Confianza cero es una estrategia de seguridad que se usa para diseñar principios de seguridad para su organización. Confianza cero ayuda a proteger los recursos corporativos mediante la implementación de los siguientes principios de seguridad:
Comprobar de forma explícita. Siempre autenticar y autorizar en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
Usar el acceso con privilegios mínimos. Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.
Asumir la vulneración. Minimice el radio de impacto y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Microsoft Purview propone cinco elementos principales para una estrategia de defensa de datos en profundidad y una implementación de Confianza cero para los datos:
Clasificación y etiquetado de datos
Si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Detecte datos en toda la organización y clasifíquelos por nivel de confidencialidad.
Information Protection
El acceso condicional y con privilegios mínimos a los datos confidenciales reduce los riesgos para la seguridad de los datos. Aplique límites de protección de control de acceso basados en la confidencialidad, administración de derechos y cifrado cuando los controles del entorno no sean suficientes. Use marcas de confidencialidad de la información para aumentar la concienciación y el cumplimiento de las directivas de seguridad.
Prevención contra la pérdida de datos
El control del acceso resuelve solo parte del problema. La comprobación y el control de las actividades y movimientos de datos de riesgo que podrían dar lugar a un incidente de cumplimiento o seguridad de datos permite a las organizaciones evitar el uso compartido excesivo de datos confidenciales.
Administración de riesgos internos
Es posible que el acceso a datos no siempre proporcione toda la historia. Minimice los riesgos para los datos al habilitar la detección de una amplia gama de señales de comportamiento, así como al tomar medidas respecto a actividades potencialmente malintencionadas e involuntarias en su organización que podrían provocar o indicar una vulneración de datos.
Gobernanza de datos
La administración proactiva del ciclo de vida de los datos confidenciales reduce su exposición. Limite el número de copias o la propagación de datos confidenciales y elimine los datos que ya no son necesarios para minimizar los riesgos de vulneración de datos.
Objetivos de la implementación de Confianza cero para los datos
Al implementar un marco de Confianza cero integral para los datos, es recomendable centrarse en estos objetivos de implementación iniciales:
I.Clasificar y etiquetar los datos. Clasifique y etiquete automáticamente los datos siempre que sea posible. Aplique manualmente donde no lo haga.
III.Controlar el acceso a los datos. Controle el acceso a datos confidenciales para que estén mejor protegidos. Asegúrese de que las decisiones de las directivas de acceso y uso abordan la confidencialidad de los datos.
A medida que avanza hacia la consecución de los objetivos anteriores, agregue estos objetivos de implementación adicionales:
IV.Evitar la pérdida de datos. Use directivas DLP controladas por señales de riesgo y confidencialidad de datos.
V.Administrar riesgos. Administre los riesgos que podrían provocar un incidente de seguridad de datos comprobando las actividades de usuario relacionadas con la seguridad de riesgo y los patrones de actividad de datos que podrían dar lugar a un incidente de cumplimiento o seguridad de datos.
VI.Reducir la exposición de los datos. Reducción de la exposición de los datos mediante la gobernanza de datos y la minimización de datos continua
Guía de implementación del modelo de Confianza cero para los datos
Esta guía le indicará los pasos detallados de un enfoque de Confianza cero para la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente en función de la confidencialidad de la información y del tamaño y la complejidad de la organización.
Como precursor de cualquier implementación de seguridad de datos, Microsoft recomienda crear un marco de clasificación de datos y una taxonomía de etiquetas de confidencialidad que defina categorías de alto nivel de riesgo para la seguridad de los datos. Esta taxonomía se usará para simplificar todo, desde el inventario de datos o la información de actividad, hasta la administración de directivas y la priorización de la investigación.
I. Clasificar, etiquetar y detectar datos confidenciales
Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización.
Las clasificaciones y las etiquetas de confidencialidad le permiten comprender dónde se encuentra la información confidencial, conocer cómo se mueve e implementar los controles de acceso y uso adecuados de acuerdo con los principios de confianza cero:
Use la clasificación y el etiquetado automatizados para detectar información confidencial y escalar la detección a todo su patrimonio de datos.
Use el etiquetado manual para documentos y contenedores y almacene manualmente conjuntos de datos usados en el análisis en el que los usuarios con conocimientos establecen mejor la clasificación y la confidencialidad.
A medida que detecte, clasifique y etiquete los datos, use esa información para corregir el riesgo y fundamentar sus iniciativas de administración de directivas.
II. Aplicar cifrado, control de acceso y marcas de contenido
Simplifique la implementación de privilegios mínimos mediante el uso de etiquetas de confidencialidad para proteger los datos más confidenciales con cifrado y control de acceso. Use marcas de contenido para mejorar el reconocimiento por parte de los usuarios y la rastreabilidad.
Protección de documentos y correos electrónicos
Microsoft Purview Information Protection permite controlar el acceso y el uso en función de etiquetas de confidencialidad o permisos definidos por el usuario para documentos y correos electrónicos. También puede aplicar marcas y cifrar la información que reside en entornos de menor confianza internos o externos a su organización o que fluye a ellos. Proporciona protección en reposo, en movimiento y en uso para las aplicaciones habilitadas.
Protección de documentos en Exchange, SharePoint y OneDrive
Para los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar mediante directivas en ubicaciones de destino con el fin de restringir el acceso y administrar el cifrado del tráfico de salida autorizado.
Proporcionar acceso a datos confidenciales debe controlarse para que estén mejor protegidos. Asegúrese de que las decisiones de las directivas de acceso y uso abordan la confidencialidad de los datos.
Control del acceso y el uso compartido de datos en Teams, Grupos de Microsoft 365 y sitios de SharePoint
Use etiquetas de confidencialidad en contenedores para implementar restricciones de acceso condicional y uso compartido en Microsoft Teams, Grupos de Microsoft 365 o sitios de SharePoint.
Microsoft Defender for Cloud Apps proporciona funcionalidades adicionales para el acceso condicional y para administrar archivos confidenciales en Microsoft 365 y entornos de terceros, como Box o Google Workspace, entre las que se incluyen:
Eliminación de permisos para abordar privilegios excesivos y evitar la pérdida de datos.
Puesta en cuarentena de archivos para su revisión.
Aplicación de etiquetas a archivos confidenciales.
Es necesario controlar el acceso a los datos, pero no es suficiente para ejercer el control sobre el movimiento de datos y evitar la pérdida de datos involuntaria o no autorizada. Este es el papel de la prevención de pérdida de datos y la administración de riesgos internos, que se describe en la sección IV.
Use las directivas DLP de Microsoft Purview para identificar, comprobar y proteger automáticamente los datos confidenciales en:
Servicios de Microsoft 365, como Teams, Exchange, SharePoint y OneDrive
Aplicaciones de Office, como Word, Excel y PowerPoint
Puntos de conexión de Windows 10, Windows 11 y macOS (tres versiones más recientes)
recursos compartidos de archivos locales y SharePoint local
Las implementaciones con privilegios mínimos ayudan a minimizar los riesgos conocidos, pero también es importante correlacionar señales adicionales de comportamiento del usuario relacionadas con la seguridad, comprobar patrones de acceso a datos confidenciales y a amplias funcionalidades de detección, investigación y búsqueda.
Confianza cero no es un producto o una herramienta, sino una estrategia de seguridad esencial que busca comprobar continuamente cada transacción, valida el acceso con privilegios mínimos y supone que cada transacción podría ser un posible ataque. A través de los módulos de esta ruta de aprendizaje, comprenderá la Confianza cero y cómo se aplica a la identidad, los puntos de conexión, las aplicaciones, las redes, la infraestructura y los datos.
Demuestre los aspectos básicos de la seguridad de los datos, la administración del ciclo de vida, la seguridad de la información y el cumplimiento para proteger una implementación de Microsoft 365.