¿Cómo protegen SharePoint y OneDrive sus datos en la nube?
Puede controlar los datos. Cuando coloca sus datos en SharePoint y OneDrive para Microsoft 365, usted sigue siendo el propietario de los datos. Para obtener más información sobre la propiedad de los datos, consulte la Microsoft 365 diseñado para la privacidad.
¿Cómo tratamos sus datos?
Los ingenieros de Microsoft administran SharePoint y OneDrive mediante una consola de PowerShell que requiere la autenticación en dos fases. Ejecutamos las tareas cotidianas mediante la ejecución de flujos de trabajo para poder responder rápidamente a las nuevas situaciones. Las inserciones en el servicio requieren la revisión del código y la aprobación de administración.
Ningún ingeniero tiene acceso permanente al servicio. Cuando los ingenieros necesitan obtener acceso, deben solicitarlo. Se comprueba la elegibilidad y, si se aprueba el acceso del ingeniero, es solo por un período de tiempo limitado. En raras ocasiones, en las que los ingenieros de Microsoft necesitan acceder al contenido (por ejemplo, si envía una incidencia de soporte técnico porque un usuario no puede acceder a un archivo importante que creemos que está dañado), los ingenieros deben comprobar un flujo de trabajo específico que requiera justificación empresarial y aprobación del administrador. Se genera un evento de auditoría que puede ver en el Centro de administración de Microsoft 365. También puede activar una característica denominada Caja de seguridad del cliente, de manera que usted sea quien apruebe la solicitud. El ingeniero solo obtiene acceso al archivo en cuestión. Para obtener información sobre cómo activar o desactivar la Caja de seguridad del cliente y aprobar y denegar solicitudes, consulte Solicitudes de caja de seguridad del cliente de Microsoft Purview.
Cómo puede proteger sus datos
Una de las cosas más importantes que puede hacer para proteger los datos es requerir la autenticación en dos fases para las identidades en Microsoft 365. Esto evita que las credenciales se usen sin un segundo factor y mitiga el impacto de las contraseñas en peligro. El segundo factor se puede verificar a través de una llamada telefónica, un mensaje de texto o una aplicación. Cuando implemente la autenticación en dos fases, comience con los administradores globales y, a continuación, con otros administradores y administradores de colecciones de sitios. Para obtener información sobre cómo hacerlo, consulte Configuración de la autenticación multifactor para usuarios de Microsoft 365.
Otras cosas que se recomiendan para aumentar la seguridad:
Use Microsoft Entra acceso condicional basado en dispositivos para bloquear o limitar el acceso en dispositivos no administrados, como quioscos de aeropuertos o hoteles. Consulte Control de acceso desde dispositivos no administrados.
Cree directivas para cerrar la sesión web de los usuarios de Microsoft 365 después de un período de inactividad. Para obtener información, consulte Cerrar sesión de usuarios inactivos.
Evalúe la necesidad de sesiones basadas en IP. Simulan el modelo de acceso de una implementación local. Obtenga más información en Control de acceso basado en la ubicación de red o en la aplicación.
Empodere a los trabajadores para compartir sus saberes de forma amplia pero segura. Puede requerir el inicio de sesión o usar vínculos que expiren o concedan privilegios limitados. Consulte Administrar el uso compartido externo en su entorno de SharePoint.
Evite la exposición accidental de contenido confidencial. Cree directivas DLP para identificar documentos y evitar que se compartan. Consulte Más información sobre la prevención de pérdida de datos.
Protegidos en tránsito y en reposo
Protegidos en tránsito
Cuando los datos se trasladan al servicio desde los clientes y entre centros de datos, se protegen mediante el uso del mejor cifrado que existe. Para más información, consulteCifrado de datos en OneDrive y SharePoint Solo permitimos el acceso seguro. No realizaremos conexiones autenticadas a través de HTTP, se redirigirán a HTTPS.
Protegidos en reposo
Protección física: Solo un número limitado de personal esencial puede obtener acceso a los centros de datos. Sus identidades se comprueban con varios factores de autenticación, incluidas las tarjetas inteligentes y los datos biométricos. En el entorno local, hay responsables de seguridad, sensores de movimiento y videovigilancia. Las alertas de detección de intrusiones supervisan la actividad anómala.
Protección de red: Las redes y las identidades están aisladas de la red corporativa de Microsoft. Administramos el servicio con dominios de Active Directory dedicados, tenemos dominios independientes para pruebas y producción, y el dominio de producción se divide en varios dominios aislados para la confiabilidad y la seguridad. Para obtener más información sobre la seguridad física y lógica integrada de Microsoft 365, consulte Seguridad integrada de Microsoft 365.
Seguridad de aplicaciones: Los ingenieros que crean las características siguen el ciclo de vida del desarrollo de seguridad. Los análisis automatizados y manuales permiten identificar las posibles vulnerabilidades. El Centro de respuestas de seguridad de Microsoft ayuda a evaluar los informes entrantes de vulnerabilidades y las mitigaciones. Por medio del Programa de recompensas de Microsoft por la detección de errores, personas de todo el mundo pueden ganar dinero si informan de vulnerabilidades. Obtenga más información al respecto en Términos y condiciones del Programa de recompensas de Microsoft por la detección de errores.
Protección de contenido: Los datos se cifran en el nivel de disco mediante cifrado de BitLocker y en el nivel de archivo mediante claves. Para más información, consulteCifrado de datos en OneDrive y SharePoint Para obtener información sobre el uso de la clave de cliente para proporcionar y controlar las claves que se usan para cifrar los datos en reposo en Microsoft 365, consulte Preguntas más frecuentes sobre el cifrado de servicios con clave de cliente de Microsoft Purview.
El motor antimalware de Microsoft 365 examina los documentos al momento de la carga para buscar contenido que coincida con una firma AV (actualizado cada hora). Para obtener información, consulte Detección de virus en SharePoint. Para obtener una protección más avanzada, use Advanced Threat Protection (ATP) de Microsoft 365. ATP analiza el contenido que se comparte y aplica inteligencia y análisis de amenazas para identificar amenazas sofisticadas. Para obtener información, consulte Advanced Threat Protection de Microsoft 365.
Para limitar el riesgo de que el contenido se descargue en dispositivos que no son de confianza:
Limite la sincronización a los dispositivos de los dominios que especifique: Permitir la sincronización solo en equipos unidos a dominios específicos.
Use Intune para limitar el acceso al contenido de las aplicaciones móviles de OneDrive y SharePoint: Controle el acceso a las características de las aplicaciones móviles de OneDrive y SharePoint.
Para administrar el contenido en reposo:
Configure directivas de IRM en bibliotecas de documentos de SharePoint para limitar la descarga de contenido. Consulte Configurar Information Rights Management (IRM) en el Centro de administración de SharePoint
Evalúe el uso de Azure Information Protection (AIP). La clasificación y el etiquetado le permiten realizar un seguimiento y controlar cómo se usan los datos. Visite Azure Information Protection.
Altamente disponibles, siempre recuperables
Nuestros centros de datos están distribuidos geográficamente en la región y tienen tolerancia a los fallos. Los datos se reflejan en, al menos, dos centros de datos para mitigar el impacto de un desastre natural o una interrupción que afecte al servicio. Para obtener más información, consulte Dónde se almacenan los datos del cliente de Microsoft 365.
Las copias de seguridad de metadatos se conservan durante 14 días y se pueden restaurar a cualquier momento previo en un período de cinco minutos.
En el caso de un ataque de ransomware, puede usar el historial de versiones (Habilitar y configurar el control de versiones de una lista o biblioteca) para revertir el estado, y la papelera de reciclaje de la colección de sitios para restaurar los archivos (Restaurar elementos eliminados de la papelera de reciclaje de la colección de sitios). Si se quita un elemento de la papelera de reciclaje de la colección de sitios, puede llamar al soporte técnico en un plazo de 14 días para acceder a una copia de seguridad. Para obtener información sobre la nueva característica Restaurar archivos que permite a los usuarios restaurar la totalidad de un OneDrive a cualquier momento dado en los últimos 30 días, consulte Restaurar su OneDrive.
Validación continua
Supervisamos nuestros centros de datos de manera continua para mantenerlos protegidos y en buen estado. Todo comienza con el inventario. Un agente de inventario examina cada subred en busca de vecinos. Para cada máquina, se realiza una captura de estado.
Una vez que tenemos un inventario, podemos supervisar y corregir el estado de los equipos. El entrenamiento de revisiones de seguridad aplica revisiones, actualiza las firmas antivirus y se asegura de que se ha guardado una buena configuración conocida. Tenemos una lógica específica de rol que garantiza que solo apliquemos revisiones o rotemos un porcentaje determinado de máquinas a la vez.
Tenemos un flujo de trabajo automatizado para identificar las máquinas que no cumplen las directivas y ponerlas en cola para su reemplazo.
El "red team" de Microsoft 365 está formado por especialistas en intrusiones. Buscan cualquier oportunidad para obtener acceso no autorizado. El "blue team" está formado por ingenieros de defensa que se centran en la prevención, la detección y la recuperación. Crean tecnologías de detección de intrusiones y respuesta. Para estar al día con los aprendizajes de los equipos de seguridad de Microsoft, consulte Blog sobre seguridad, privacidad y cumplimiento.
Para supervisar y observar la actividad en la suscripción Microsoft 365:
Si tiene un centro de operaciones de seguridad local o SIEM, puede supervisar la actividad con la API de actividad de administración. Para obtener información, consulte Introducción a las API de administración de Microsoft 365. Esto le mostrará la actividad desde SharePoint, Exchange, Microsoft Entra ID, DLP y mucho más. Si no tiene un centro de operaciones de seguridad local o SIEM, puede usar Cloud App Security. Cloud App Security usa la API de actividad de administración. Para obtener información, consulte Introducción a Microsoft 365 Cloud App Security. Por medio de Cloud App Security, puede informar, buscar y alertar sobre la actividad.
Use Protección de Microsoft Entra ID. Esto aplica el aprendizaje automático para detectar comportamientos sospechosos de la cuenta, por ejemplo, inicios de sesión simultáneos del mismo usuario en diferentes partes del mundo. Puede configurar identity protection para realizar acciones para bloquear estos inicios de sesión. Para obtener más información, consulta Protección de Microsoft Entra ID.
Use Puntuación de seguridad para evaluar el perfil de seguridad de su suscripción con respecto a una base de referencia válida conocida e identificar oportunidades para aumentar la protección. Para obtener más información, consulte Puntuación de seguridad de Microsoft.
Auditoría y cumplimiento
El cumplimiento normativo es fundamental para Microsoft 365. Nos aseguramos de que el servicio cumple con los estándares normativos y de cumplimiento. También le ayudamos a cumplir sus obligaciones de auditoría y cumplimiento. El Portal de confianza de servicios es una tienda integral de información de cumplimiento y confianza para los servicios empresariales de Microsoft. El portal contiene informes, notas del producto, evaluaciones de vulnerabilidades y guías de cumplimiento. Para obtener más información sobre el Portal de confianza de servicios, consulte Introducción al Portal de confianza de servicios.
Para cumplir los requisitos normativos:
Audite la actividad de Microsoft 365 en el Centro de cumplimiento de seguridad &: busque en el registro de auditoría en el Centro de cumplimiento de & seguridad de Microsoft 365.
Crear casos de eDiscovery: Administrar casos de exhibición de documentos electrónicos en el Centro de cumplimiento de seguridad de Microsoft 365 &
Aplique directivas de retención: Crear y aplicar directivas de administración de la información.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de