Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Como parte de la guía de adopción de Confianza cero, en este artículo se describe el escenario empresarial para proteger los recursos de datos más críticos. Este escenario se centra en cómo identificar y proteger los datos empresariales confidenciales.
La transformación digital ha llevado a las organizaciones a tratar con el aumento de volúmenes de datos. Sin embargo, los colaboradores externos, como asociados, proveedores y clientes, acceden a gran parte de esos datos compartidos fuera de la red corporativa. Este cambio ha creado un panorama de datos complejo, especialmente cuando se considera la proliferación de recursos híbridos y migraciones a la nube, crecientes ciberamenazas, seguridad en evolución y cambios en los requisitos normativos en torno a cómo se rigen y protegen los datos.
Con los modelos de trabajo híbrido, los recursos corporativos y los datos están en movimiento. Su organización debe controlar dónde se almacenan y transfieren los datos en dispositivos, dentro de las aplicaciones y con asociados. Sin embargo, para la seguridad moderna, ya no puede confiar en los controles tradicionales de protección de red.
Protección de datos tradicional con controles de red | Protección de datos moderna con confianza cero |
---|---|
En las redes tradicionales, el control perimetral de red rige el acceso a datos críticos, no la confidencialidad de los datos. Normalmente, se aplican etiquetas a datos confidenciales manualmente, lo que puede dar lugar a una clasificación de datos incoherente. | Un modelo de confianza cero aplica una autenticación segura a las solicitudes de acceso a datos, mediante directivas para comprobar cada identidad y garantizar que las identidades tengan acceso a aplicaciones y datos. Un modelo de confianza cero implica identificar datos confidenciales y aplicar la clasificación y la protección, incluida la prevención de pérdida de datos (DLP). Confianza cero incluye defensas que protegen los datos incluso después de haber dejado el entorno controlado. También incluye protección adaptable para reducir el riesgo interno. Además de estas protecciones, Confianza cero incluye supervisión continua y protección contra amenazas para evitar y limitar el ámbito de una vulneración de datos. |
En el diagrama siguiente se muestra el cambio de la protección tradicional con controles de red a la izquierda (desde ubicaciones conocidas limitadas) a la protección moderna con Confianza cero a la derecha (a ubicaciones desconocidas) en las que se aplica la protección independientemente de dónde se encuentren los usuarios y los dispositivos.
Las instrucciones de este artículo le guían por cómo empezar a trabajar y avanzar en su estrategia para identificar y proteger los datos confidenciales. Si su organización está sujeta a normativas que protegen los datos, use el artículo Cumplir los requisitos normativos y de cumplimiento de esta serie para obtener información sobre cómo aplicar lo que aprende en este artículo para proteger los datos regulados.
Cómo piensan los líderes empresariales en la protección de datos confidenciales
Antes de iniciar cualquier trabajo técnico, es importante comprender las distintas motivaciones para invertir en la protección de los datos empresariales, ya que ayudan a informar de la estrategia, los objetivos y las medidas para el éxito.
En la tabla siguiente se proporcionan razones por las que los líderes empresariales de una organización deben invertir en la protección de datos basada en confianza cero.
Rol | ¿Por qué es importante proteger los datos confidenciales? |
---|---|
Director Ejecutivo (CEO) | La propiedad intelectual es la base de los modelos empresariales de muchas organizaciones. Evitar filtraciones al tiempo que permite una colaboración sin problemas con las partes autorizadas es esencial al negocio. En las organizaciones que tratan la información de identificación personal (PII) de los clientes, el riesgo de fuga puede dar lugar no solo a sanciones financieras, sino también a la reputación de la empresa. Por último, las conversaciones empresariales confidenciales (como fusiones y adquisiciones, reestructuración empresarial, estrategia y asuntos legales) pueden dañar gravemente una organización si se filtra. |
Director de Marketing (CMO) | El planeamiento del producto, la mensajería, la personalización de marca y los próximos anuncios de productos deben publicarse en el momento adecuado y de la manera correcta de maximizar el impacto. Las filtraciones inoportunas pueden reducir los retornos de inversión y alertar a los competidores sobre los planes futuros. |
Director de información (CIO) | Aunque los enfoques tradicionales para proteger la información dependían de limitar el acceso a ella, proteger adecuadamente los datos confidenciales mediante el uso de tecnologías modernas permite una colaboración más flexible con terceros externos, según sea necesario, sin aumentar el riesgo. Los departamentos de TI pueden cumplir su mandato para garantizar la productividad al tiempo que minimizan el riesgo. |
Director de seguridad de la información (CISO) | Como función principal de este rol, proteger los datos empresariales confidenciales es una parte integral de la seguridad de la información. Este resultado afecta directamente a la estrategia de ciberseguridad más grande de la organización. La tecnología y las herramientas avanzadas de seguridad proporcionan la capacidad de supervisar los datos y evitar fugas y pérdidas. |
Director de Tecnología (CTO) | La propiedad intelectual puede diferenciar un negocio exitoso de uno con errores. Proteger estos datos de uso compartido excesivo, acceso no autorizado y robo es clave para garantizar el crecimiento futuro de la organización. |
Director de operaciones (COO) | Los datos, procedimientos y planes de producción de operaciones son una ventaja estratégica clave para una organización. Estos planes también pueden revelar vulnerabilidades estratégicas que los competidores pueden aprovechar. La protección de estos datos contra el robo, el uso compartido excesivo y el uso indebido es fundamental para el éxito continuo de la empresa. |
Director financiero (CFO) | Las empresas cotizadas tienen el deber de proteger datos financieros específicos antes de que se haga público. Otros datos financieros pueden revelar planes y puntos fuertes o débiles estratégicos. Estos datos deben protegerse para garantizar el cumplimiento de las normativas existentes y mantener ventajas estratégicas. |
Director de cumplimiento (CCO) | Las regulaciones en todo el mundo exigen la protección de piI de clientes o empleados y otros datos confidenciales. El CCO es responsable de garantizar que la organización cumpla estas regulaciones. Una estrategia integral de protección de la información es clave para lograr ese objetivo. |
Director de privacidad (CPO) | Normalmente, un CPO es responsable de garantizar la protección de los datos personales. En las organizaciones que se ocupan de grandes cantidades de datos personales de clientes y organizaciones que operan en regiones con estrictas regulaciones de privacidad, la falta de protección de datos confidenciales puede dar lugar a multas elevadas. Estas organizaciones también corren el riesgo de perder la confianza del cliente como consecuencia. Los CPO también deben impedir que los datos personales se usen incorrectamente de maneras que infrinjan los acuerdos de cliente o las leyes, lo que puede incluir el uso compartido incorrecto de los datos dentro de la organización y con asociados. |
El ciclo de adopción para proteger los datos empresariales críticos
En este artículo se explica este escenario empresarial utilizando las mismas fases del ciclo de vida del Cloud Adoption Framework para Azure: Definir estrategia, Planificar, Preparar, Adoptar y Gobernar y gestionar, pero adaptadas para Zero Trust.
La tabla siguiente es una versión accesible de la ilustración.
Definición de la estrategia | Planificación | Listo | Adoptar | Gobernanza y administración |
---|---|---|---|---|
Resultados Alineación organizativa Objetivos estratégicos |
Equipo de partes interesadas Planes técnicos Preparación de aptitudes |
Evaluar Prueba Piloto |
Implementación incremental en todo el patrimonio digital | Seguimiento y medida Supervisión y detección Iterar para alcanzar la madurez |
Obtenga más información sobre el ciclo de adopción de Confianza cero en la introducción al marco de adopción de Confianza cero.
Definición de la fase de estrategia
La fase Definir estrategia es fundamental para definir y formalizar nuestros esfuerzos: formaliza la "Por qué?" de este escenario. En esta fase, comprende el escenario a través de perspectivas empresariales, de TI, operativas y estratégicas. Defina los resultados con los que medir el éxito en el escenario, entendiendo que la seguridad es un recorrido incremental e iterativo.
En este artículo se sugieren motivaciones y resultados relevantes para muchas organizaciones. Use estas sugerencias para perfeccionar la estrategia de su organización en función de sus necesidades únicas.
Motivaciones de protección de datos
Las motivaciones para identificar y proteger los datos empresariales confidenciales son sencillas, pero diferentes partes de su organización tienen diferentes incentivos para realizar este trabajo. En la tabla siguiente se resumen algunas de estas motivaciones.
Ámbito | Motivaciones |
---|---|
Necesidades empresariales | Para proteger los datos empresariales confidenciales, especialmente cuando se comparten con asociados. |
Necesidades de TI | Un esquema de clasificación de datos estandarizado que se puede aplicar de forma coherente en todo el patrimonio digital. |
Necesidades operativas | Implemente la protección de datos de forma coherente y estándar mediante la automatización siempre que sea posible. |
Necesidades estratégicas | Reduzca el daño que puede causar una persona interna (intencionadamente o involuntariamente) o un actor malintencionado que logra acceso al entorno. |
Tenga en cuenta que cumplir los requisitos normativos podría ser la motivación principal para algunas organizaciones. Si esto es cierto para usted, continúe y agréguelo a la estrategia de su organización y use este escenario empresarial junto con el artículo Cumplir los requisitos normativos y de cumplimiento de esta serie.
Resultados de la protección de datos
Aplicar el objetivo general de Confianza Cero de "nunca confiar, verificar siempre" a sus datos agrega una capa significativa de protección a su entorno. Es importante tener claro los resultados que espera lograr para que pueda alcanzar el equilibrio adecuado de protección y facilidad de uso para todos los equipos implicados, incluidos los usuarios. En la tabla siguiente se proporcionan objetivos y resultados sugeridos.
Objetivo | Resultado |
---|---|
Productividad | Los usuarios pueden colaborar fácilmente en la creación de datos empresariales o realizar sus funciones de trabajo mediante datos empresariales. |
Acceso seguro | El acceso a datos y aplicaciones está protegido en el nivel adecuado. Los datos altamente confidenciales requieren medidas de seguridad más estrictas, pero estas protecciones no deben cargar a los usuarios que se espera que contribuyan o usen estos datos. Los datos empresariales confidenciales se limitan a los que necesitan usarlos y ha implementado controles para limitar o desalentar a los usuarios de compartir o replicar estos datos fuera del grupo de uso previsto. |
Soporte a usuarios finales | Los controles para proteger los datos se han integrado en la arquitectura general de Confianza cero. Estos controles incluyen el inicio de sesión único, la autenticación multifactor (MFA) y el acceso condicional de Microsoft Entra, de modo que los usuarios no estén continuamente desafiados con solicitudes de autenticación y autorización. Los usuarios reciben aprendizaje sobre cómo clasificar y compartir datos de forma segura. Los usuarios están habilitados para tomar el control de sus datos importantes, lo que les permite revocar el acceso en caso de necesidad o realizar un seguimiento del uso de la información después de que se haya compartido. Las directivas de protección de datos se automatizan siempre que sea posible para reducir la carga de los usuarios. |
Aumento de la seguridad | La adición de la protección de datos en todo el patrimonio digital protege estos activos empresariales críticos y ayuda a reducir el posible daño de una vulneración de datos. Las protecciones de datos incluyen medidas de seguridad para protegerse frente a infracciones de datos intencionadas, involuntarias o accidentales por parte de los empleados actuales o antiguos asociados. |
Empoderar TI | El equipo de TI está dotado con un entendimiento claro de lo que califica como datos empresariales confidenciales. Tienen un esquema bien fundamentado con el que alinearse y las herramientas y capacidades tecnológicas para implementar los planes y supervisar el estado y el éxito. |
Fase del plan
Los planes de adopción convierten los principios de la estrategia de confianza cero en un plan accionable. Los equipos colectivos pueden usar el plan de adopción para guiar sus esfuerzos técnicos y alinearlos con la estrategia empresarial de su organización.
Las motivaciones y los resultados que defina, junto con los líderes empresariales y los equipos, respaldan la sección "¿Por qué?" para su organización y convertirse en la Estrella Polar de su estrategia. A continuación, viene la planificación técnica para lograr los objetivos.
La adopción técnica para identificar y proteger los datos empresariales confidenciales implica:
- Detección e identificación de datos confidenciales en su patrimonio digital.
- Seleccionar un esquema de clasificación y protección, incluido DLP.
- Implementar el esquema en todo el patrimonio digital, empezando por los datos de Microsoft 365 y ampliando la protección a todas las aplicaciones SaaS, la infraestructura en la nube y los datos en repositorios locales. Las aplicaciones SaaS son aplicaciones que están fuera de la suscripción de Microsoft 365, pero que están integradas con el inquilino de Microsoft Entra.
La protección de los datos empresariales confidenciales también implica algunas actividades relacionadas, entre las que se incluyen:
- Cifrado de la comunicación de red.
- Administrar el acceso externo a Teams y proyectos en los que se comparten datos confidenciales.
- Configuración y uso de equipos dedicados y aislados en Microsoft Teams para proyectos que incluyen datos empresariales altamente confidenciales, que deben ser poco frecuentes. La mayoría de las organizaciones no requieren este nivel de seguridad y aislamiento de datos.
Muchas organizaciones pueden adoptar un enfoque de cuatro fases para estos objetivos de implementación, resumidos en la tabla siguiente.
Fase 1 | Fase 2 | Fase 3 | Fase 4 |
---|---|---|---|
Detección e identificación de datos empresariales confidenciales Detección de aplicaciones SaaS no autorizadas Cifrado de la comunicación de red |
Desarrollo y prueba de un esquema de clasificación Aplicar etiquetas a los datos en Microsoft 365 Introducción de directivas DLP básicas Configurar Microsoft Teams seguro para compartir datos interna y externamente con asociados comerciales |
Agregar protección a etiquetas específicas (cifrado y otras configuraciones de protección) Introducción del etiquetado automático y recomendado en aplicaciones y servicios de Office Extensión de directivas DLP en los servicios de Microsoft 365 Implementación de directivas clave de administración de riesgos internos |
Extensión de etiquetas y protección a los datos en aplicaciones SaaS, incluido DLP Extensión de la clasificación automatizada a todos los servicios Extensión de etiquetas y protección a los datos en reposo en repositorios locales Protección de los datos de la organización en la infraestructura en la nube |
Si este enfoque preconfigurado funciona para su organización, puede usar:
Esta presentación de diapositivas de PowerPoint descargable sirve para presentar y supervisar el progreso a través de estas etapas y objetivos comerciales para los líderes empresariales y otras partes interesadas. Aquí está la diapositiva para este escenario empresarial.
Este libro de Excel se utiliza para asignar responsables y hacer un seguimiento del progreso de estas fases, objetivos y sus tareas. Esta es la hoja de cálculo de este escenario empresarial.
Descripción de la organización
Este enfoque preconfigurado recomendado para la implementación técnica puede ayudar a dar contexto al ejercicio de comprensión de su organización. Las necesidades de cada organización para proteger los datos empresariales confidenciales y la composición y el volumen de datos son diferentes.
Un paso fundamental en el ciclo de vida de adopción de Zero Trust para cada escenario empresarial incluye hacer un inventario. Para este escenario empresarial, realizará un inventario de los datos de la organización.
Se aplican las siguientes acciones:
Inventario de los datos.
En primer lugar, tenga en cuenta dónde residen todos los datos, lo que puede ser tan sencillo como enumerar las aplicaciones y repositorios con los datos. Después de implementar tecnologías como el etiquetado de confidencialidad, puede detectar otras ubicaciones en las que se almacenan los datos confidenciales. Estas ubicaciones a veces se conocen como TI oscura o gris.
También resulta útil estimar la cantidad de datos que planea inventariar (el volumen). A lo largo del proceso técnico recomendado, se usa el conjunto de herramientas para detectar e identificar datos empresariales. Aprenderá qué tipos de datos tiene y dónde residen estos datos en servicios y aplicaciones en la nube, lo que le permite correlacionar la confidencialidad de los datos con el nivel de exposición de las ubicaciones en las que está presente.
Por ejemplo, Microsoft Defender for Cloud Apps le ayuda a identificar las aplicaciones SaaS que es posible que no haya tenido en cuenta. El trabajo de detectar dónde reside la información confidencial comienza en la fase 1 de la implementación técnica y se aplica en cascada a través de las cuatro fases.
Documente los objetivos y planee la adopción incremental en función de las prioridades.
Las cuatro fases recomendadas representan un plan de adopción incremental. Ajuste este plan en función de las prioridades de su organización y la composición de su patrimonio digital. Asegúrese de tener en cuenta los hitos o obligaciones de la escala de tiempo para completar este trabajo.
Realice un inventario de los conjuntos de datos o proyectos dedicados que requieran protección compartimentada (por ejemplo, proyectos provisionales o especiales).
No todas las organizaciones requieren protección compartimentada.
Planificación y alineación de la organización
El trabajo técnico de proteger los datos empresariales confidenciales cruza varias áreas y roles superpuestos:
- Datos
- Aplicaciones
- Puntos de conexión
- Red
- Identidades
En esta tabla se resumen los roles que se recomiendan al crear un programa de patrocinio y una jerarquía de administración de proyectos para determinar e impulsar los resultados.
Líderes del programa y propietarios técnicos | Responsabilidad |
---|---|
CISO, CIO o Director de seguridad de datos | Patrocinio ejecutivo. |
Jefe de programa de Data Security | Impulsar los resultados y la colaboración entre equipos. |
Arquitecto de seguridad | Asesoramiento sobre la configuración y los estándares, especialmente en torno al cifrado, la administración de claves y otras tecnologías fundamentales |
Responsables de cumplimiento normativo | Asignar los requisitos y riesgos de cumplimiento a controles específicos y tecnologías disponibles |
Administradores de Microsoft 365 | Implementar cambios en el entorno de Microsoft 365 para OneDrive y Carpetas Protegidas |
Propietarios de la aplicación | Identificar recursos empresariales críticos y garantizar la compatibilidad de las aplicaciones con datos etiquetados, protegidos y cifrados |
Administrador de seguridad de datos | Implementación de cambios de configuración |
TI Administración | Actualizar documentos de directivas y estándares |
Gobernanza de seguridad o administrador de TI | Supervisar para garantizar el cumplimiento |
Equipo de educación de usuarios | Asegúrese de que las instrucciones para los usuarios reflejen las actualizaciones de directivas y proporcionen información sobre la aceptación del usuario de la taxonomía de etiquetado. |
La presentación de recursos de PowerPoint para este contenido de adopción incluye la siguiente diapositiva con una vista de partes interesadas que puede personalizar para su propia organización.
Planeación técnica y preparación de aptitudes
Antes de embarcarse en el trabajo técnico, Microsoft recomienda conocer las funcionalidades, cómo funcionan conjuntamente y los procedimientos recomendados para abordar este trabajo. En la tabla siguiente se incluyen varios recursos para ayudar a los equipos a obtener aptitudes.
Recurso | Descripción |
---|---|
Guía de aceleración de la implementación: protección de la información y prevención de pérdida de datos | Obtenga información sobre los procedimientos recomendados de los equipos de Microsoft Customer Engagement. Esta guía lleva a las organizaciones a la madurez a través de un modelo de gatear, caminar, correr, que se alinea con las fases recomendadas en esta orientación de adopción. |
Lista de comprobación de RaMP: Protección de datos ![]() |
Otro recurso para enumerar y priorizar el trabajo recomendado, incluidas las partes interesadas. |
Introducción a la prevención de pérdida de datos de Microsoft Purview (principiante) | En este recurso, obtendrá información sobre DLP en Microsoft Purview Information Protection. |
Icono de módulo de learn para la introducción a la protección de la información y la administración del ciclo de vida de datos en el módulo Microsoft Learn de Microsoft Purview. (Intermedio) |
Obtenga información sobre cómo las soluciones de administración del ciclo de vida de datos y protección de la información de Microsoft 365 le ayudan a proteger y controlar los datos, a lo largo de su ciclo de vida, dondequiera que viva y viaje. |
Icono de certificaciones para la certificación Microsoft Certified: Information Protection Administrator Associate |
Rutas de aprendizaje recomendadas para convertirse en asociado de administrador de Protección de información certificada. |
Fase 1
Los objetivos de implementación de la fase 1 incluyen el proceso de realizar un inventario de los datos. Esto incluye la identificación de aplicaciones SaaS no autorizadas que su organización usa para almacenar, procesar y compartir datos. Puede incluir estas aplicaciones no autorizadas en el proceso de administración de aplicaciones y aplicar protecciones, o bien evitar que los datos empresariales se usen con estas aplicaciones.
Detección e identificación de datos empresariales confidenciales
A partir de Microsoft 365, algunas de las herramientas principales que se usan para identificar información confidencial que debe protegerse son tipos de información confidencial (SIT) y otros clasificadores, incluidos clasificadores y huellas digitales entrenables. Estos identificadores ayudan a encontrar tipos de datos confidenciales comunes, como números de tarjeta de crédito o números de identificación gubernamentales, e identificar documentos confidenciales y correos electrónicos mediante el aprendizaje automático y otros métodos. También puede crear SIT personalizados para identificar los datos que son exclusivos de su entorno, incluido el uso de coincidencias exactas de datos para diferenciar los datos pertenecientes a personas específicas(por ejemplo, PII del cliente) que necesitan protección especial.
Cuando los datos son agregados o modificados en el entorno de Microsoft 365, se analizan automáticamente para detectar contenido confidencial mediante cualquier SIT que están actualmente definidos en el arrendatario.
Puede usar el explorador de contenido en el portal de Microsoft Purview para ver las apariciones de datos confidenciales detectados en todo el entorno. Los resultados le permiten saber si necesita personalizar o ajustar los SIT de su entorno para obtener mayor precisión. Los resultados también proporcionan una primera imagen de las existencias de datos y su estado de protección de la información. Por ejemplo, si recibe demasiados falsos positivos para un SIT o no encuentra datos conocidos, puede crear copias personalizadas de los SIT estándar y modificarlas para que funcionen mejor para su entorno. También puede refinarlos mediante la coincidencia exacta de datos.
Además, puede usar clasificadores entrenables integrados para identificar documentos que pertenecen a determinadas categorías, como contratos o documentos de carga. Si tiene clases específicas de documentos que sabe que tiene que identificar y proteger potencialmente, puede usar ejemplos en el portal de Microsoft Purview para entrenar sus propios clasificadores. Estos ejemplos se pueden usar para detectar la presencia de otros documentos con patrones similares de contenido.
Además del explorador de contenido, las organizaciones tienen acceso a la funcionalidad búsqueda de contenido para generar búsquedas personalizadas de datos en el entorno, incluido el uso de criterios de búsqueda avanzados y filtros personalizados.
En la tabla siguiente se enumeran los recursos para detectar datos empresariales confidenciales.
Recurso | Descripción |
---|---|
Implementación de una solución de protección de información con Microsoft 365 Purview | Presenta un marco, un proceso y funcionalidades que puede usar para lograr sus objetivos empresariales específicos para la protección de la información. |
Tipos de información confidencial | Comience aquí para empezar a trabajar con tipos de información confidencial. Esta biblioteca incluye muchos artículos para experimentar con y optimizar los SIT. |
Explorador de contenido | Examine el entorno de Microsoft 365 para ver la aparición de SIT y vea los resultados en la herramienta del explorador de contenido. |
Clasificadores que se pueden entrenar | Los clasificadores entrenables permiten traer muestras del tipo de contenido que desea detectar (propagación) y, a continuación, permitir que el motor de aprendizaje automático aprenda a descubrir más de estos datos. Usted participa en el entrenamiento del clasificador validando los resultados hasta que se mejore la precisión. |
Coincidencia exacta de datos | La coincidencia exacta de datos le permite encontrar datos confidenciales que coincidan con los registros existentes(por ejemplo, la PII de los clientes tal como se registra en las aplicaciones de línea de negocio), lo que le permite dirigirse precisamente a estos datos con directivas de protección de información, lo que prácticamente elimina falsos positivos. |
Búsqueda de contenido | Use la búsqueda de contenido para búsquedas avanzadas, incluidos los filtros personalizados. Puede usar palabras clave y operadores de búsqueda booleanos. También puede crear consultas de búsqueda mediante el lenguaje de consulta de palabras clave (KQL). |
Lista de comprobación de RaMP: Protección de datos: Conocer los datos | Lista de verificación de los pasos de implementación con responsables de pasos y enlaces a la documentación. |
Detección de aplicaciones SaaS no autorizadas
Es probable que su organización se suscriba a muchas aplicaciones SaaS, como Salesforce o aplicaciones específicas de su sector. Las aplicaciones SaaS que usted conoce y gestiona se consideran aprobadas. En fases posteriores, amplía el esquema de protección de datos y las directivas DLP que crea con Microsoft 365 para proteger los datos de estas aplicaciones SaaS autorizadas.
Sin embargo, en esta fase es importante detectar aplicaciones SaaS no autorizadas que usa su organización. Esto le permite supervisar el tráfico hacia y desde estas aplicaciones para determinar si los datos empresariales de la organización se comparten con estas aplicaciones. Si es así, puede incorporar estas aplicaciones a la administración y aplicar protección a estos datos, empezando por habilitar el inicio de sesión único con el identificador de Microsoft Entra.
La herramienta para detectar aplicaciones SaaS que usa su organización es Microsoft Defender for Cloud Apps.
Recurso | Descripción |
---|---|
Integrar aplicaciones SaaS para Confianza Cero con Microsoft 365 | Esta guía de solución le guía por el proceso de protección de aplicaciones SaaS con principios de confianza cero. El primer paso de esta solución incluye agregar las aplicaciones SaaS al identificador de Microsoft Entra y a los ámbitos de las directivas. Debe ser una prioridad. |
Evaluación de Microsoft Defender for Cloud Apps | Esta guía le ayuda a poner microsoft Defender for Cloud Apps en funcionamiento lo más rápido posible. Puede detectar aplicaciones SaaS no autorizadas tan pronto como las fases de prueba y piloto. |
Cifrado de la comunicación de red
Este objetivo es más de una comprobación para asegurarse de que el tráfico de red está cifrado. Póngase en contacto con el equipo de redes para asegurarse de que se cumplen estas recomendaciones.
Recurso | Descripción |
---|---|
Protección de redes con cero Trust-Objective 3: el tráfico interno del usuario a la aplicación está cifrado | Asegúrese de que el tráfico interno de usuario a aplicación está cifrado:
|
Protección de redes con cero Trust-Objective 6: todo el tráfico está cifrado | Cifre el tráfico de back-end de la aplicación entre redes virtuales. Cifre el tráfico entre el entorno local y la nube. |
Conectividad hacia la nube: el punto de vista de un arquitecto | En el caso de los arquitectos de red, este artículo ayuda a poner en perspectiva los conceptos de red recomendados. Ed Fisher, Arquitecto de seguridad y cumplimiento en Microsoft, describe cómo optimizar la red para la conectividad en la nube evitando los problemas más comunes. |
Fase 2
Después de haber realizado el inventario y descubierto dónde residen los datos confidenciales, vaya a la fase 2 en la que desarrolle un esquema de clasificación y empiece a probarlo con los datos de la organización. Esta fase también incluye la identificación de dónde los datos o los proyectos requieren una mayor protección.
Al desarrollar un esquema de clasificación, resulta tentador crear muchas categorías y niveles. Sin embargo, las organizaciones que tienen más éxito limitan el número de niveles de clasificación a un número pequeño, como 3-5. Menos es mejor.
Antes de traducir el esquema de clasificación de la organización a etiquetas y agregar protección a las etiquetas, resulta útil pensar en el panorama general. Es mejor ser lo más uniforme posible al aplicar cualquier tipo de protección en toda una organización y especialmente un patrimonio digital grande. Esto también se aplica a los datos.
Por ejemplo, muchas organizaciones están bien atendidas por un modelo de protección de tres niveles entre datos, dispositivos e identidades. En este modelo, la mayoría de los datos se pueden proteger en un nivel de línea base. Una cantidad menor de datos puede requerir una mayor protección. Algunas organizaciones tienen una cantidad muy pequeña de datos que requiere protección en niveles mucho más altos. Algunos ejemplos son los datos o datos secretos comerciales que están altamente regulados debido a la naturaleza extremadamente confidencial de los datos o proyectos.
Si funcionan tres niveles de protección para su organización, esto ayuda a simplificar cómo traducir esto a etiquetas y la protección que aplica a las etiquetas.
En esta fase, desarrolle las etiquetas de confidencialidad y empiece a usarlas en los datos de Microsoft 365. No se preocupe por agregar protección a las etiquetas aún, lo que se hace preferiblemente en una fase posterior una vez que los usuarios estén familiarizados con las etiquetas y hayan estado aplicando estas sin preocuparse por sus restricciones durante algún tiempo. La adición de protección a etiquetas se incluye en la siguiente fase. Sin embargo, también se recomienda empezar a trabajar con directivas DLP básicas. Por último, en esta fase se aplica protección específica a proyectos o conjuntos de datos que requieren protección altamente confidencial.
Desarrollo y prueba de un esquema de clasificación
Recurso | Descripción |
---|---|
Etiquetas de confidencialidad | Obtenga información sobre las etiquetas de confidencialidad y empiece a trabajar con ellas. La consideración más crítica de esta fase es asegurarse de que las etiquetas reflejen las necesidades de la empresa y el idioma que usan los usuarios. Si los nombres de las etiquetas no resuenan intuitivamente con los usuarios o sus significados no se asignan de forma coherente a su uso previsto, la adopción del etiquetado puede verse obstaculizada y es probable que la precisión en la aplicación de etiquetas se vea afectada. |
Aplicar etiquetas a los datos en Microsoft 365
Recurso | Descripción |
---|---|
Habilitar etiquetas de confidencialidad para los archivos de Office en SharePoint y OneDrive | Habilite el etiquetado integrado para los archivos de Office compatibles en SharePoint y OneDrive para que los usuarios puedan aplicar las etiquetas de confidencialidad en Office para la web. |
Administrar etiquetas de confidencialidad en las aplicaciones de Office | A continuación, empiece a introducir etiquetas a los usuarios donde pueden ver y aplicarlas. Cuando haya publicado etiquetas de confidencialidad desde el portal de Microsoft Purview, empezarán a aparecer en aplicaciones de Office para que los usuarios clasifiquen y protejan los datos a medida que se crean o editan. |
Aplicar etiquetas a los grupos de Microsoft Teams y Microsoft 365 | Cuando estés listo, incluye Microsoft Teams y grupos de Microsoft 365 en el ámbito de la implementación de etiquetado. |
Introducción de directivas DLP básicas
Recurso | Descripción |
---|---|
Evitar la pérdida de datos | Empieza con las políticas DLP. Se recomienda empezar con directivas DLP "suaves", que proporcionan advertencias pero no bloquean acciones, o como máximo bloqueen acciones, permitiendo a los usuarios anular la directiva. Esto le permite medir el impacto de estas directivas sin dañar la productividad. Puede ajustar las directivas para que sean más estrictas a medida que obtenga confianza en su precisión y compatibilidad con las necesidades empresariales. |
Configuración de equipos seguros para compartir datos interna y externamente con asociados empresariales
Si ha identificado proyectos o datos que requieren protección altamente confidencial, estos recursos describen cómo configurarlo en Microsoft Teams. Si los datos se almacenan en SharePoint sin un equipo asociado, use las instrucciones de estos recursos para la configuración de SharePoint.
Recurso | Descripción |
---|---|
Configuración de equipos con protección de datos con un nivel de confidencialidad alto | Proporciona recomendaciones prescriptivas para proteger proyectos con datos altamente confidenciales, incluida la protección y administración del acceso de invitado (los asociados que podrían colaborar con usted en estos proyectos). |
Fase 3
En esta fase, seguirá implementando el esquema de clasificación de datos que ha refinado. Tú también aplicas las protecciones que planeaste.
Una vez que agregue protección a una etiqueta (como cifrado y administración de derechos):
- Todos los documentos que recientemente reciben la etiqueta incluyen la protección.
- Cualquier documento almacenado en SharePoint Online o OneDrive que recibió la etiqueta antes de agregar la protección tiene aplicada la protección cuando se abre o descarga el documento.
Los archivos en reposo en el servicio o que residen en el equipo de un usuario no reciben la protección que se agregó a la etiqueta AFTER estos archivos recibieron la etiqueta. En otras palabras, si el archivo se etiquetó anteriormente y, posteriormente, agrega protección a la etiqueta, la protección no se aplica a estos archivos.
Adición de protección a etiquetas
Recurso | Descripción |
---|---|
Más información sobre las etiquetas de confidencialidad | Consulte este artículo de muchas maneras de configurar etiquetas específicas para aplicar la protección. Se recomienda empezar con directivas básicas como "cifrar solo" los correos electrónicos y "todos los empleados – control total" para los documentos. Estas directivas proporcionan niveles de protección seguros al tiempo que proporcionan formas sencillas para los usuarios cuando encuentran situaciones en las que la introducción del cifrado provoca problemas de compatibilidad o conflictos con los requisitos empresariales. Puede reforzar incrementalmente las restricciones más adelante a medida que obtenga confianza y comprensión en la forma en que los usuarios necesitan consumir los datos confidenciales. |
Escenarios comunes de etiquetas de confidencialidad | Consulte esta lista de escenarios compatibles con las etiquetas de confidencialidad. |
Introducción del etiquetado automático en aplicaciones de Office
Recurso | Descripción |
---|---|
Aplicar una etiqueta de confidencialidad automáticamente al contenido | Asigne automáticamente una etiqueta a archivos y correos electrónicos cuando coincida con las condiciones que especifique. Se recomienda configurar inicialmente las etiquetas para proporcionar una recomendación de etiquetado interactiva a los usuarios. Una vez que confirme que se aceptan generalmente, configúrelos para aplicar automáticamente la etiqueta. |
Extensión de directivas DLP en Microsoft 365
Recurso | Descripción |
---|---|
Evitar la pérdida de datos | Siga usando estos pasos para aplicar DLP en el entorno de Microsoft 365, ampliando las directivas a más ubicaciones y servicios y ajustando las acciones de regla mediante la eliminación de excepciones innecesarias. |
Implementación de directivas básicas de administración de riesgos internos
Recurso | Descripción |
---|---|
Administración de riesgos internos | Introducción a las acciones recomendadas. Puede comenzar utilizando plantillas de políticas para empezar rápidamente, incluido el robo de datos por parte de los usuarios que salen. |
Fase 4
En esta fase, ampliará las protecciones que desarrolló en Microsoft 365 a los datos de las aplicaciones SaaS. También puede realizar la transición a la automatización de la mayor parte de la clasificación y gobernanza de datos posible.
Extensión de etiquetas y protección a los datos en aplicaciones SaaS, incluido DLP
Recurso | Descripción |
---|---|
Implementación de la protección de la información para aplicaciones SaaS | Con Microsoft Defender for Cloud Apps, amplía el esquema de clasificación que desarrolló con las funcionalidades de Microsoft 365 para proteger los datos de las aplicaciones SaaS. |
Extensión de la clasificación automatizada
Recurso | Descripción |
---|---|
Aplicar una etiqueta de confidencialidad automáticamente al contenido | Continúe con la implementación de los métodos automatizados para aplicar etiquetas a los datos. Ampliarlos a documentos en reposo en SharePoint, OneDrive y Teams, y a los correos electrónicos enviados o recibidos por los usuarios. |
Extensión de etiquetas y protección a los datos en repositorios locales
Recurso | Descripción |
---|---|
Escáner de Protección de Información de Microsoft 365 Purview | Examine los datos en repositorios locales, incluidos los recursos compartidos de archivos de Microsoft Windows y SharePoint Server. El analizador de protección de la información puede inspeccionar cualquier archivo que Windows pueda indexar. Si ha configurado etiquetas de confidencialidad para aplicar la clasificación automática, el analizador puede etiquetar los archivos detectados para aplicar esa clasificación y, opcionalmente, aplicar o quitar la protección. |
Protección de los datos de la organización en la infraestructura en la nube
Recurso | Descripción |
---|---|
Documentación de gobernanza de datos de Microsoft Purview | Obtenga información sobre cómo usar el portal de gobernanza de Microsoft Purview para que su organización pueda encontrar, comprender, controlar y consumir orígenes de datos. Los tutoriales, la referencia de la API REST y otra documentación muestran cómo planear y configurar el repositorio de datos donde puede detectar orígenes de datos disponibles y administrar el uso de derechos. |
Plan de adopción de la nube
Un plan de adopción es un requisito esencial para una adopción correcta de la nube. Entre los atributos clave de un plan de adopción correcto para proteger los datos se incluyen:
- La estrategia y el planeamiento están alineados: A medida que redacta los planes para pruebas, pruebas piloto y implementación de funcionalidades de clasificación y protección de datos en todo el patrimonio digital, asegúrese de revisar su estrategia y objetivos para asegurarse de que los planes están alineados. Esto incluye la prioridad de los conjuntos de datos, los objetivos de la protección de datos y los hitos de destino.
- El plan es iterativo: A medida que empiece a implementar el plan, aprenderá muchas cosas sobre su entorno y el conjunto de funcionalidades que usa. En cada fase de la implementación, revisa tus resultados en comparación con los objetivos y ajusta los planes. Esto puede incluir volver a revisar el trabajo anterior para ajustar las directivas, por ejemplo.
- Entrenar al personal y a los usuarios está bien planeado: Desde el personal de administración hasta el departamento de soporte técnico y los usuarios, todos están capacitados para tener éxito con sus responsabilidades de identificación y protección de datos.
Para obtener más información del Marco de Adopción de la Nube para Azure, consulte Plan para la adopción de la nube.
Fase preparada
Use los recursos enumerados anteriormente para priorizar el plan para identificar y proteger los datos confidenciales. El trabajo de proteger los datos empresariales confidenciales representa una de las capas de la estrategia de implementación de confianza cero de varias capas.
El enfoque escalonado recomendado en este artículo incluye el trabajo en cascada de una manera metódica en todo el entorno digital. En esta fase de preparación, vuelva a consultar estos elementos del plan para asegurarse de que todo está listo para ir:
- Los datos que son confidenciales para su organización están bien definidos. Es probable que ajuste estas definiciones a medida que busque datos y analice los resultados.
- Tiene un mapa claro de los conjuntos de datos y las aplicaciones con los que empezar y un plan prioritario para aumentar el ámbito del trabajo hasta que abarque todo el patrimonio digital.
- Se han identificado y documentado los ajustes de las instrucciones técnicas prescritas adecuadas para su organización y entorno.
En esta lista se resume el proceso metódico de alto nivel para realizar este trabajo:
- Conozca las funcionalidades de clasificación de datos, como tipos de información confidencial, clasificadores entrenables, etiquetas de confidencialidad y directivas DLP.
- Comience a usar estas funcionalidades con datos en los servicios de Microsoft 365. Esta experiencia le ayuda a refinar el esquema.
- Introducir la clasificación en aplicaciones de Office.
- Continúe con la protección de los datos en los dispositivos experimentando con y luego implementando DLP en el terminal.
- Amplíe las funcionalidades que ha refinado dentro del patrimonio de Microsoft 365 a los datos de las aplicaciones en la nube mediante Defender for Cloud Apps.
- Detección y aplicación de protección a los datos locales mediante el escáner de Information Protection de Microsoft Purview
- Use la gobernanza de datos de Microsoft Purview para detectar y proteger datos en servicios de almacenamiento de datos en la nube, incluidos los repositorios de Azure Blobs, Cosmos DB, SQL Database y Amazon Web Services S3.
En este diagrama se muestra el proceso.
Las prioridades para la detección y protección de datos pueden diferir.
Tenga en cuenta las siguientes dependencias en otros escenarios empresariales:
- La ampliación de la protección de la información a los dispositivos de punto de conexión requiere coordinación con Intune (incluido en el artículo Trabajo remoto seguro e híbrido ).
- La extensión de la protección de la información a los datos en aplicaciones SaaS requiere Microsoft Defender for Cloud Apps. La prueba piloto e implementación de Defender for Cloud Apps está incluida en el escenario empresarial Evitar o reducir los daños empresariales causados por una brecha.
A medida que finalice los planes de adopción, asegúrese de volver a visitar la Guía de aceleración de la implementación de la prevención de pérdida de datos y protección de la información para revisar las recomendaciones y ajustar la estrategia.
Fase de adopción
Microsoft recomienda un enfoque iterativo y en cascada para detectar y proteger datos confidenciales. Esto le permite refinar la estrategia y las directivas a medida que vaya para aumentar la precisión de los resultados. Por ejemplo, comience a trabajar en un esquema de clasificación y protección a medida que detecte e identifique datos confidenciales. Los datos que detecta informan el esquema y el esquema te ayuda a mejorar las herramientas y los métodos que usas para detectar datos confidenciales. Del mismo modo, al probar y pilotear el esquema, los resultados le ayudarán a mejorar las políticas de protección que creó anteriormente. No es necesario esperar hasta que se complete una fase antes de comenzar la siguiente. Los resultados son más eficaces si recorre en iteración el camino.
Controlar y administrar fases
La gobernanza de los datos de la organización es un proceso iterativo. Al crear cuidadosamente el esquema de clasificación y implementarlo en su patrimonio digital, ha creado una base. Use los ejercicios siguientes para ayudarle a empezar a crear el plan de gobernanza inicial para esta base:
- Establezca su metodología: Establezca una metodología básica para revisar el esquema, cómo se aplica en todo el patrimonio digital y el éxito de los resultados. Decida cómo supervisará y evaluará el éxito del protocolo de protección de información, incluido el estado actual y el estado futuro.
- Establezca una base de gobernanza inicial: Comience el recorrido de gobernanza con un conjunto pequeño y fácil de implementar de herramientas de gobernanza. Esta base de gobernanza inicial se denomina producto mínimo viable (MVP).
- Mejore la base de gobernanza inicial: Agregue de forma iterativa controles de gobernanza para abordar riesgos tangibles a medida que avanza hacia el estado final.
Microsoft Purview proporciona varias funcionalidades para ayudarle a controlar los datos, entre los que se incluyen:
- Directivas de retención
- Capacidades de retención y archivado de buzones
- Administración de registros para directivas y programaciones de retención y eliminación más sofisticadas
Consulte Gobernanza de los datos con Microsoft Purview. Además, el explorador de actividades proporciona visibilidad sobre qué contenido se ha detectado y etiquetado, y dónde está ese contenido. En el caso de las aplicaciones SaaS, Microsoft Defender for Cloud Apps proporciona informes completos para datos confidenciales que se mueven y salen de aplicaciones SaaS. Consulte los muchos tutoriales de la biblioteca de contenido de Microsoft Defender for Cloud Apps.
Pasos siguientes
- Introducción al marco de adopción de Confianza cero
- Modernizar rápidamente la estrategia de seguridad
- trabajo remoto e híbrido seguro
- Prevenir o reducir los daños empresariales de una infracción
- cumplir los requisitos normativos y de cumplimiento
Recursos de seguimiento de progreso
Para cualquiera de los escenarios empresariales de Confianza cero, puede usar los siguientes recursos de seguimiento de progreso.
Recurso de seguimiento de progreso | Eso te ayuda... | Diseñado para... |
---|---|---|
Cuadrícula de fases del plan de adopción descargable archivo de Visio o PDF ![]() |
Comprenda fácilmente las mejoras de seguridad para cada escenario empresarial y el nivel de esfuerzo de las fases y objetivos de la fase de plan. | Líderes de proyectos de escenario empresarial, líderes empresariales y otras partes interesadas. |
Seguimiento de adopción de Confianza cero presentación de diapositivas de PowerPoint descargable ![]() |
Realice un seguimiento del progreso a través de las fases y los objetivos de la fase de plan. | Líderes de proyectos de escenario empresarial, líderes empresariales y otras partes interesadas. |
Objetivos y tareas de escenario empresarial libro de Excel descargable ![]() |
Asigne la propiedad y realice un seguimiento del progreso a través de las etapas, los objetivos y las tareas de la fase de planificación. | Líderes de proyectos de escenarios empresariales, líderes de TI e implementadores de TI. |
Para obtener más recursos, vea Evaluación de confianza cero y recursos de seguimiento de progreso.