Protección de los datos con Confianza cero

Fondo

Confianza cero es una estrategia de seguridad que se usa para diseñar principios de seguridad para su organización. Confianza cero ayuda a proteger los recursos corporativos mediante la implementación de los siguientes principios de seguridad:

• Comprobar de forma explícita. Siempre autenticar y autorizar en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.

• Usar el acceso con privilegios mínimos. Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.

• Asumir la vulneración. Minimice el radio de impacto y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Microsoft Purview propone cinco elementos principales para una estrategia de defensa de datos en profundidad y una implementación de Confianza cero para los datos:

1. Clasificación y etiquetado de datos
   Si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Detecte datos en toda la organización y clasifíquelos por nivel de confidencialidad.

2. Information Protection
   El acceso condicional y con privilegios mínimos a los datos confidenciales reduce los riesgos para la seguridad de los datos. Aplique límites de protección de control de acceso basados en la confidencialidad, administración de derechos y cifrado cuando los controles del entorno no sean suficientes. Use marcas de confidencialidad de la información para aumentar la concienciación y el cumplimiento de las directivas de seguridad.

3. Prevención contra la pérdida de datos
   El control del acceso resuelve solo parte del problema. La comprobación y el control de las actividades y los movimientos de datos de riesgo que pueden provocar un incidente de cumplimiento o de seguridad de los datos permite a las organizaciones evitar un uso compartido excesivo de los datos confidenciales.

4. Administración de riesgos internos
   Es posible que el acceso a los datos no siempre proporcione todo el contexto. Minimice los riesgos para los datos al habilitar la detección de una amplia gama de señales de comportamiento, así como al tomar medidas respecto a actividades potencialmente malintencionadas e involuntarias en su organización que podrían provocar o indicar una vulneración de datos.

5. Gobernanza de datos
   La administración proactiva del ciclo de vida de los datos confidenciales reduce su exposición. Limite el número de copias o la propagación de datos confidenciales y elimine los datos que ya no son necesarios para minimizar los riesgos de vulneración de datos.

Objetivos de la implementación de Confianza cero para los datos

Al implementar un marco de Confianza cero integral para los datos, es recomendable centrarse en estos objetivos de implementación iniciales:
	I.Clasificar y etiquetar los datos. Clasifique y etiquete automáticamente los datos siempre que sea posible. De lo contrario, aplíquelos manualmente. II.Aplicar cifrado, control de acceso y marcas de contenido. Aplique el cifrado cuando la protección y el control de acceso no sean suficientes. III.Controlar el acceso a los datos. Controle el acceso a los datos confidenciales para que estén mejor protegidos.
A medida que avanza hacia la consecución de los objetivos anteriores, agregue estos objetivos de implementación adicionales:
	IV.Evitar la pérdida de datos. Use directivas DLP basadas en señales de riesgo y en la confidencialidad de los datos. V.Administrar los riesgos. Administre los riesgos que pueden provocar un incidente de seguridad de los datos; para ello, controle las actividades de riesgo de los usuarios relacionadas con la seguridad y los patrones de actividad de los datos que pueden dar lugar a un incidente de cumplimiento o de seguridad de los datos. VI.Reducir la exposición de los datos. Reduzca la exposición de los datos mediante la gobernanza y la minimización de datos continua.

Guía de implementación del modelo de Confianza cero para los datos

Esta guía le indicará los pasos detallados de un enfoque de Confianza cero para la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente en función de la confidencialidad de la información y del tamaño y la complejidad de la organización.

Como precursor de cualquier implementación de seguridad de datos, Microsoft recomienda crear un marco de clasificación de datos y una taxonomía de etiquetas de confidencialidad que defina categorías de alto nivel de riesgo para la seguridad de los datos. Esta taxonomía se usará para simplificar todo, desde el inventario de datos o la información de actividad, hasta la administración de directivas y la priorización de la investigación.

Para más información, vea:

• Creación de un marco de clasificación de datos bien diseñado

Objetivos de implementación adicionales

I. Clasificar, etiquetar y detectar datos confidenciales

Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización.

Las clasificaciones y las etiquetas de confidencialidad le permiten comprender dónde se encuentra la información confidencial, conocer cómo se mueve e implementar los controles de acceso y uso adecuados de acuerdo con los principios de confianza cero:

• Use la clasificación y el etiquetado automatizados para detectar información confidencial y escalar la detección a todo su patrimonio de datos.

• Use el etiquetado manual para documentos y contenedores y seleccione manualmente los conjuntos de datos usados en análisis para los que es mejor que establezcan la clasificación y la confidencialidad usuarios con conocimientos.

Siga estos pasos:

• Más información sobre tipos de información confidencial

• Más información sobre clasificadores entrenables

• Información sobre las etiquetas de confidencialidad

Una vez que haya configurado y probado la clasificación y el etiquetado, escale verticalmente la detección de datos a todo su patrimonio de datos.

Siga estos pasos para ampliar la detección más allá de los servicios de Microsoft 365:

• Introducción al detector local de Microsoft Purview

• Detección y protección de la información confidencial en aplicaciones SaaS

• Más información sobre los exámenes y la ingesta en el Portal de gobernanza de Microsoft Purview

A medida que detecte, clasifique y etiquete los datos, use esa información para corregir el riesgo y fundamentar sus iniciativas de administración de directivas.

Siga estos pasos:

• Introducción al Explorador de contenido

• Revisión de la actividad de etiquetado con el Explorador de actividades

• Más información sobre las conclusiones de datos

II. Aplicar cifrado, control de acceso y marcas de contenido

Simplifique la implementación de privilegios mínimos mediante el uso de etiquetas de confidencialidad para proteger los datos más confidenciales con cifrado y control de acceso. Use marcas de contenido para mejorar el reconocimiento por parte de los usuarios y la rastreabilidad.

Protección de documentos y correos electrónicos

Microsoft Purview Information Protection permite controlar el acceso y el uso en función de etiquetas de confidencialidad o permisos definidos por el usuario para documentos y correos electrónicos. También puede aplicar marcas y cifrar la información que reside en entornos de menor confianza internos o externos a su organización o que fluye a ellos. Proporciona protección en reposo, en movimiento y en uso para las aplicaciones habilitadas.

Siga estos pasos:

• Revisión de las opciones de cifrado en Microsoft 365
• Restricción del acceso al contenido y del uso mediante etiquetas de confidencialidad

Protección de documentos en Exchange, SharePoint y OneDrive

Para los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar mediante directivas en ubicaciones de destino con el fin de restringir el acceso y administrar el cifrado del tráfico de salida autorizado.

Siga este paso:

• Configure directivas de etiquetado automático para SharePoint, OneDrive y Exchange.

III. Control del acceso a los datos

Se debe controlar el acceso que se proporciona a los datos confidenciales para que estén mejor protegidos. Asegúrese de que las decisiones de las directivas de acceso y uso abordan la confidencialidad de los datos.

Control del acceso y el uso compartido de datos en Teams, Grupos de Microsoft 365 y sitios de SharePoint

Use etiquetas de confidencialidad en contenedores para implementar restricciones de acceso condicional y uso compartido en Microsoft Teams, Grupos de Microsoft 365 o sitios de SharePoint.

Siga este paso:

• Uso de etiquetas de confidencialidad con Microsoft Teams, Grupos de Microsoft 365 y sitios de SharePoint

Control del acceso a datos en aplicaciones SaaS

Microsoft Defender for Cloud Apps proporciona funcionalidades adicionales para el acceso condicional y para administrar archivos confidenciales en Microsoft 365 y entornos de terceros, como Box o Google Workspace, entre las que se incluyen:

• Eliminación de permisos para abordar privilegios excesivos y evitar la pérdida de datos.

• Puesta en cuarentena de archivos para su revisión.

• Aplicación de etiquetas a archivos confidenciales.

Siga estos pasos:

• Integración de Microsoft Purview Information Protection

Sugerencia

Consulte el artículo Integración de aplicaciones SaaS para Confianza cero con Microsoft 365 para obtener información sobre cómo aplicar los principios de Confianza cero para administrar su infraestructura digital de aplicaciones en la nube.

Control del acceso al almacenamiento de IaaS/PaaS

Implemente directivas de control de acceso obligatorias en recursos de IaaS/PaaS que contienen datos confidenciales.

Siga este paso:

• Más información sobre las directivas de DevOps en Microsoft Purview

IV. Evitar la pérdida de datos

Es necesario controlar el acceso a los datos, pero no es suficiente para ejercer el control sobre el movimiento de datos y evitar la pérdida de datos involuntaria o no autorizada. Este es el papel de la prevención de pérdida de datos y la administración de riesgos internos, que se describe en la sección IV.

Use las directivas DLP de Microsoft Purview para identificar, comprobar y proteger automáticamente los datos confidenciales en:

• Servicios de Microsoft 365, como Teams, Exchange, SharePoint y OneDrive

• Aplicaciones de Office, como Word, Excel y PowerPoint

• Puntos de conexión de Windows 10, Windows 11 y macOS (tres versiones más recientes)

• recursos compartidos de archivos locales y SharePoint local

• Aplicaciones en la nube no de Microsoft

Siga estos pasos:

• Planificación para la prevención de pérdida de datos

• Creación, prueba y ajuste de directivas DLP

• Más información sobre el panel Alertas de prevención de pérdida de datos

• Revisión de la actividad de los datos con el Explorador de actividades

V. Administrar los riesgos internos

Las implementaciones con privilegios mínimos ayudan a minimizar los riesgos conocidos, pero también es importante correlacionar señales adicionales de comportamiento del usuario relacionadas con la seguridad, comprobar los patrones de acceso a datos confidenciales y ampliar las funcionalidades de detección, investigación y búsqueda.

Realice estos pasos:

• Más información sobre la administración de riesgos internos

• Investigación de actividades de administración de riesgos internos

VI. Eliminar la información confidencial innecesaria

Las organizaciones pueden reducir la exposición de los datos mediante la administración del ciclo de vida de sus datos confidenciales.

Quite todos los privilegios que pueda eliminando los datos confidenciales cuando ya no sean valiosos ni estén permitidos en su organización.

Siga este paso:

• Implementación de la administración de registros y del ciclo de vida de los datos

Minimice la duplicación de datos confidenciales al favorecer el uso y el uso compartido locales en lugar de las transferencias de datos.

Siga este paso:

• Más información sobre el uso compartido de datos local con Microsoft Purview

Productos incluidos en esta guía

Microsoft Purview

Microsoft Defender for Cloud Apps

Para más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente.

La serie de la guía de implementación de Confianza cero