Protección de los datos con Confianza cero

Información preliminar

Confianza cero es una estrategia de seguridad que se usa para diseñar principios de seguridad para su organización. Confianza cero ayuda a proteger los recursos corporativos mediante la implementación de los siguientes principios de seguridad:

• Comprobación de forma explícita. Autentique y autorice siempre las aplicaciones en función de todos los puntos de datos disponibles, como la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de los datos y las anomalías.

• Use el acceso con privilegios mínimos. Limite el acceso de usuario con Just-In-Time (JIT) y Just-enough-access (JEA), directivas adaptables basadas en riesgos y protección de datos para ayudar a proteger tanto los datos como la productividad.

• Asunción de infracciones de seguridad. Minimice el radio de explosión y el acceso al segmento. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Microsoft Purview propone cinco elementos principales para una estrategia de defensa de datos en profundidad y una implementación de Confianza cero para los datos:

1. Clasificación y etiquetado de datos
   Si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Descubra y detecte datos en toda la organización y clasifique por nivel de confidencialidad.

2. Information Protection
   El acceso condicional y con privilegios mínimos a los datos confidenciales reduce los riesgos de seguridad de los datos. Aplique límites de protección de control de acceso basados en confidencialidad, administración de derechos y cifrado en los que los controles de entorno no sean suficientes. Use marcas de confidencialidad de la información para aumentar el reconocimiento y el cumplimiento de las directivas de seguridad.

3. Prevención contra la pérdida de datos
   El control de acceso resuelve solo parte del problema. La comprobación y el control de las actividades y movimientos de datos de riesgo que pueden dar lugar a un incidente de seguridad o cumplimiento de datos permite a las organizaciones evitar el uso compartido excesivo de datos confidenciales.

4. Administración de riesgos internos
   Es posible que el acceso a datos no siempre proporcione toda la historia. Minimice los riesgos para los datos al habilitar la detección de comportamiento de una amplia gama de señales y actuar sobre actividades potencialmente malintencionadas e involuntarias en su organización que podrían ser precursores o una indicación de una vulneración de datos.

5. Gobernanza de datos
   La administración proactiva del ciclo de vida de los datos confidenciales reduce su exposición. Limite el número de copias o propagación de datos confidenciales y elimine los datos que ya no son necesarios para minimizar los riesgos de vulneración de datos.

Objetivos de la implementación de Confianza cero para los datos

Se recomienda centrarse en estos objetivos de implementación iniciales al implementar un marco de Confianza cero de un extremo a otro para los datos:
	I.Clasifique y etiquete los datos. Clasifique y etiquete automáticamente los datos siempre que sea posible. Aplique manualmente donde no lo esté. II.Aplique el cifrado, el control de acceso y las marcas de contenido. Aplique el cifrado en el que la protección y el control de acceso no sean suficientes. III.Controlar el acceso a los datos. Controlar el acceso a los datos confidenciales para que estén mejor protegidos.
A medida que realice el progreso alcanzados los objetivos anteriores, agregue estos objetivos de implementación adicionales:
	IV.Evitar la pérdida de datos. Use directivas DLP controladas por señales de riesgo y confidencialidad de datos. V.Administrarriesgos. Administre los riesgos que pueden provocar un incidente de seguridad de datos comprobando las actividades de usuario relacionadas con la seguridad de riesgo y los patrones de actividad de datos que pueden dar lugar a un incidente de cumplimiento o seguridad de datos. VI.Reducir la exposición de los datos. Reducción de la exposición de datos a través de la gobernanza de datos y la minimización continua de datos

Guía de implementación de Confianza cero para datos

Esta guía le guiará paso a paso por un enfoque de Confianza cero para la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente en función de la confidencialidad de la información y del tamaño y la complejidad de la organización.

Como precursor de cualquier implementación de seguridad de datos, Microsoft recomienda crear un marco de clasificación de datos y una taxonomía de etiquetas de confidencialidad que defina categorías de alto nivel de riesgo de seguridad de datos. Esa taxonomía se usará para simplificar todo, desde el inventario de datos o la información de actividad, hasta la administración de directivas para la priorización de la investigación.

Para más información, consulte:

• Creación de un marco de clasificación de datos bien diseñado

Objetivos de implementación adicionales

I. Clasificación, etiquetado y detección de datos confidenciales

Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización.

Las clasificaciones y las etiquetas de confidencialidad permiten comprender dónde se encuentran los datos confidenciales, cómo se mueven e implementan los controles de acceso y uso adecuados coherentes con los principios de confianza cero:

• Use la clasificación y el etiquetado automatizados para detectar información confidencial y escalar la detección en el patrimonio de datos.

• Use el etiquetado manual para documentos y contenedores y seleccione manualmente conjuntos de datos usados en el análisis donde los usuarios con conocimientos mejor establecen la clasificación y la confidencialidad.

Siga estos pasos:

• Más información sobre tipos de información confidencial

• Más información sobre los clasificadores entrenables

• Información sobre las etiquetas de confidencialidad

Una vez que haya configurado y probado la clasificación y el etiquetado, escale verticalmente la detección de datos en el patrimonio de datos.

Siga estos pasos para ampliar la detección más allá de los servicios de Microsoft 365:

• Introducción al analizador local de Microsoft Purview

• Detección y protección de información confidencial en aplicaciones SaaS

• Obtenga información sobre exámenes e ingesta en el portal de gobernanza de Microsoft Purview.

A medida que descubra, clasifique y etiquete los datos, use esas conclusiones para corregir el riesgo e informar a las iniciativas de administración de directivas.

Siga estos pasos:

• Introducción al Explorador de contenido

• Revisión de la actividad de etiquetado con el Explorador de actividades

• Más información sobre Data Insights

II. Aplicar el cifrado, el control de acceso y las marcas de contenido

Simplifique la implementación de privilegios mínimos mediante etiquetas de confidencialidad para proteger los datos más confidenciales con el cifrado y el control de acceso. Use marcas de contenido para mejorar el reconocimiento del usuario y la rastreabilidad.

Proteger documentos y correos electrónicos

Microsoft Purview Information Protection permite el control de acceso y uso basado en etiquetas de confidencialidad o permisos definidos por el usuario para documentos y correos electrónicos. También puede aplicar opcionalmente marcas y cifrar información que reside o fluye a entornos de menor confianza internos o externos a su organización. Proporciona protección en reposo, en movimiento y en uso para aplicaciones habilitadas.

Siga estos pasos:

• Revisión de las opciones de cifrado en Microsoft 365
• Restringir el acceso al contenido y el uso mediante etiquetas de confidencialidad

Proteger documentos en Exchange, SharePoint y OneDrive

En el caso de los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar a través de directivas en ubicaciones de destino para restringir el acceso y administrar el cifrado en la salida autorizada.

Siga este paso:

• Configure directivas de etiquetado automático para SharePoint, OneDrive y Exchange.

III. Control del acceso a los datos

Proporcionar acceso a datos confidenciales debe controlarse para que estén mejor protegidos. Asegúrese de que las decisiones de directiva de acceso y uso son inclusivas de la confidencialidad de los datos.

Controlar el acceso y el uso compartido de datos en Teams, Grupos de Microsoft 365 y sitios de SharePoint

Use etiquetas de confidencialidad de contenedor para implementar restricciones de acceso condicional y uso compartido en Microsoft Teams, Grupos de Microsoft 365 o sitios de SharePoint.

Siga este paso:

• Usar etiquetas de confidencialidad con microsoft Teams, Grupos de Microsoft 365 y sitios de SharePoint

Control del acceso a los datos en aplicaciones SaaS

Microsoft Defender for Cloud Apps proporciona funcionalidades adicionales para el acceso condicional y para administrar archivos confidenciales en Microsoft 365 y entornos de terceros, como Box o Google Workspace, entre los que se incluyen:

• Eliminación de permisos para solucionar privilegios excesivos y evitar la pérdida de datos.

• Poner en cuarentena los archivos para su revisión.

• Aplicar etiquetas a archivos confidenciales.

Siga estos pasos:

• Integración de Microsoft Purview Information Protection

Sugerencia

Consulte Integración de aplicaciones SaaS para Confianza cero con Microsoft 365 para aprender a aplicar Confianza cero principios para ayudar a administrar el patrimonio digital de las aplicaciones en la nube.

Control del acceso a en el almacenamiento IaaS/PaaS

Implemente directivas de control de acceso obligatorias en recursos IaaS/PaaS que contengan datos confidenciales.

Siga este paso:

• Más información sobre las directivas de DevOps de Microsoft Purview

IV. Evitar la pérdida de datos

El control del acceso a los datos es necesario, pero no es suficiente para ejercer el control sobre el movimiento de datos y evitar pérdidas o pérdidas de datos involuntarias o no autorizadas. Es el rol de prevención de pérdida de datos y administración de riesgos internos, que se describe en la sección IV.

Use las directivas DLP de Microsoft Purview para identificar, comprobar y proteger automáticamente los datos confidenciales en:

• Servicios de Microsoft 365, como Teams, Exchange, SharePoint y OneDrive

• Aplicaciones de Office como Word, Excel y PowerPoint

• Puntos de conexión de Windows 10, Windows 11 y macOS (tres versiones más recientes)

• Recursos compartidos de archivos locales y SharePoint local

• aplicaciones que no son en la nube de Microsoft.

Siga estos pasos:

• Planear la prevención de pérdida de datos

• Creación, prueba y ajuste de una directiva DLP

• Obtenga información sobre el panel alertas de prevención de pérdida de datos.

• Revisión de la actividad de datos con el Explorador de actividades

V. Administración de riesgos internos

Las implementaciones con privilegios mínimos ayudan a minimizar los riesgos conocidos, pero también es importante correlacionar señales adicionales de comportamiento del usuario relacionadas con la seguridad, comprobar patrones de acceso a datos confidenciales y a ampliar las capacidades de detección, investigación y búsqueda.

Siga estos pasos:

• Más información sobre la administración de riesgos internos

• Investigar las actividades de administración de riesgos internos

VI. Eliminar información confidencial innecesaria

Las organizaciones pueden reducir su exposición a los datos mediante la administración del ciclo de vida de sus datos confidenciales.

Quite todos los privilegios en los que pueda eliminar los datos confidenciales cuando ya no sea valioso o permitido para su organización.

Siga este paso:

• Implementar la administración del ciclo de vida de los datos y la administración de registros

Minimice la duplicación de datos confidenciales al favorecer el uso compartido local y el uso en lugar de las transferencias de datos.

Siga este paso:

• Más información sobre el uso compartido de datos local con Microsoft Purview

Productos abordados en esta guía

Microsoft Purview

Microsoft Defender para aplicaciones en la nube

Para más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente.

La serie de la guía de implementación de Confianza cero