Explorar la directiva de seguridad de la información de Microsoft 365
Las unidades de negocio y los grupos de productos de Microsoft son responsables de implementar las directivas, los estándares y los requisitos de seguridad del Programa de directivas y estándares de seguridad de Microsoft. Microsoft 365 documenta estas implementaciones de seguridad en la Directiva de seguridad de la información de Microsoft 365. Esta directiva se alinea con la directiva de seguridad de Microsoft y rige el sistema de información de Microsoft 365, incluidos todos los entornos de Microsoft 365 y todos los recursos implicados en la recopilación, el procesamiento, el mantenimiento, el uso, el uso compartido, la difusión y la eliminación de datos.
Ámbito
El propósito de la Directiva de seguridad de la información de Microsoft 365 es permitir que Microsoft 365 funcione de acuerdo con las mejores prácticas, lograr el objetivo corporativo de crear y mantener la confianza de los clientes, cumplir con los requisitos normativos y los compromisos con los clientes, y respaldar las promesas públicas con respecto a la confidencialidad, la integridad y la disponibilidad de los servicios de Microsoft 365.
El sistema de información de Microsoft 365 incluye los siguientes componentes regidos por la Directiva de seguridad de la información de Microsoft 365:
- Infraestructura: los componentes físicos y de hardware de los sistemas de Microsoft 365 (instalaciones, equipos y redes)
- Software: los programas y el software operativo de los sistemas Microsoft 365 (sistemas, aplicaciones y utilidades)
- Personas: el personal implicado en el funcionamiento y uso de los sistemas de Microsoft 365 (desarrolladores, operadores, usuarios y administradores)
- Procedimientos: los procedimientos programados y manuales que intervienen en el funcionamiento de los sistemas de Microsoft 365
- Datos: la información generada, recogida y procesada por los sistemas de Microsoft 365 (flujos de transacciones, archivos, bases de datos y tablas)
Todos los componentes del sistema de información de Microsoft 365 se rigen por la Directiva de seguridad de la información de Microsoft 365.
Marco de control de Microsoft 365
La directiva de seguridad de la información de Microsoft 365 se complementa con el marco de control de Microsoft 365. El marco de control de Microsoft 365 detalla los requisitos mínimos de seguridad para todos los servicios y componentes del sistema de información de Microsoft 365 y hace referencia a los requisitos legales y corporativos que hay detrás de cada control. El marco incluye nombres de actividades de control, descripciones y orientaciones para garantizar la aplicación eficaz de los controles por parte de los equipos de servicio. Microsoft 365 utiliza el marco de control para hacer un seguimiento de las evidencias de las implementaciones de control para los informes internos y externos.
El marco de control consta de 18 objetivos en los siguientes ámbitos clave:
- Control de acceso (AC)
- Reconocimiento y formación (AT)
- Auditoría y responsabilidad (AU)
- Evaluación de seguridad (CA)
- Administración de la configuración (CM)
- Planificación de contingencia (CP)
- Identificación y autentificación (IA)
- Respuesta a incidentes (IR)
- Mantenimiento (MA)
- Protección de medios (MP)
- Acceso físico (PE)
- Planificación de la seguridad (PL)
- Administración de programas (PM)
- Seguridad personal (PS)
- Evaluación de riesgos (RA)
- Adquisición de sistemas y servicios (SA)
- Protección de sistemas y comunicaciones (SC)
- Integridad del sistema y de la información (SI)
Roles y responsabilidades
Cada equipo de servicio dentro de Microsoft 365 designa a personas responsables de impulsar el cumplimiento de la política de seguridad de la información de Microsoft 365, de implementar los controles de seguridad pertinentes y de verificar que los controles se hayan implementado correctamente. La siguiente tabla resume brevemente las funciones con responsabilidades importantes para impulsar la alineación con la directiva de seguridad de la información de Microsoft 365.
| Rol | Descripción de responsabilidades |
|---|---|
| Director de seguridad del sistema de información | Persona responsable de mantener la postura de seguridad operativa del sistema de información. |
| Director de cumplimiento de la GRC | Persona responsable de definir los requisitos mínimos de seguridad y verificar que Microsoft 365 los cumpla. |
| EVP, Experiencia + Dispositivos | Máximo responsable de establecer la dirección estratégica del grupo de ingeniería, incluidos los objetivos de seguridad y cumplimiento. |
| Expertos en cumplimiento del equipo de servicio | Especialistas en cada equipo de servicio que ayudan a los miembros del equipo de servicio a aplicar los requisitos de la directiva y las normas. |
| Miembros del equipo de servicio | Los miembros de los equipos de servicio son responsables y rinden cuentas de la aplicación de la directiva y los requisitos de las normas. |
Actualizaciones del marco de control de Microsoft 365
El equipo de confianza de Microsoft 365 trabaja para mantener el marco de control interno de Microsoft 365 de forma continua. Varios escenarios pueden requerir que el equipo de confianza actualice el marco de control, incluidos los cambios en las normativas o leyes pertinentes, las amenazas emergentes, los resultados de las pruebas de penetración, los incidentes de seguridad, los comentarios de auditoría y los nuevos requisitos de cumplimiento. Cuando se requiere un cambio en el marco, el equipo de confianza identifica a las partes interesadas clave responsables de aprobar e implementar el cambio para asegurarse de que es factible y no provocará problemas imprevistos con los servicios de Microsoft 365. Una vez que el equipo de confianza y las partes interesadas pertinentes están de acuerdo en lo que requiere el cambio, las cargas de trabajo responsables de implementar las fechas de finalización de destino del conjunto de cambios y trabajan para implementar el cambio dentro de sus respectivos servicios. Una vez cumplidos los objetivos de implementación, el equipo de confianza actualiza el marco de control con los controles nuevos o actualizados.
Proceso de excepción
Todas las excepciones a la directiva de seguridad de la información de Microsoft 365 deben tener una justificación empresarial legítima y ser aprobadas por una entidad de gobierno apropiada dentro de Microsoft 365. Las excepciones también deben contar con la aprobación de la dirección del equipo de servicio y estar documentadas en la herramienta de administración de riesgos de Microsoft 365. Dependiendo del alcance de la excepción y del riesgo potencial que represente, puede ser necesario obtener la aprobación de las excepciones por parte de un vicepresidente corporativo o superior. Las excepciones se introducen en la herramienta de administración de riesgos de Microsoft 365, donde se revisan y aprueban para que sigan siendo pertinentes.