Cifrado de etiquetas de confidencialidad para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre el uso del cifrado de etiquetas de confidencialidad. Su intención es ayudar a las organizaciones gubernamentales australianas a fortalecer sus enfoques de seguridad de datos. Las recomendaciones de esta guía se alinean estrechamente con los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Microsoft Purview proporciona la opción de cifrar los elementos con una etiqueta de confidencialidad aplicada a través de Azure Rights Management. Azure Rights Management se usa para confirmar la autenticación y la autorización. Para que un usuario acceda a un elemento cifrado, debe autenticarse en el servicio De Microsoft 365 y tener permiso para acceder al elemento. Azure Rights Management se usa para aplicar restricciones de uso a los elementos. Estas restricciones impiden que los usuarios realicen acciones como editar contenido, guardar elementos, imprimir, copiar contenido o reenviarlos a otros usuarios.
Requisitos de cifrado de etiquetas
Las organizaciones gubernamentales deben usar el cifrado de etiquetas de acuerdo con el acceso y los requisitos de transmisión que se resumen en los requisitos de cifrado. Estos requisitos indican que el cifrado es necesario para la transmisión de información oficial: confidencial o protegida en redes públicas o no protegidas.
Sugerencia
Las organizaciones que se comunican con frecuencia con organizaciones y entidades externas en OFFICIAL y versiones posteriores pueden tener que evaluar esta postura en función de sus requisitos empresariales. Para obtener más información, consulte información general sobre el cifrado.
Habilitación del cifrado basado en etiquetas en OFFICIAL: los elementos confidenciales y protegidos refuerzan la capacidad de la organización gubernamental para cumplir los requisitos de cifrado durante la transmisión y garantiza que los elementos etiquetados se cifren cuando:
- Copiado en el almacenamiento USB.
- Se ha cargado en servicios en la nube que no son de Microsoft, incluidos los servicios de almacenamiento en la nube.
- Guardado en dispositivos potencialmente no seguros (por ejemplo, dispositivos sin cifrado bitlocker).
- Se envía por correo electrónico a destinatarios externos que pueden infringir la necesidad de información mediante la distribución adicional de la información.
Las organizaciones gubernamentales australianas suelen implementar estrategias y soluciones adicionales para abordar estos vectores de riesgo. Por ejemplo, el uso de unidades USB cifradas, soluciones de Cloud Access Security Broker (CASB) y plataformas de administración de dispositivos. El cifrado basado en etiquetas no está diseñado para reemplazar estas soluciones. Sin embargo, se usa para complementar estas soluciones proporcionando protección adicional contra el mal uso accidental y los usuarios internos malintencionados.
Consideraciones sobre el cifrado de etiquetas
Para obtener información sobre las consideraciones estándar y los posibles impactos de habilitar el cifrado de etiquetas de confidencialidad, consulte consideraciones sobre el contenido cifrado.
Hay otras consideraciones más específicas para las organizaciones gubernamentales australianas. Estos incluyen cambios en los metadatos y requisitos del documento relacionados con el uso compartido de información.
Cambios de coautoría cifrados
Microsoft 365 admite la coautoría en documentos cifrados.
La habilitación de la coautoría cifrada introduce cambios en la forma en que se aplican los metadatos de etiqueta de confidencialidad al documento de Office y al uso de MSIP_labels propiedades del documento. Después de habilitar la coautoría cifrada, los metadatos de los elementos cifrados se mueven de la ubicación de la propiedad de documento tradicional al xml interno de un documento. Para obtener más información, consulte cambios de metadatos para etiquetas de confidencialidad.
Las organizaciones gubernamentales australianas que aplican reglas en puertas de enlace de correo electrónico que comprueban la clasificación de datos adjuntos a través de las propiedades del documento deben tener en cuenta los cambios de metadatos para que sus configuraciones estén alineadas. Los administradores de Microsoft Exchange deben:
- Lea y comprenda labelInfo 2.6.3 frente a propiedades de documento personalizadas.
- Evalúe sus organizaciones Prevención de pérdida de datos (DLP), regla de flujo de correo o sintaxis de regla de transporte en puertas de enlace de correo electrónico que no son de Microsoft para detectar posibles problemas.
Un ejemplo de por qué esto es importante es un flujo de correo o una regla de transporte que comprueba si hay datos adjuntos protegidos a través del GUID de etiqueta en una propiedad de documento no funciona correctamente una vez que los metadatos del documento se mueven de la propiedad de documento a la ubicación LabelInfo.
Como alternativas a los enfoques basados en propiedades del documento:
-
ClassificationContentMarkingHeaderTextyClassificationContentMarkingFooterTextse usan las propiedades del documento. Estas propiedades aparecen después de habilitar la coautoría cifrada y se rellenan con el texto de marcado visual aplicado a los documentos de Office. - Los métodos de flujo de correo se pasan a un enfoque basado en DLP más reciente en el que las etiquetas de confidencialidad se pueden consultar de forma nativa como parte de una directiva DLP.
Acceso de usuario externo a elementos cifrados
Las organizaciones gubernamentales australianas que usan el cifrado basado en etiquetas lo hacen de acuerdo con el Marco de directivas de seguridad de protección (PSPF).
| Requisito | Detalles |
|---|---|
| Requisito 1 de la directiva 9 de PSPF: acuerdos formalizados para compartir información y recursos | Al revelar información o recursos clasificados de seguridad a una persona u organización fuera del gobierno, las entidades deben tener un acuerdo o acuerdo, como un contrato o escritura, que regule cómo se usa y protege la información. |
Para asegurarse de que solo los usuarios de organizaciones externas autorizadas puedan acceder a elementos cifrados, se pueden usar los siguientes enfoques:
- Listas de dominios externos aprobados se agregan a los permisos de Azure Rights Management, de forma similar a los enfoques DLP descritos en la prevención de la distribución por correo electrónico de información clasificada a organizaciones no autorizadas.
- Grupos que contienen cuentas de invitado se usan para conceder permisos solo a un conjunto autorizado de usuarios de dominios externos aprobados. Este enfoque es similar a permitir la distribución por correo electrónico de información clasificada a invitados autorizados.
Sugerencia
Alinear el enfoque de la organización para DLP con el de cifrado de etiquetas para información clasificada simplifica la administración. El resultado es un enfoque sólido y coherente para el control de información clasificada donde solo los usuarios autorizados pueden enviar información clasificada y tener acceso a ella.
Habilitación del cifrado de etiquetas
Para obtener información sobre los requisitos previos y los pasos necesarios para habilitar el cifrado de etiquetas de confidencialidad, consulte Restricción del acceso al contenido mediante etiquetas de confidencialidad para aplicar el cifrado.
Las siguientes configuraciones de cifrado de etiquetas tienen una relevancia especial para los requisitos gubernamentales australianos y se tratan en detalle.
Asignar permisos ahora
Asignar permisos ahora proporciona un control coherente del acceso a los elementos etiquetados en todo un entorno. A través de esta configuración, cuando se aplica una etiqueta con la configuración de cifrado a un elemento, el cifrado del contenido se desencadena inmediatamente.
Cuando se selecciona la opción Asignar permisos ahora , los administradores deben configurar los permisos que se aplicarán a los elementos etiquetados. Las opciones disponibles son:
Todos los usuarios y grupos de la organización: esta opción agrega permiso para todos los usuarios del entorno, excepto las cuentas de invitado. Este es un buen punto de introducción para las organizaciones que desean restringir el acceso a los elementos etiquetados solo a los usuarios internos.
Esta es una buena opción para las organizaciones que desean cifrar la información "OFICIAL: Confidencial" y asegurarse de que toda la organización puede abrirla.
Cualquier usuario autenticado: esta opción permite el acceso a cualquier usuario autenticado en Microsoft 365 a través de una cuenta como una cuenta de Microsoft 365, un proveedor de redes sociales federado o una dirección de correo electrónico externa, que está registrada como una cuenta microsoft (MSA). Esta opción garantiza que los elementos se envían y almacenan en formato cifrado, pero es el más abierto en términos de acceso a los elementos. Esta opción no es adecuada en términos de garantizar la alineación de las necesidades y la PSPF en el gobierno australiano.
Importante
Cualquier usuario autenticado no es una buena opción para las organizaciones gubernamentales australianas para la aplicación a elementos clasificados de seguridad debido a la naturaleza abierta de los permisos aplicados.
Agregar usuarios o grupos: esta opción permite especificar usuarios individuales (por ejemplo, usuarios de la organización individuales o invitados). Permite asignar permisos a grupos.
Hay varios usos de esta opción para las organizaciones gubernamentales. Por ejemplo:
- Esta opción se usa para garantizar la necesidad de saberlo limitando el acceso al contenido etiquetado a un subconjunto de usuarios internos que cumplen un requisito. Por ejemplo, los usuarios autorizados con autorización de línea base se agrupan en un grupo de usuarios protegidos , lo que proporciona permisos para el contenido protegido. A los usuarios fuera del grupo se les impide acceder a los elementos protegidos.
- En el caso de las organizaciones con un alto control de colaboración externa (como se describe en el control de colaboración externo alto), se crea un grupo dinámico que contiene todas las cuentas de invitado. A este grupo se le podrían conceder permisos para los elementos cifrados, lo que permite que los elementos se distribuyan externamente con un riesgo reducido de acceso por parte de entidades fuera del grupo. Esta configuración también debe alinearse con los controles DLP descritos para permitir la distribución por correo electrónico de información clasificada a invitados autorizados.
- En el caso de las organizaciones con un control de colaboración externo relativamente bajo (como se describe en el control de colaboración externo bajo), se mantiene un grupo de seguridad que contiene invitados autorizados para el acceso al contenido cifrado.
- Para las organizaciones que desean proporcionar acceso de invitado al contenido sin hacer que el contenido de una etiqueta sea accesible para todo un dominio, se crea un grupo dinámico para conceder acceso a los invitados de una organización, por ejemplo, "Invitados departamentales". Este enfoque se describe al permitir la distribución por correo electrónico de información clasificada a invitados autorizados.
Adición de direcciones de correo electrónico o dominios específicos Esta opción permite conceder permisos a las direcciones de correo electrónico individuales de los usuarios externos, que pueden o no ser invitados. También se puede usar para conceder permiso a todo un dominio. Por ejemplo, Contoso.com. Las organizaciones que tengan requisitos complejos de colaboración y distribución de información o que necesiten distribuir información oficial: confidencial o protegida a otras organizaciones gubernamentales pueden considerar la posibilidad de agregar una lista de los dominios de todas las organizaciones a los que distribuyen dicha información. Esta lista debe alinearse con los dominios con los que su organización ha formalizado acuerdos para compartir información y recursos, tal como se define en el requisito 1 de la directiva 9 de PSPF.
Se agregan varios conjuntos de permisos a la configuración de una etiqueta para lograr el resultado deseado. Por ejemplo, todos los usuarios y grupos se pueden usar en combinación con un conjunto de grupos dinámicos que contienen invitados de otras organizaciones, además de una lista de dominios de departamento autorizados con los que colabora regularmente su organización.
Asignación de permisos a usuarios, grupos o dominios
Para cada usuario, grupo de usuarios o dominio al que se concede acceso, también es necesario seleccionar permisos específicos. Estos permisos se agrupan en conjuntos típicos, como copropietario, coautor o revisor. También se pueden definir conjuntos personalizados de permisos.
Los permisos de cifrado son granulares, por lo que las organizaciones deben completar sus propias evaluaciones de riesgos y análisis empresariales para determinar el enfoque más válido. A continuación se muestra un enfoque de ejemplo.
| Categoría de usuario | Contains | Permissions |
|---|---|---|
| Todos los usuarios y grupos | Todos los usuarios internos | Co-Owner (concede todos los permisos) |
| Invitados de otros departamentos con requisitos de colaboración | Grupos de Microsoft 365 dinámica: - Invitados del Departamento 1 - Invitados del Departamento 2 - Invitados del Departamento 3 |
Co-Author (restringe los permisos de edición, exportación de contenido y cambio) |
| Invitados eliminados de organizaciones asociadas | Grupos de seguridad: - Invitados de Partner 1 - Invitados de Partner 2 - Invitados de Partner 3 |
Revisor (restringe los permisos de impresión, copia y extracción, exportación de contenido y cambio) |
Permitir que los usuarios decidan
Un enfoque del cifrado consiste en permitir que los usuarios elijan qué permisos aplicar cuando seleccionan una etiqueta.
El comportamiento de los elementos etiquetados a través de este método varía en función de la aplicación. Para Outlook, las opciones disponibles son:
No reenviar: Cuando se selecciona esta opción, se cifran los correos electrónicos. El cifrado aplica restricciones de acceso para que los destinatarios puedan responder al correo electrónico, pero las opciones para reenviar, imprimir o copiar información no están disponibles. Azure Rights Management permisos se aplican a los documentos de Office no protegidos adjuntos al correo electrónico. Esta opción garantiza la necesidad de saberlo evitando que los destinatarios de correo electrónico reenvíen elementos a aquellos que no se especificaron en el correo electrónico original.
Cifrar solo: Esta opción cifra los elementos y concede a los destinatarios todos los derechos de uso, excepto guardar como, exportar y tener control total. Es útil para cumplir los requisitos de transmisión cifrada, pero no aplica ninguna restricción de acceso (el resultado es que no se aplican controles necesarios).
Estas opciones proporcionan una gran granularidad. Sin embargo, a medida que se aplican permisos en el nivel de elemento, estas opciones pueden dar lugar a una configuración incoherente, ya que las opciones seleccionadas por distintos usuarios varían.
Al proporcionar opciones de no reenviar ni cifrar solo a los usuarios como subetiquetas, una organización puede proporcionar a los usuarios un método para proteger la comunicación cuando se considere necesario. Por ejemplo:
- EXTRAOFICIAL
- OFICIAL
- CONFIDENCIAL OFICIAL (categoría)
- Oficial confidencial
- Solo destinatarios confidenciales de OFFICIAL
Las etiquetas con estas configuraciones aplicadas solo deben publicarse a los usuarios que requieran dichas funcionalidades.
Microsoft Purview es capaz de alinearse con PSPF con el requisito de incluir marcadores de administración de información (IMM) y advertencias y la adición de subetiquetas para satisfacer los requisitos específicos de la organización. Por ejemplo, un grupo de usuarios que deben comunicar la información "OFFICIAL: Sensitive Personal Privacy" con usuarios externos puede tener una etiqueta "OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" publicada para ellos.
Expiración del acceso al contenido
Las opciones de expiración de contenido permiten el acceso a elementos cifrados con la etiqueta aplicada que se deniega en una fecha o después de un período de tiempo. Esta funcionalidad se usa para garantizar que los elementos ya no sean accesibles desde un momento dado, independientemente de dónde residan o de los permisos que se les hayan aplicado.
Esta opción es útil para lograr los requisitos para el acceso a la información con límite de tiempo, donde las organizaciones gubernamentales deben proporcionar acceso temporal a la información o a los recursos. Estas situaciones se cubren en la directiva 9 de PSPF:
| Requisito | Detalles |
|---|---|
| Directiva de PSPF 9 Requisito 4: Acceso temporal a información y recursos clasificados | Las entidades pueden proporcionar a una persona acceso temporal a información o recursos clasificados de seguridad sobre la base de una evaluación de riesgos para cada caso. En tales casos, las entidades deben: a. Limite la duración del acceso a la información o los recursos clasificados de seguridad: i. Hasta el período en el que se está procesando una solicitud para una autorización de seguridad para la persona en particular, o ii. Hasta un máximo de tres meses en un período de 12 meses b. Realizar comprobaciones de detección de empleo recomendadas (consulte la política de PSPF: Idoneidad e idoneidad del personal) c. Supervisar todo el acceso temporal d. Para obtener acceso a la información TOP SECRET, asegúrese de que la persona tiene una autorización de seguridad de Negative Vetting 1 existente, y e. Denegar el acceso temporal a información confidencial clasificada (salvo en circunstancias excepcionales y solo con la aprobación del propietario de la advertencia). |
Este enfoque garantiza la necesidad de supervisión del acceso temporal y garantiza que el usuario temporal solo tenga acceso a lo que se ha permitido y solo durante el tiempo necesario.
Azure Rights Management cifrado aplicado a través de la etiqueta y con la configuración de expiración de acceso permite que los elementos confidenciales se compartan con personas u organizaciones sin necesidad de crear cuentas completas.
Un ejemplo de esto es que una organización gubernamental tiene un conjunto de documentos de diseño que se deben poner a disposición de una organización ficticia de contratación gubernamental, denominada Contoso. Se crea y publica una etiqueta denominada "OFFICIAL Sensitive – Contoso Temp Access" con permisos que conceden acceso a una lista aprobada de direcciones de correo electrónico de Contoso. A continuación, se aplica una copia de los documentos de diseño, que inician un temporizador de acceso de 30 días. A continuación, los documentos se comparten con Contoso, que puede acceder a los elementos en sus propios sistemas hasta que expire el temporizador y se revoque el acceso independientemente de dónde residan los elementos.
A medida que la expiración del contenido se aplica a una etiqueta en lugar de a los permisos, se requieren etiquetas dedicadas para lograr esto. Este y otros escenarios de expiración de acceso son nichos y no son aplicables en la mayoría de las organizaciones gubernamentales. Este ejemplo se basa en y amplía la configuración básica de pspf Microsoft Purview Information Protection que se aplica como se recomienda en esta guía.
Acceso sin conexión
Las opciones de acceso sin conexión permiten configurar un período de tiempo en el que los usuarios pueden acceder a los elementos sin necesidad de volver a autenticar o volver a autenticar sus permisos de Azure Rights Management. El acceso sin conexión es útil para asegurarse de que, por ejemplo, se puede acceder a los archivos sin conexión si se produce una interrupción de la red o del servicio. Cuando se configura esta opción, los elementos siguen cifrados y sus permisos se almacenan en caché en los dispositivos cliente.
Las organizaciones gubernamentales que implementan el cifrado suelen optar por un período de acceso sin conexión de tres a siete días para garantizar que los usuarios puedan trabajar sin conexión y como medida de mitigación de desastres.
Al considerar este enfoque, debe completarse una evaluación del riesgo del acceso almacenado en caché a los elementos frente al impacto de facilidad de uso de ningún acceso cuando los usuarios trabajan sin acceso a la red por parte de una organización gubernamental.
Configuración de cifrado de etiquetas de ejemplo
Nota:
Estos ejemplos están diseñados para demostrar la configuración del cifrado de etiquetas con controles operativos proporcionales al valor de la información, que se alinea con el requisito 1 de la directiva PSPF 8. Las organizaciones gubernamentales deben completar su propio análisis empresarial, evaluación de riesgos y pruebas antes de habilitar dicha configuración.
| Etiqueta de confidencialidad | Cifrado | Permissions |
|---|---|---|
| EXTRAOFICIAL | - | - |
| OFICIAL | - | - |
| CONFIDENCIAL OFICIAL (categoría) | - | - |
| Oficial confidencial | Asignar permiso ahora |
Todos los usuarios y grupos de la organización: Co-Owner Agregue direcciones de correo electrónico o dominios específicos: Lista de dominios externos aprobados para el acceso - Coautor |
| PROTECTED (categoría) | - | - |
| PROTEGIDO | Asignar permiso ahora |
Agregar usuarios o grupos: Grupo de usuarios protegidos - Copropietario Grupo de invitados protegidos - Coautor |
Cifrado de mensajes de Microsoft Purview
Cifrado de mensajes de Microsoft Purview es una funcionalidad de cifrado de Microsoft 365 basada en Azure Rights Management. Al igual que con el cifrado de Azure Rights Management basado en etiquetas, Cifrado de mensajes de Microsoft Purview confirma la identidad a través de la autenticación y la autorización mediante la aplicación de permisos a los elementos.
Para obtener información sobre Cifrado de mensajes de Microsoft Purview, vea cómo funciona el cifrado de mensajes.
Una ventaja clave de Cifrado de mensajes de Microsoft Purview es donde tanto los buzones de remitente como de destinatario se hospedan en Exchange Online, con clientes que admiten Cifrado de mensajes de Microsoft Purview (incluidos Aplicaciones Microsoft 365, clientes móviles y basados en web), el proceso de cifrado, incluido el acceso del destinatario al correo electrónico recibido, es sin problemas. El destinatario puede recibir y ver el mensaje como lo haría con cualquier correo electrónico sin cifrar. Sin embargo, si el destinatario no usa Exchange Online o un cliente de correo electrónico compatible con Cifrado de mensajes de Microsoft Purview, en lugar de recibir un mensaje de correo electrónico completo, recibe un *contenedor que le informa de la recepción de un correo electrónico protegido. y los dirige a un portal de Microsoft donde pueden autenticarse para acceder a la información de forma segura. Estos mensajes contenedores son totalmente personalizables, por lo que se pueden modificar para que se adapten a su organización.
La autenticación de Cifrado de mensajes de Microsoft Purview se controla de forma diferente a la Azure Rights Management basada en etiquetas, ya que no es necesario definir permisos en una etiqueta. Esto permite una mayor flexibilidad en cuanto a quién podría recibir correspondencia cifrada, lo que puede ser deseable para algunos casos de uso.
Hay tres categorías de autenticación relevantes para Cifrado de mensajes de Microsoft Purview destinatarios de mensajes:
- Si los destinatarios usan identidades de Microsoft 365 a través de Exchange Online, sus credenciales o tokens existentes usados para su sesión actual se pueden usar para la autenticación y autorización.
- Si los destinatarios usan identidades externas admitidas, como las proporcionadas por Gmail o Yahoo, tendrán que autenticarse a través de estas credenciales para acceder al correo electrónico contenedor y conectarse al portal proporcionado por Microsoft 365 para acceder al mensaje.
- Si los destinatarios usan una identidad no apoyada, recibirán el correo electrónico contenedor y podrán seleccionar el vínculo para acceder al portal proporcionado por Microsoft 365, momento en el que se les pedirá que configuren su dirección de correo electrónico como una cuenta de Microsoft (MSA). Esta cuenta microsoft asociará una contraseña y otra información a la dirección de correo electrónico del usuario, que se usa para la autenticación futura.
Cifrado de mensajes de Microsoft Purview también se usa para garantizar la confidencialidad y proporcionar a los destinatarios la garantía de que su información se trata de forma segura. Por ejemplo, los equipos de RR. HH. pueden usar Cifrado de mensajes de Microsoft Purview al analizar el posible empleo con un candidato de trabajo. Cifrado de mensajes de Microsoft Purview es útil cuando se analizan asuntos financieros confidenciales con un miembro del público. Las universidades y otros proveedores de educación pueden utilizar Cifrado de mensajes de Microsoft Purview cuando se correspondan con los estudiantes en materia académica.
A continuación se muestran los casos de uso de Cifrado de mensajes de Microsoft Purview que son pertinentes para las organizaciones gubernamentales australianas:
- Aplicación de Cifrado de mensajes de Microsoft Purview a todos los correos electrónicos con una etiqueta (por ejemplo, CONFIDENCIAL OFICIAL), enviada a una lista de organizaciones externas. Esta lista incluye otras organizaciones gubernamentales con las que la organización ha formalizado acuerdos (según la directiva 9 de PSPF, requisito 1).
- Aplicación de Cifrado de mensajes de Microsoft Purview a los correos electrónicos que contienen información confidencial (identificada a través de SIT), que se envían a una lista de otras organizaciones no gubernamentales donde hay una relación. Debido a que estas organizaciones no necesariamente requieren cumplir con los requisitos de seguridad del Gobierno australiano, se desconoce el estado de estos entornos.
Para obtener más información sobre las funcionalidades de Cifrado de mensajes de Microsoft Purview y los posibles usos, consulte Configuración de Cifrado de mensajes de Microsoft Purview
La configuración para aplicar Cifrado de mensajes de Microsoft Purview al correo electrónico se puede aplicar a través de reglas de flujo de correo de Exchange. Cualquier mensaje que coincida con una etiqueta de confidencialidad desencadena una regla, que aplica una plantilla de Cifrado de mensajes de Microsoft Purview al correo electrónico. Estas reglas requieren un método basado en GUID para identificar los correos electrónicos etiquetados.