidad operativa significativa, incluida la infraestructura de servicio clave dedicada, la compatibilidad reducida de características y el aumento de la carga de soporte técnico. Las organizaciones deben mantener entre 1 y 3 etiquetas reservadas para datos realmente críticos o fuertemente regulados, con justificación empresarial documentada para cada etiqueta DKE. Use el cifrado estándar para el contenido empresarial general. Las etiquetas DKE excesivas (4 o más) crean sobrecarga de administración, confusión del usuario y reducen la colaboración. DKE nunca debe implementarse de forma general, ya que la falta de disponibilidad del servicio clave impide el acceso a documentos críticos para la empresa.

Acción de corrección

La coautoría está habilitada para documentos cifrados

Cuando la coautoría no está habilitada para documentos protegidos por etiquetas de confidencialidad que aplican cifrado, solo una persona puede editar el archivo a la vez cuando usa aplicaciones de escritorio de Office. Como resultado, esto puede ralentizar los equipos, lo que dificulta la colaboración y puede retrasar la finalización del proyecto. Esta limitación es especialmente difícil para los grupos que trabajan en proyectos confidenciales que requieren cifrado para la privacidad, pero que también necesitan trabajar juntos de forma eficaz.

Al activar la coautoría de archivos cifrados con etiquetas de confidencialidad, varios usuarios autorizados pueden editar el archivo al mismo tiempo en aplicaciones de escritorio de Office. A menos que pueda asegurarse de que todos los usuarios editen estos archivos mediante Office para la Web, este cambio elimina la ralentización de la necesidad de pago y permite a los equipos colaborar de forma eficaz sin sacrificar la seguridad. La configuración de coautoría también puede ser un requisito para otras características de etiquetado.

Acción de corrección

Las etiquetas de contenedor están configuradas para áreas de trabajo colaborativas

Las etiquetas de contenedor amplían las etiquetas de confidencialidad más allá de los elementos individuales a áreas de trabajo de colaboración completas, como Microsoft Teams, Grupos de Microsoft 365, sitios de SharePoint, comunidades Viva Engage y áreas de trabajo Loop. Estas etiquetas pueden controlar la configuración de nivel de área de trabajo, como el uso compartido externo, el acceso de invitado, las restricciones de dispositivos y la privacidad.

Sin etiquetas de contenedor, es posible que los usuarios puedan crear Teams con acceso de invitado externo incluso al administrar información confidencial. Esta acción crea riesgos de filtración de datos donde existen documentos etiquetados correctamente en áreas de trabajo no protegidas correctamente. Las etiquetas de contenedor pueden ayudar a garantizar que la seguridad del área de trabajo coincida con la confidencialidad del contenido almacenado, por ejemplo, impedir que los documentos etiquetados como "Altamente confidenciales" residan en sitios de Teams que permiten el uso compartido externo.

Acción de corrección

Las etiquetas de confidencialidad están habilitadas en SharePoint

Cuando la integración de etiquetas de confidencialidad está deshabilitada (valor predeterminado) en SharePoint, los archivos de SharePoint y OneDrive no se pueden etiquetar ni mostrar etiquetas existentes y no se pueden beneficiar de la protección adicional de las etiquetas de confidencialidad que aplican el cifrado. Esta brecha de protección deja los archivos confidenciales sin clasificar y vulnerables al acceso no autorizado y al uso compartido externo.

La habilitación de etiquetas de confidencialidad en SharePoint permite a los usuarios aplicar etiquetas mediante Office para la Web y SharePoint. También es un requisito para el etiquetado predeterminado para estas ubicaciones y para las directivas de etiquetado automático que pueden clasificar archivos automáticamente. Las etiquetas de confidencialidad de estos archivos también pueden reforzar la seguridad de Microsoft 365 Copilot y usarse con directivas de prevención de pérdida de datos y otras soluciones de Microsoft Purview.

Acción de corrección

El etiquetado de PDF está habilitado en SharePoint

Cuando el etiquetado de PDF está deshabilitado (valor predeterminado) en SharePoint, los archivos PDF no se pueden etiquetar ni mostrar etiquetas existentes, lo que crea una brecha de protección. A diferencia de los archivos de Office, los archivos PDF pueden circular externamente sin marcadores de clasificación visibles, lo que hace imposible que los destinatarios determinen los requisitos de control o que las directivas de prevención de pérdida de datos (DLP) detecten contenido confidencial.

La habilitación del etiquetado pdf para SharePoint y OneDrive amplía la compatibilidad con etiquetas de confidencialidad a los archivos PDF, lo que permite a los usuarios aplicar etiquetas mediante Office para la Web y SharePoint, y admite otros métodos de etiquetado, como las directivas de etiquetado automático para clasificar el contenido PDF automáticamente.

Acción de corrección

Las directivas de etiquetas de confidencialidad se publican para los usuarios

Las etiquetas deben publicarse mediante directivas de etiquetas para que los usuarios puedan aplicarlas a elementos, como archivos, correos electrónicos y reuniones. Las directivas de etiqueta definen qué usuarios reciben las etiquetas, establecen el comportamiento de etiquetado predeterminado y otros requisitos de etiquetado. Sin directivas publicadas, las etiquetas de confidencialidad siguen sin estar disponibles para los usuarios.

Acción de corrección

Se configura una etiqueta de confidencialidad predeterminada en las directivas de etiqueta

Establecer una etiqueta predeterminada garantiza un nivel base de configuración de protección para todos los elementos nuevos y editados que admiten etiquetas de confidencialidad y para nuevos contenedores como Teams. Los usuarios pueden invalidar manualmente la etiqueta si es necesario y otros métodos de etiquetado, como el etiquetado automático, pueden reemplazar la etiqueta predeterminada por una etiqueta que tenga un nivel de confidencialidad mayor. Al establecer una etiqueta de confidencialidad predeterminada, se amplía el alcance del etiquetado y se reduce la fatiga de decisión para los usuarios, lo que garantiza que el contenido tenga al menos un nivel mínimo de protección.

El contenido sin etiquetar podría omitir las directivas de prevención de pérdida de datos (DLP) y otras soluciones de protección que se basan en la detección de etiquetas. Si procede, establezca una etiqueta de confidencialidad predeterminada diferente para documentos sin etiquetar y Loop componentes y páginas, correos electrónicos e invitaciones a reuniones, nuevos contenedores y también una etiqueta predeterminada para el contenido de Power BI.

Acción de corrección

El etiquetado obligatorio está habilitado en las directivas de etiqueta de confidencialidad

La configuración de directiva Requerir que los usuarios apliquen una etiqueta garantiza que se debe aplicar una etiqueta de confidencialidad para que los usuarios puedan guardar archivos y enviar correos electrónicos o invitaciones a reuniones, crear nuevos grupos o sitios y usar contenido de Power BI. Esta configuración también impide que los usuarios quiten completamente una etiqueta de confidencialidad. Los elementos sin etiquetar crean riesgos de seguridad y cumplimiento. Por ejemplo, los actores de amenazas pueden filtrar datos confidenciales que podrían evitarse mediante soluciones de protección que se desencadenan en función de la detección de etiquetas.

Acción de corrección

Los usuarios deben proporcionar una justificación para degradar las etiquetas de confidencialidad.

Cuando no es necesario que los usuarios proporcionen una justificación para cambiar una etiqueta, pueden reemplazar silenciosamente una etiqueta por una que tenga una confidencialidad menor. Por ejemplo, reemplace la etiqueta "Confidencial" que aplica la configuración de protección adicional por "General". Esta acción crea riesgos de seguridad y cumplimiento. La necesidad de una razón de justificación hace que este riesgo sea más evidente para los usuarios y les obliga a proporcionar un motivo como un seguimiento de auditoría visible.

Las cuentas en peligro o los empleados que abandonan podrían cambiar las etiquetas para habilitar la filtración de datos. La necesidad de justificación es un control ligero que aumenta la responsabilidad con un bajo impacto en los flujos de trabajo de los usuarios.

Acción de corrección

Email directivas de etiqueta heredan la confidencialidad de los datos adjuntos

Cuando los usuarios adjuntan documentos confidenciales a los correos electrónicos, el correo electrónico debe heredar la etiqueta de confidencialidad más alta de los datos adjuntos para mantener una protección coherente. Sin esta configuración habilitada, los usuarios podrían enviar correos electrónicos sin etiquetar que contienen datos adjuntos confidenciales, lo que crea una falta de coincidencia entre la confidencialidad del correo electrónico y su contenido real.

Email herencia de etiquetas aplica automáticamente la etiqueta de prioridad más alta de los datos adjuntos al mensaje de correo electrónico, lo que garantiza que los niveles de protección coincidan y eviten la exposición accidental de datos.

Acción de corrección

Las etiquetas de confidencialidad predeterminadas se configuran para las bibliotecas de documentos de SharePoint

Al configurar SharePoint con una etiqueta predeterminada para las bibliotecas de documentos, los archivos nuevos cargados en esa biblioteca o los archivos existentes editados en la biblioteca tendrán esa etiqueta aplicada si aún no tienen una etiqueta de confidencialidad o si tienen una etiqueta de confidencialidad pero con menor prioridad. Este etiquetado basado en ubicación ofrece un nivel de protección de línea base y una forma de etiquetado automático sin inspección de contenido. Cuando los archivos no están etiquetados, los archivos importantes pueden omitir la protección y permanecer vulnerables.

Esta configuración es más adecuada para las bibliotecas de documentos que contienen archivos con el mismo nivel de confidencialidad. Se puede complementar con directivas de etiquetado automático que usan la inspección de contenido y el etiquetado manual con una etiqueta de confidencialidad de mayor prioridad si es necesario.

Acción de corrección

Las directivas de etiquetado automático están configuradas para todas las cargas de trabajo

El etiquetado automático amplía considerablemente el alcance del etiquetado mediante el etiquetado automático de elementos en función de la inspección del contenido. Cuando se basa solo en el etiquetado manual, es posible que los usuarios no siempre reconozcan lo que cuenta como datos confidenciales o que se olviden de etiquetar la información durante sus tareas diarias. Las etiquetas predeterminadas ofrecen una línea base de protección, pero no tienen en cuenta el contenido que requiere un mayor nivel de protección. Esto provoca brechas en la clasificación, lo que permite que el contenido confidencial se mueva a través de aplicaciones de Microsoft 365 sin etiquetas ni protección adecuadas.

Puede configurar las opciones de etiquetado automático para etiquetas que se desencadenan cuando los usuarios abren archivos en sus aplicaciones de Office y directivas de etiquetado automático que no requieren interacciones con el usuario. La configuración de al menos una directiva de etiquetado automático para detectar contenido confidencial etiqueta automáticamente este contenido, independientemente de las acciones que realicen los usuarios. A su vez, este contenido etiquetado se puede usar con otras soluciones de Microsoft Purview para aumentar la seguridad, como las reglas de prevención de pérdida de datos (DLP) y las restricciones de acceso.

Acción de corrección

Las directivas de etiquetado automático están en modo de cumplimiento

Cuando las directivas de etiquetado automático se dejan en modo de simulación, no se está realizando la protección contra el etiquetado de esos datos. Como resultado, los usuarios y servicios no pueden tomar medidas de protección adicionales para proteger los datos confidenciales identificados. Por ejemplo, los usuarios no verán en sus aplicaciones de Office que un archivo tiene la etiqueta Altamente confidencial. Las reglas de prevención de pérdida de datos pueden usar etiquetas de confidencialidad para evitar el uso compartido con usuarios externos y otras acciones de riesgo. Los datos etiquetados también proporcionan una capa adicional de protección cuando se usa Microsoft 365 Copilot.

Para asegurarse de que la información confidencial se etiqueta automáticamente, active al menos una directiva de etiquetado automático. Al activar las directivas de etiquetado automático después de las pruebas de simulación, se aplican medidas de protección y se empieza a reducir el riesgo.

Acción de corrección

Las directivas de etiquetado automático están habilitadas para SharePoint y OneDrive

Cuando no se configura el etiquetado automático para SharePoint y OneDrive, es posible que los archivos cargados sin etiquetas de confidencialidad no sean visibles para las directivas de Protección contra la pérdida de datos (DLP) que se basan en etiquetas. Como resultado, esos archivos pueden moverse por el entorno con menos medidas de seguridad, lo que puede aumentar el riesgo de uso compartido o acceso inadecuados.

Por ejemplo, habilitar al menos una directiva de etiquetado automático en modo de cumplimiento para SharePoint y OneDrive ayuda a clasificar archivos confidenciales cuando los usuarios los crean o editan. La clasificación de etiquetado automático admite protecciones de bajada, como las directivas DLP, para que puedan responder en función de la confidencialidad del archivo y ayudar a reducir el riesgo de exposición a los datos.

Acción de corrección

Cifrado de mensajes de Microsoft Purview está configurado con acceso de cliente simplificado

La configuración SimplifiedClientAccessEnabled controla si el botón Proteger aparece en Outlook en la Web. Este botón permite a los usuarios agregar rápidamente cifrado a sus correos electrónicos. Si la configuración no está activada, los usuarios no pueden usar el botón Proteger y deben encontrar otras formas de cifrar sus mensajes.

Para habilitar esta configuración, AzureRMSLicensingEnabled también debe estar activo. Azure Rights Management servicio de cifrado proporciona la tecnología de cifrado necesaria para que el botón Proteger funcione.

Acción de corrección

Las plantillas de personalización de marca están configuradas para Cifrado de mensajes de Microsoft Purview

Cuando una organización no usa plantillas de personalización de marca personalizadas, las personas ajenas a la empresa que reciben mensajes cifrados podrían ver un portal genérico de marca de Microsoft. Dado que el portal no refleja la identidad de la organización, los destinatarios pueden estar menos seguros de de dónde procede el mensaje.

Las plantillas de personalización de marca permiten a las organizaciones agregar su logotipo, colores, declinaciones de responsabilidades y detalles de contacto al portal. Estos elementos ayudan al portal a parecer familiar para los destinatarios y pueden admitir la confianza cuando ven e interactúan con mensajes cifrados.

Acción de corrección

Email directivas de retención están configuradas

Sin directivas de retención, los correos electrónicos persisten indefinidamente en los buzones de usuario, lo que crea responsabilidad por infracciones normativas (RGPD, HIPAA, SOX), aumento de los costos de exhibición de documentos electrónicos y gastos de almacenamiento no controlados.

Las directivas de retención administran automáticamente el ciclo de vida del correo electrónico mediante la eliminación o conservación de mensajes en función de los requisitos de cumplimiento, la reducción del riesgo legal y la garantía de que se cumplen las obligaciones de mantenimiento de registros normativos.

Acción de corrección

Las reglas de flujo de correo aplican protección de derechos a los mensajes confidenciales

Sin reglas de flujo de correo, las organizaciones dependen de los usuarios para aplicar manualmente etiquetas de confidencialidad o cifrar mensajes. Este enfoque puede dar lugar a incoherencias y errores, lo que puede dar lugar a que se envíen correos electrónicos confidenciales sin la protección adecuada y aumentar el riesgo de acceso no autorizado y filtración de datos.

Las reglas de flujo de correo ayudan a agregar automáticamente cifrado y establecer permisos para los correos electrónicos que cumplen ciertas condiciones, como:

  • Correo enviado a personas ajenas a la empresa
  • Correo que contiene información confidencial
  • Correo que debe seguir los requisitos basados en departamento
    Esto garantiza que los mensajes importantes estén protegidos sin depender de los usuarios para protegerlos manualmente.

Acción de corrección

Las directivas de prevención de pérdida de datos están habilitadas

Una directiva DLP puede ayudarle a identificar, supervisar y proteger automáticamente la información confidencial en aplicaciones empresariales & dispositivos y datos de tráfico web insertados. Las directivas DLP actúan sobre una variedad de ubicaciones, métodos de transmisión de datos y tipos de actividades de usuario. Al proteger la información confidencial, las directivas DLP pueden ayudarle a evitar fugas de datos, garantizar el cumplimiento de las regulaciones y mantener la confidencialidad de los datos de su organización.

Acción de corrección

Las directivas de prevención de pérdida de datos de punto de conexión están configuradas

Las directivas de prevención de pérdida de datos de punto de conexión ayudan a protegerse frente a la salida de información confidencial de los dispositivos de usuario a varias ubicaciones, como:

  • Unidades USB
  • Impresoras
  • Aplicaciones externas
  • Medios extraíbles
  • Aplicación Bluetooth
  • Recuperación de Windows
  • Copia en la cli
  • Pegar en doamins no permitidos

Se integra con Microsoft Defender para punto de conexión para:

  • Supervisión de actividades de control de datos
  • Evitar la filtración de datos no autorizados en tiempo real

Acción de corrección

Adaptive Protection está habilitado en las directivas de prevención de pérdida de datos

Con Adaptive Protection, las organizaciones pueden aplicar los controles adecuados a los usuarios adecuados en función del riesgo de su comportamiento.

Adaptive Protection en Microsoft Purview integra Administración de riesgos internos de Microsoft Purview aprendizaje automático con Prevención de pérdida de datos de Microsoft Purview (DLP). Cuando el riesgo interno identifica a un usuario que participa en un comportamiento de riesgo, se le asigna dinámicamente a un nivel de riesgo interno. A continuación, Adaptive Protection puede crear automáticamente una directiva DLP para ayudar a proteger la organización contra el comportamiento de riesgo asociado a ese nivel de riesgo interno. A medida que cambian los niveles de riesgo internos de los usuarios en la administración de riesgos internos, las directivas DLP aplicadas a los usuarios pueden ajustarse.

Acción de corrección

La prevención de pérdida de datos del explorador está habilitada para aplicaciones de inteligencia artificial a través de Edge para empresas

la supervisión y protección de Prevención de pérdida de datos de Microsoft Purview (DLP) se integran directamente en el explorador Microsoft Edge para negocios. No es necesario incorporar el dispositivo a Microsoft Purview. Esta integración le ayuda a evitar que los usuarios compartan información confidencial hacia y desde aplicaciones en la nube mediante Edge para empresas. Con el aumento de las aplicaciones de inteligencia artificial, esta funcionalidad es fundamental para ayudar a evitar que los usuarios compartan información confidencial con aplicaciones de inteligencia artificial no administradas a través de Edge para empresas, lo que podría provocar pérdidas de datos y riesgos de cumplimiento. Al habilitar dlp de explorador para aplicaciones de inteligencia artificial a través de Edge para empresas, puede ampliar las directivas de protección de datos para cubrir las interacciones basadas en web, lo que garantiza que los datos confidenciales se protejan incluso cuando se accede a ellos a través del explorador.

Acción de corrección

Las directivas de Administración de riesgos internos están habilitadas para el uso de inteligencia artificial de riesgo

Hasta que las organizaciones no usen Insider Risk Management con Adaptive Protection, podrían no detectar amenazas internas, comportamientos de riesgo como el uso indebido del acceso legítimo a los datos filtrados o escenarios de inteligencia artificial no seguros en los que los usuarios exponen datos confidenciales a modelos de lenguaje grandes o servicios de inteligencia artificial en la nube no autorizados.

Insider Risk Management funciona con la prevención de pérdida de datos (DLP) para combinar las señales de comportamiento del usuario con reglas basadas en contenido, lo que ayuda a los equipos a detectar riesgos de forma temprana y a responder antes de exponer o poner en peligro los datos confidenciales.

Acción de corrección

La supervisión del cumplimiento de comunicaciones está configurada para Microsoft Copilot

Hasta que las organizaciones configuren directivas de cumplimiento de comunicaciones para capturar las interacciones de Copilot, no podrán ver cuándo los usuarios exponen datos confidenciales a los servicios de inteligencia artificial. Tampoco pueden saber cómo las personas usan Copilot con información confidencial o detectan posibles infracciones de la política. Como resultado, los usuarios pueden compartir sin saberlo registros de clientes, datos financieros, código fuente o secretos comerciales con servicios de inteligencia artificial.

Las directivas de cumplimiento de comunicaciones que se centran en las interacciones de Copilot proporcionan a las organizaciones una clara supervisión del uso de la inteligencia artificial al tiempo que respetan los controles de privacidad. Estas directivas muestran cómo los usuarios trabajan con datos confidenciales en las características de inteligencia artificial y ayudan a garantizar que los equipos siguen los requisitos de cumplimiento y gobernanza de datos.

Acción de corrección

La supervisión del cumplimiento de comunicaciones está configurada para las herramientas de inteligencia artificial empresarial

Las directivas de recopilación proporcionan la capa de ingesta de datos que admite la supervisión de la actividad de la aplicación de inteligencia artificial empresarial. Cuando se aplican estas directivas, el cumplimiento de comunicaciones puede recopilar señales de las interacciones de aplicaciones de inteligencia artificial y ayudar a las organizaciones a comprender dónde pueden existir los riesgos de protección de datos en los flujos de trabajo habilitados para IA. Esta visibilidad ayuda a los equipos a aplicar controles de protección de datos de forma más coherente a medida que el uso de IA se expande más allá de Microsoft 365 Copilot.

En la práctica, los usuarios pueden compartir accidentalmente datos confidenciales con aplicaciones de inteligencia artificial personalizadas, flujos de Power Automate, automatizaciones de AI Builder o servicios no Microsoft AI que no están aprobados para controlar la información confidencial. Sin embargo, las directivas de cumplimiento de comunicaciones que cubren las interacciones de aplicaciones de inteligencia artificial empresarial pueden ayudar a exponer la posible exposición de datos a estos servicios y ampliar las prácticas de protección de datos a soluciones de inteligencia artificial personalizadas y de terceros.

Acción de corrección

Contenido relacionado

  • Last updated on