Funcionalidades de cifrado de Microsoft 365 para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporciona información general sobre las funcionalidades de cifrado de Microsoft 365 pertinentes para las organizaciones gubernamentales australianas. Su propósito es ayudar a las organizaciones gubernamentales a aumentar la madurez de la seguridad de los datos a la vez que se adhieren a los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
El cifrado es una parte importante de la estrategia de protección de archivos y protección de la información y es un requisito de la directiva 8 del Anexo A del Marco de directivas de seguridad de protección (PSPF).
Los servicios de Microsoft 365 proporcionan cifrado para los datos en reposo y en tránsito. Para obtener más información, consulte cifrado y cómo funciona en Microsoft 365.
Las funcionalidades de cifrado inherentes a la plataforma Microsoft 365, como el cifrado BitLocker y TLS , deben considerarse pertinentes para los requisitos de cifrado del Gobierno australiano. Además de estas funcionalidades innatas, hay otras características de cifrado opcionales que se pueden aplicar a los elementos para garantizar que solo los usuarios autorizados puedan acceder a ellos. Relevantes para la alineación de PSPF son:
- Seguridad de la capa de transporte (TLS)
- Azure Rights Management
- Cifrado de mensajes de Microsoft Purview
El cifrado es sencillo de aplicar a dentro de una organización. El uso compartido de cifrados con organizaciones externas requiere una consideración adicional, que se trata en esta guía, para garantizar la alineación dentro del contexto de los requisitos del Gobierno australiano y la PSPF.
Requisitos de cifrado del gobierno australiano
Requisitos de cifrado, transmisión y acceso detallados en el anexo A de la directiva 8 de PSPF.
El cifrado en general es relevante para los requisitos de transmisión, pero los distintos tipos de cifrado también son pertinentes para el acceso y la necesidad de conocer, por ejemplo, Azure Rights Management. Azure Rights Management confirma el permiso para acceder a elementos en el momento del acceso. Azure Rights Management garantiza que las personas no autorizadas no accedan a la información filtrada o distribuida de forma inapropiada. A continuación se muestra un extracto de los requisitos pertinentes de PSPF.
| Clasificación | Requisitos |
|---|---|
| OFICIAL1 | Se recomienda cifrar cualquier información que se comunique a través de la infraestructura de red pública. El principio de necesidad de conocer se recomienda para la información OFICIAL. No hay requisitos de autorización de seguridad para el acceso a la información OFICIAL. |
| OFFICIAL: Confidencial | Cifrar OFICIAL: Información confidencial transferida a través de la infraestructura de red pública o a través de espacios no seguros (incluidas las áreas de seguridad de la zona 1), a menos que la entidad reconozca y acepte el riesgo residual de no hacerlo. El principio de necesidad de conocer se aplica a toda la información oficial: confidencial. No hay requisitos de autorización de seguridad para el acceso a OFFICIAL: Información confidencial. |
| PROTEGIDO | Cifre la información PROTEGIDA para cualquier comunicación que no esté a través de una red PROTEGIDA (o una red de clasificación superior). El principio de necesidad de conocer se aplica a toda la información protegida. El acceso continuo a la información PROTEGIDA requiere una autorización de seguridad de línea base o superior. |
Sugerencia
1Las funcionalidades de cifrado opcionales de Microsoft 365, como Azure Rights Management, afectan tanto a los usuarios internos como a los usuarios externos que reciben elementos de su organización. Al planear el uso de herramientas avanzadas como Azure Rights Managment, se recomienda un enfoque preconfigurado, con funcionalidades de cifrado opcionales aplicadas inicialmente a elementos de mayor confidencialidad. Las organizaciones deben tener en cuenta los casos de uso de usuarios internos y externos al decidir cómo seguir el enfoque recomendado de PSPF para cifrar la información OFICIAL. Esta decisión debe evaluarse cuidadosamente en función del riesgo; equilibrar el riesgo de interceptación de contenido para elementos de confidencialidad relativamente bajos frente al impacto organizativo de los elementos que un destinatario no envía o no puede acceder a ellos.
En la tabla siguiente se describe el requisito y el método para lograr el requisito.
| Categoría de requisitos | Método para lograr |
|---|---|
| Cifrado durante la transmisión |
-
El cifrado TLS cumple los requisitos de transmisión mediante el cifrado de archivos y correos electrónicos durante la transmisión, así como las interacciones entre el dispositivo cliente y los servicios de Microsoft 365. - El cifrado de etiquetas de confidencialidad se aplica tanto a los archivos como a los correos electrónicos. Cuando los elementos se cifran, se cifran durante la transmisión y siguen cumplindo los requisitos de cifrado de PSPF. - Cifrado de mensajes de Microsoft Purview crea las reglas para aplicar el cifrado al correo electrónico y los datos adjuntos durante la transmisión. |
| Garantizar la necesidad de conocer |
-
El cifrado de etiquetas de confidencialidad garantiza la necesidad de saberlo al permitir que solo los usuarios autenticados a los que se conceden permisos para los elementos puedan abrirlos. - Cifrado de mensajes de Microsoft Purview garantiza que solo los destinatarios especificados tengan la capacidad de abrir correos electrónicos cifrados y sus datos adjuntos. |
| Garantizar la eliminación de seguridad | - El cifrado de etiquetas de confidencialidad garantiza que los usuarios tengan las autorizaciones adecuadas al permitir que solo los usuarios que tengan permisos abran elementos cifrados. |
Consideraciones sobre el cifrado del Gobierno australiano
En el Gobierno de Australia, los requisitos de colaboración y distribución de información varían en función del tipo de organización. Algunas organizaciones funcionan en gran medida de forma aislada, lo que facilita la configuración de cifrado. Otros tienen requisitos para compartir continuamente información confidencial con otras organizaciones y necesitan planear en consecuencia.
Los requisitos de transmisión cifrada se cumplen a través de redes PROTEGIDAs. En el caso del correo electrónico, el uso de la configuración TLS basada en etiquetas como se describe en Requerir cifrado TLS para la transmisión de correo electrónico confidencial es beneficioso. Como alternativa, se pueden configurar conectores de asociados seguros, como se describe en Configuración de conectores para un flujo de correo seguro con una organización asociada en Exchange Online.
Los controles de cifrado que se aplican durante la transmisión no protegen elementos individuales, como el uso de un USB. Las organizaciones gubernamentales implementan otros controles para mitigar estos riesgos, que pueden variar en función del dispositivo. Por ejemplo, deshabilitar los puertos USB en la UEFI es sencillo con un portátil Microsoft Surface. Otras opciones para dispositivos que no son de Microsoft usadas son pegar puertos USB y software de administración de dispositivos que exige el uso de unidades USB cifradas. El cifrado basado en etiquetas ofrece una alternativa a algunos de estos controles y, además, protege a los elementos del acceso no autorizado si alguna vez se filtran.
Para ayudar a navegar por las opciones, en esta guía se describen las opciones de cifrado en línea con las siguientes categorías de organización:
Organizaciones con requisitos sencillos de colaboración y distribución de información
Las organizaciones con requisitos sencillos para compartir información confidencial se benefician en gran medida del cifrado basado en etiquetas y de las organizaciones que necesitan cumplir los requisitos de transmisión y acceso más básicos. Estas organizaciones:
- Debe asegurarse de que sus permisos de cifrado atienden a los invitados u organizaciones con los que colaboran o envían información cifrada, y
- Obtenga la seguridad de que solo los agregados a sus permisos de cifrado pueden acceder a elementos cifrados, lo que ayuda a garantizar que se cumplen los principios necesarios.
Sugerencia
Es más probable que las organizaciones gubernamentales estatales entren en esta categoría, ya que sus escenarios de uso compartido de información son más sencillos que los del gobierno federal.
Organizaciones con requisitos complejos de colaboración y distribución de información
Las organizaciones con requisitos complejos suelen incluir departamentos más grandes que comparten grandes volúmenes de información con otras organizaciones. Es probable que estos tipos de organizaciones ya tengan procesos establecidos para cumplir los requisitos de cifrado, incluido el acceso a redes protegidas para la comunicación entre departamentos. Estas organizaciones:
- Benefíciese del cifrado de etiquetas de Microsoft 365 basado en la nube, especialmente en situaciones en las que los elementos se filtran, ya que el cifrado garantiza que solo los usuarios autorizados puedan acceder a los elementos independientemente de dónde residan.
- Debe tener en cuenta una configuración de cifrado más abierta, incluido el uso de listas de dominios gubernamentales en sus permisos de cifrado para asegurarse de que los usuarios de otros departamentos puedan acceder a los elementos que se les envían.
- Debe probar que el cifrado de Microsoft 365 no interfiere con los controles existentes, incluido el uso actual de conectores para enrutar Exchange Online correo electrónico generado de vuelta a los servicios locales para que luego se pueda enviar a través de redes protegidas.
Nota:
Azure Rights Management cifrado no es un requisito difícil para la implementación de Microsoft Purview ni para la protección de la información en los servicios de Microsoft 365. Sin embargo, el cifrado basado en etiquetas se considera uno de los métodos más eficaces para garantizar que los datos que se originan o residen en entornos de Microsoft 365 están protegidos contra el acceso no autorizado, especialmente una vez que han abandonado la organización.