Requisitos previos tecnológicos para el uso de Microsoft Purview Information Protection para el cumplimiento del gobierno australiano con PSPF
En este artículo se proporcionan instrucciones para las organizaciones gubernamentales australianas sobre los servicios y componentes que se deben implementar en una organización para aprovechar al máximo el etiquetado de confidencialidad y otras funcionalidades de Microsoft Purview. Su propósito es ayudar a las organizaciones a comprender los requisitos previos para la implementación de Microsoft Purview Information Protection para cumplir los requisitos descritos en el Marco de directivas de seguridad de protección (PSPF) y el Manual de seguridad de la información (ISM).
Para aprovechar al máximo las configuraciones descritas en esta guía, las organizaciones deben implementar el siguiente conjunto básico de servicios de Microsoft 365:
- Exchange Online
- Microsoft Office Online o Aplicaciones Microsoft 365 clientes de Office
- SharePoint Online
- Microsoft Teams
Las configuraciones que se describen en esta guía hacen referencia a las marcas y clasificaciones hasta las organizaciones protegidas e incluidas, que también deben usar requisitos de entorno protegidos más allá del ámbito de esta guía.
Nota:
La implementación de una etiqueta PROTEGIDA no significa automáticamente que el entorno sea adecuado para almacenar datos protegidos. Las organizaciones gubernamentales deben tener controles subyacentes según el Manual de seguridad de información (ISM) y el plano técnico de ASD para la nube segura.
Soporte técnico para clientes de Microsoft Office
La compatibilidad con clientes es clave para la implementación correcta de las funcionalidades de Microsoft Purview Information Protection. Los clientes que usan los usuarios para interactuar con archivos de Office, correo electrónico y otros servicios deben tener en cuenta las etiquetas para facilitar la aplicación de etiquetas. En esta sección se describen las versiones de cliente de Microsoft Office compatibles con esta integración y se busca identificar cualquier trabajo previo necesario antes de la implementación de Purview.
Aplicaciones de Microsoft 365 para empresas
Aplicaciones Microsoft 365 para empresas es una versión de Microsoft Office, que permite la integración con el conjunto de servicios de Microsoft 365. Como Microsoft 365 es un servicio basado en la nube que está evolucionando continuamente, la versión Aplicaciones Microsoft 365 del cliente de Office recibe una alta frecuencia de actualizaciones para mantenerse al día con la plataforma en la nube. Esta integración entre el cliente de Office y los servicios en la nube de Microsoft 365 permite que un conjunto de características más amplio esté disponible para los usuarios de lo que se puede lograr a través de clientes de Office independientes. Los clientes tradicionales ofrecen un conjunto de características estático y reciben actualizaciones de seguridad, pero normalmente no obtendrán acceso a las funcionalidades recién publicadas ni a las funcionalidades centradas en la nube.
Para obtener más información sobre los canales de actualización disponibles para las aplicaciones de Microsoft 365, consulte Información general sobre los canales de actualización para Aplicaciones Microsoft 365.
Microsoft Purview Information Protection cliente
Anteriormente, las organizaciones que ejecutaban clientes de Office tradicionales usaban el cliente de etiquetado unificado de Azure Information Protection (AIP) para habilitar la selección de etiquetas en clientes que no son Aplicaciones Microsoft 365. AIP se ha reemplazado por las funcionalidades de cliente en compilación Aplicaciones Microsoft 365.
Microsoft Purview Information Protection características de cliente que siguen siendo pertinentes de AIP sigue siendo compatible. Entre ellas se incluyen las extensiones de shell de Windows, el analizador de protección de la información, el etiquetador de archivos de protección de la información y el visor de protección de la información. Para obtener más información sobre estas funcionalidades, vea Extender el etiquetado de confidencialidad en Windows.
Compatibilidad con clientes de Mac, iOS y Android
Las nuevas características de Purview suelen estar disponibles para la versión de Aplicaciones Microsoft 365 basada en Windows de Office primero y luego para otras versiones de Office. Para conocer el estado de las funcionalidades de las versiones de cliente, consulte versiones mínimas de etiquetas de confidencialidad en diferentes clientes. Las organizaciones que implementan Microsoft 365 deben evaluar esta información para asegurarse de que todas las funcionalidades deseadas están disponibles en las versiones que usa la organización.
Clientes web de Microsoft 365
En las versiones mínimas de las etiquetas de confidencialidad de Aplicaciones Microsoft 365 tablas, muchas características de Purview aparecen como "Sí: participar" en para la versión web de los clientes de Office. Esta redacción está pensada para articular que las características están disponibles, pero requerirá habilitación para determinados escenarios. Por ejemplo, la capacidad de aplicar una etiqueta a un archivo o correo electrónico está habilitada de forma predeterminada para los clientes de Office y Outlook basados en web, pero debe habilitarse para que las etiquetas se puedan aplicar a sitios de SharePoint. Por lo tanto, Web aparece como "opt-in" para esta característica. Las características enumeradas como "bajo revisión" suelen ser nuevas y siguen en desarrollo para la plataforma basada en web.
También merece la pena tener en cuenta que algunos exploradores web, como Microsoft Edge Chromium, Chrome y Firefox, tienen capacidades de Prevención de pérdida de datos de Microsoft Purview integradas en el producto o disponibles a través del complemento. Estas funcionalidades DLP impiden la pérdida de elementos clasificados o confidenciales de seguridad, por lo que deben tenerse en cuenta para la implementación.
Sugerencia
Como parte de la configuración de DLP, las organizaciones deben usar un cliente compatible con DLP. Consulte el acceso condicional para obtener información sobre cómo implementar este elemento en línea con Essential 8.
Requisitos de cliente de obligación
La mayor parte de los requisitos de la directiva 8 del Marco de directivas de seguridad de protección (PSPF), incluidos los tres requisitos básicos, se refieren a la identificación de información confidencial o controles, que dependen de que primero se identifique información confidencial. Las aplicaciones cliente que conocen el requisito de un usuario de aplicar marcas a los elementos pueden ayudarnos a cumplir los requisitos al obligar a los usuarios a aplicar marcas en el momento de la creación de elementos. Una vez marcados, se pueden aplicar controles operativos para proteger el contenido adjunto de un elemento. En este artículo, nos referimos a una configuración como "Etiquetado obligatorio". En Microsoft 365, esto se logra principalmente a través de una opción de directiva de etiqueta, que se describe en el etiquetado obligatorio.
Como ejemplo de la importancia del etiquetado obligatorio, considere la posibilidad de enviar un correo electrónico, que se ha enviado pero sin que se aplique primero una marca protectora. Esto podría ocurrir debido a la falta de soporte técnico del cliente. En tales situaciones, debemos suponer que el usuario no ha tenido la oportunidad de evaluar la confidencialidad de la información adjunta (según el requisito principal 2 de la directiva PSPF 8). Dado que el elemento es de alto riesgo en términos de vulneración de datos, deben aplicarse controles ISM como ISM-0565:
| Requisito | Detalles |
|---|---|
| ISM-0565 (junio de 2024) | Email servidores están configurados para bloquear, registrar e informar de correos electrónicos con marcas de protección inapropiadas. |
La aplicación de un marcado de protección, o etiqueta de confidencialidad, proporciona garantía de que el propietario o creador del contenido ha evaluado la confidencialidad del elemento y permite controles adecuados a la información contenida.
Las opciones para aplicar el etiquetado obligatorio solo las pueden aplicar los clientes que conocen las directivas de etiquetado de Microsoft Purview de una organización. Por lo tanto, debemos considerar la posibilidad de garantizar que los usuarios solo tengan acceso a servicios a través de clientes que admitan directivas de etiquetado de Microsoft Purview. Para ello, se debe implementar una directiva de acceso condicional.
Para obtener información sobre cómo aplicar el acceso condicional en Essential 8, consulte control de aplicaciones y acceso condicional.
El etiquetado obligatorio en su lugar garantiza que no se pueda enviar correo electrónico sin etiquetar a un usuario. Sin embargo, todavía hay escenarios en los que una organización genera correo electrónico sin etiquetar, incluidos los generados por aplicaciones o dispositivos y escáneres multifunción. Para aplicar la configuración que requiere que se etiquete todo el correo electrónico, las organizaciones pueden implementar controles, que bloquean la transmisión del correo electrónico generado por el usuario, que no tiene el marcado adecuado. Para obtener información sobre cómo implementar estos controles, vea bloquear la transmisión de correo electrónico sin etiquetar.
Integración con PDF
Los clientes de Aplicaciones Microsoft 365 basados en Windows incluyen la capacidad de mantener etiquetas aplicadas a documentos de Office cuando se exportan o guardan como archivos PDF. Estos archivos PDF mantienen la configuración de protección de sus archivos de Office de origen, incluido el cifrado.
Los documentos PDF protegidos se pueden leer en lectores PDF compatibles con etiquetas, incluidos Microsoft Edge, Chrome, Foxit Reader y Adobe Reader (con el complemento Information Protection para Acrobat y el complemento Acrobat Reader instalado).
Las organizaciones gubernamentales deben implementar y usar clientes PDF compatibles con etiquetas o complementos de cliente. Estos clientes ayudan a mantener una identificación clara de la información confidencial y la aplicación de controles cuando los elementos se exportan a PDF.
Puede encontrar más información sobre estas funcionalidades a través de los vínculos siguientes:
- Aplicar etiquetas de confidencialidad a archivos PDF creados con aplicaciones de Office
- Disponibilidad general de la integración de Adobe Acrobat Reader con Microsoft Purview Information Protection
Licencias necesarias
El uso básico de las funcionalidades de purview Information Protection requiere un mínimo de una licencia E3. Sin embargo, la mayoría de las organizaciones gubernamentales necesitan usar Microsoft 365 E5 (o complementos de cumplimiento E5 equivalentes) para el uso maduro de las funcionalidades de Purview.
La tabla siguiente tiene un subconjunto de casos de uso gubernamental comunes y su licencia mínima necesaria para realizar ese caso de uso.
| Caso de uso | Licencia |
|---|---|
| Aplique manualmente una etiqueta de confidencialidad a los elementos. | E3 |
| Impedir la distribución de elementos etiquetados a usuarios no autorizados. | E3 |
| Aplique marcas de asunto a elementos etiquetados para indicar la confidencialidad de los elementos. | E3 |
| Aplique automáticamente etiquetas de confidencialidad en función de las marcas aplicadas por otras organizaciones. | E5 |
| Supervise e informe sobre el uso de etiquetas en todo el entorno. | E5 |
| Aplicar etiquetas a reuniones y elementos de calendario. | E5 |
| Recomendar la aplicación de una etiqueta de confidencialidad basada en la detección de contenido confidencial. | E5 |
| Supervise y controle el uso de elementos etiquetados en los dispositivos. | E5 |
| Identificar usuarios malintencionados en función de la actividad con elementos etiquetados o confidenciales. | E5 |
| Detecte contenido confidencial y controla su distribución a través del chat de Teams. | E5 |
| Examine dónde reside el contenido etiquetado y confidencial en un entorno. | E5 |
Como debería ser evidente en el cuadro anterior, las organizaciones gubernamentales con licencias E3 pueden implementar Purview en un nivel básico y lograr niveles ad hoc o de desarrollo del modelo de madurez de PSPF. Sin embargo, para asegurarse de que los elementos están protegidos a través de controles pertinentes para su confidencialidad, se requieren funcionalidades incluidas en E5 o licencias equivalentes. Las organizaciones pueden lograr niveles de administración o incrustados de madurez de PSPF mediante E5.
Un factor importante para lograr mayores niveles de madurez de cumplimiento es el uso del etiquetado automático de confidencialidad. El etiquetado automático permite a las organizaciones gubernamentales respetar las clasificaciones que se han aplicado externamente. Si un correo electrónico está clasificado y marcado por una entidad, cuando se envía a una segunda entidad, el elemento sigue marcado pero, de forma predeterminada, no está etiquetado. Dado que carece de una etiqueta, está fuera del ámbito de una gama de controles de seguridad de datos basados en etiquetas, como las directivas de prevención de pérdida de datos (DLP). El etiquetado automático permite que los marcados de protección (tal como se define en la política de PSPF 8 Anexo F: Gobierno australiano Email estándar de marcado de protección) se interpreten en el correo electrónico tal como se reciben. Una vez interpretado, se aplica una etiqueta coincidente durante la transmisión, lo que garantiza que todos los controles pertinentes se apliquen a la información adjunta cuando el usuario la reciba.