Aplicación automática de etiquetas de confidencialidad para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre el etiquetado automático de confidencialidad. Su propósito es ayudar a las organizaciones gubernamentales a aumentar su madurez de seguridad y cumplimiento, a la vez que se adhieren a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
El etiquetado automático usa funcionalidades como tipos de información confidencial (SIT) y clasificadores entrenables para identificar marcas o información confidencial dentro de los elementos. Después de la identificación, el servicio recomienda o aplica automáticamente una etiqueta al elemento donde se detectó la información. La etiqueta ayuda a garantizar que la información contenida esté adecuadamente protegida. Microsoft Purview tiene dos tipos de etiquetado automático de confidencialidad; etiquetado automático basado en cliente y etiquetado automático basado en servicio. Los conceptos de etiquetado automático se pueden ampliar a ubicaciones locales mediante el escáner de Microsoft Purview Information Protection. También se pueden aplicar a bases de datos o servicios de almacenamiento a través de Azure Data Map.
Los requisitos del Gobierno de Australia relacionados con el etiquetado automático son:
| Requisito | Detalles |
|---|---|
| Directiva de PSPF 8 Requisito 2 a.i. – Evaluación de información confidencial y clasificada de seguridad (v2018.6) | Para decidir qué clasificación de seguridad se aplicará, el originador debe evaluar el valor, la importancia o la confidencialidad de la información oficial teniendo en cuenta el posible daño al gobierno, al interés nacional, a las organizaciones o a las personas, que surgiría si la confidencialidad de la información estuviera en peligro. |
| Control de seguridad de ISM: 0271 (junio de 2024) | Las herramientas de marcado de protección no insertan automáticamente marcas de protección en los correos electrónicos. |
Tanto PSPF como ISM indican que una persona debe ser responsable de las decisiones de aplicar etiquetas a los elementos, en lugar de a un servicio automatizado. Sin embargo, en un entorno de trabajo moderno, tanto el etiquetado automático basado en el cliente como el servicio benefician a las organizaciones gubernamentales y reducen los riesgos en las siguientes circunstancias:
- Asistencia del usuario: el etiquetado automático basado en el cliente detecta información confidencial o marcas de seguridad y recomienda la etiqueta más adecuada al usuario que tiene la agencia para tomar la decisión. Para obtener más información sobre cómo implementar la ayuda del usuario, consulte etiquetado automático basado en cliente.
- Respetar las marcas externas: el etiquetado automático basado en servicios puede respetar las clasificaciones de seguridad aplicadas a los elementos por organizaciones externas. El reconocimiento del marcado externo incluye documentos y correos electrónicos recibidos dentro del ámbito de los controles de seguridad de datos de la organización. También permite a su organización respetar las clasificaciones aplicadas por la organización de origen. Para obtener más información, consulte recomendaciones basadas en marcas de organización externas.
- Etiquetas basadas en el sistema: el etiquetado automático basado en el servicio respeta las etiquetas generadas por los sistemas, por ejemplo, los correos electrónicos de nómina para el personal que detallan sus puntos de pago de un sistema de RR. HH. Para obtener más información sobre la implementación, vea recomendaciones basadas en marcas del sistema y cómo configurar una etiqueta de confidencialidad predeterminada para una biblioteca de documentos de SharePoint.
- Alineación de elementos heredados: el etiquetado automático basado en el servicio detecta las clasificaciones de seguridad a través de marcas o propiedades de documento aplicadas a elementos heredados y pone los elementos dentro del ámbito de los controles de seguridad actuales. Cuando se usa de esta manera, el etiquetado automático refuerza la prevención de pérdida de datos (DLP) y otras configuraciones de seguridad al garantizar que los elementos heredados estén protegidos por controles modernos. Para obtener más información sobre cómo implementar en una organización gubernamental, consulte recomendaciones basadas en clasificaciones históricas.
Nota:
Cuando el etiquetado automático detecta varias coincidencias, la coincidencia que se alinea con el contenido de confidencialidad más alto es la que se aplica o se recomienda para el elemento, lo que garantiza que los elementos no estén clasificados de forma infraclasificada. Para obtener más información, vea Prioridad de etiquetas.
Las organizaciones con etiquetado automático de confidencialidad en su lugar han aumentado la precisión de las etiquetas. La precisión de las etiquetas ayuda a garantizar que la información está dentro del ámbito de los controles pertinentes y fortalece la capacidad de las organizaciones para cumplir con el requisito básico C de la directiva PSPF 8:
| Requisito | Detalles |
|---|---|
| Directiva PSPF 8 Requisito básico C | Implementación de controles operativos para estas retenciones de información proporcionales a su valor, importancia y confidencialidad |
Se considera que estas funcionalidades integran de forma proactiva los requisitos de seguridad de protección en las prácticas empresariales, que se alinean con el nivel incrustado del modelo de madurez de PSPF (descrito en el Informe de evaluación del Marco de directivas de seguridad de protección (PSPF).