Taxonomía de etiquetas de confidencialidad para el cumplimiento del gobierno australiano con PSPF

En este artículo se proporcionan instrucciones para que las organizaciones gubernamentales australianas en las etiquetas de confidencialidad necesarias se alineen con las clasificaciones de seguridad de datos. Su propósito es ayudar a las organizaciones a decidir una taxonomía de etiquetas de confidencialidad adecuada para implementar en sus entornos de Microsoft 365. El consejo de este artículo se ha escrito para alinearse con la directiva 8 del Marco de directivas de seguridad de protección (PSPF ): información confidencial y clasificada.

Las organizaciones gubernamentales australianas deben determinar una taxonomía de etiquetas de confidencialidad adecuada antes de implementar la funcionalidad. Las etiquetas necesarias varían entre organizaciones en función de los tipos de información con los que trabajan.

Configuración estándar

Los requisitos de etiqueta típicos incluyen una combinación de clasificaciones de seguridad, a menudo combinadas con un marcador de administración de información (IMM) o advertencias. Es probable que las organizaciones con alta madurez de cumplimiento también incluyan etiquetas para satisfacer diversos requisitos de seguridad de datos. Por ejemplo, las etiquetas que aplican Azure Rights Management cifrado para garantizar que solo los usuarios autorizados puedan acceder a los elementos.

En el ejemplo siguiente se muestran las marcas básicas para la organización gubernamental australiana:

Marcado o clasificación	Marcador de administración de información	Advertencia
EXTRAOFICIAL OFICIAL OFFICIAL: Confidencial PROTEGIDO	Privacidad personal Privilegios legales Secreto legislativo	GABINETE GABINETE NACIONAL

Las etiquetas son singulares y solo se puede aplicar una etiqueta a un elemento o ubicación. Cualquier combinación necesaria de estos tres elementos debe ensamblarse en una etiqueta singular para cumplir los requisitos. Por ejemplo, si se requiere que un elemento se clasifique como PROTEGIDO y también contenga información de CABINET, debe proporcionarse una sola etiqueta que contenga estos elementos; ARMARIO PROTEGIDO.

En el ejemplo siguiente se muestran las etiquetas básicas para las organizaciones gubernamentales australianas. Esta lista usa una combinación de etiquetas primarias (categorías) y subetiquetas:

• EXTRAOFICIAL
• OFICIAL
• CONFIDENCIAL OFICIAL (categoría)
  • Oficial confidencial
  • PRIVACIDAD PERSONAL CONFIDENCIAL OFICIAL
  • PRIVILEGIO LEGAL CONFIDENCIAL OFICIAL
  • OFICIAL Confidencial Secreto Legislativo
  • GABINETE NACIONAL CONFIDENCIAL OFICIAL
• PROTECTED (categoría)
  • PROTEGIDO
  • PRIVACIDAD PERSONAL PROTEGIDA
  • Privilegios legales protegidos
  • SECRETO LEGISLATIVO PROTEGIDO
  • ARMARIO PROTEGIDO

Las organizaciones gubernamentales con requisitos más complejos necesitan etiquetas adicionales. El número máximo de etiquetas que una organización quiere implementar es más relevante para las restricciones de facilidad de uso que las limitaciones técnicas. Sin embargo, hay un límite de 500 etiquetas que se pueden crear por organización.

El uso de subetiquetas en la lista anterior está pensado para mejorar la experiencia del usuario, pero también tiene algunos impactos beneficiosos en el comportamiento de las etiquetas. Por ejemplo, la justificación del cambio de etiqueta no se desencadenará cuando un usuario cambie entre las subetiquetas. Esto permite a los usuarios aplicar diferentes IMM, advertencias o controles de seguridad y solo desencadenar la justificación si intentan reducir la clasificación de seguridad aplicada moviendo fuera de una categoría de etiqueta.

Organizaciones que trabajan en OFFICIAL

Las organizaciones gubernamentales australianas pueden configurar sus entornos de Microsoft 365 para almacenar información hasta PROTECTED.

Para obtener la documentación del Programa de evaluadores registrados (IRAP) de Microsoft Infosec, consulte el Portal de confianza de servicios de Microsoft.

Muchas organizaciones gubernamentales australianas han limitado deliberadamente el nivel máximo de confidencialidad de los datos que permitieron almacenar en el arrendamiento, lo que a su vez reduce otros requisitos. Por ejemplo, las autorizaciones de personal se pueden mantener en un nivel inferior suficiente para los datos mantenidos.

Uso de varias IMM

Algunas organizaciones gubernamentales australianas usan taxonomías de clasificación que permiten la aplicación de más de un marcador de administración de información (IMM) a cada elemento. Por ejemplo: "OFICIAL: Secreto legislativo confidencial Privacidad personal". Aunque se puede lograr este tipo de configuración, se deben tener en cuenta los requisitos, en particular:

• Las IMM se derivan del Estándar de metadatos de mantenimiento de registros (AGRkMS) del Gobierno de Australia, donde especifica que se puede aplicar un único valor de IMM.
• La directiva 8 del Marco de directivas de seguridad de protección (PSPF) indica que las IMM son opcionales.

La recomendación de Microsoft es que las cosas sean lo más sencillas posible. Solo la implementación de etiquetas que su organización realmente necesita mejorará la experiencia del usuario, ya que los usuarios tienen menos etiquetas para navegar. Tener una taxonomía más pequeña también facilita la administración, ya que hay menos configuración que mantener, especialmente en las directivas DLP y de etiquetado automático.

Las organizaciones que consideren el uso de varias combinaciones de IMM deben tener en cuenta las siguientes posibles complicaciones:

• Complicaciones de etiquetado automático: los elementos con varias IMM aplicadas son más difíciles de comparar mediante el etiquetado automático como expresiones para interpretar las marcas de sujeto o los encabezados x deben poder adaptarse a ellas a través de las directivas que se describen en las recomendaciones de etiquetado automático basadas en servicios.
• Longitud del asunto: Email clientes a menudo truncarán o dificultarán la visualización de asuntos de correo electrónico largos. En situaciones en las que se han aplicado varias marcas a un solo correo electrónico, es posible que los usuarios no sean conscientes de las marcas de IMM o advertencia, ya que no son visibles.
• Longitud del encabezado X: los encabezados X-Protective-Marking x, que se describen en las estrategias de marcado , se usan para aplicar metadatos de clasificación al correo electrónico. La cantidad de metadatos que se aplican a un correo electrónico depende de varios factores, incluido el cliente de correo electrónico que se usa. Es probable que las organizaciones que aplican varias IMM a los correos electrónicos superen la longitud de encabezado x permitida, lo que da lugar a que algunos metadatos de clasificación se truncan.

Si se requieren varias etiquetas, asegúrese de que los elementos se ordenan de menos a más importante para su organización. Por ejemplo:

1. Clasificación de seguridad
2. Advertencia (si es necesario)
3. IMM más confidencial
4. IMM menos confidencial

Organizaciones que trabajan en PROTECTED

Microsoft 365 está clasificado para poder contener datos hasta e incluir protegidos.

Para obtener la documentación del Programa de evaluadores registrados (IRAP) de Microsoft Infosec, consulte el Portal de confianza de servicios de Microsoft.

Etiquetas para obtener información más allá del nivel PROTEGIDO

Las organizaciones que contienen datos SECRET y superiores necesitan usar un enclave local. La organización debe implementar la separación de red y una amplia gama de otras medidas para impedir que esta información salga del enclave. Si un elemento que contiene un marcado SECRET apareció en una ubicación de Microsoft 365, la aparición requiere que el Asesor de seguridad de TI (ITSA) de las organizaciones realice la administración de derrames de datos. ASD proporciona instrucciones sobre cómo administrar las actividades de corrección; consulte la guía de administración de derrames de datos de ASD.

Las organizaciones gubernamentales deben implementar etiquetas para obtener información que no debe residir en sus servicios de Microsoft 365. Sin embargo, estas etiquetas no las aplican directamente los usuarios, sino que se usan para ayudar con la identificación automatizada de elementos que no deben estar en la plataforma. Esto ayuda a los equipos de seguridad con las actividades de identificación y corrección.

Las etiquetas varían para este tipo de uso varía entre organizaciones, pero deben incluir:

• PROTECTED (para las organizaciones que trabajan con los datos más altos que son OFICIALES en su inquilino)
• SECRETO
• ULTRASECRETO

Según ISM-0272, estas etiquetas no deben publicarse para los usuarios, como si el servicio no estuviera autorizado para hospedar dicha información, los usuarios no deberían poder aplicar las etiquetas a los elementos:

Requisito	Detalles
ISM-0272 (junio de 2024)	Las herramientas de marcado de protección no permiten a los usuarios seleccionar marcas de protección que un sistema no haya autorizado para procesar, almacenar o comunicar.

Nota:

Las etiquetas no publicadas hacen referencia a las etiquetas, que no se publican para los usuarios finales. Para que el servicio de etiquetado automático tenga en cuenta una etiqueta, debe publicarse en un único usuario, como una cuenta administrativa.

Las organizaciones que requieren DLP avanzada de datos altamente confidenciales en la plataforma de Microsoft 365, por ejemplo, mediante correo electrónico o uso compartido, pueden incluir medidas de seguridad adicionales con "etiquetas no publicadas", entre las que se incluyen:

• Directivas de etiquetado automático para identificar los elementos a través de encabezados x de correo electrónico entrantes o marcas de asunto (similares a las descritas en el etiquetado del correo electrónico durante el transporte).
• Directivas de etiquetado automático para identificar los elementos en reposo en las ubicaciones de SharePoint, OneDrive y Teams (de forma similar a etiquetar los elementos existentes en reposo).
• Directivas DLP para bloquear el uso compartido o la distribución de correo electrónico del contenido identificado (de forma similar a evitar la distribución inadecuada de información clasificada de seguridad).
• Directivas DLP para bloquear la recepción inicial o cualquier otra distribución del contenido (como se describe en bloquear la transmisión de clasificaciones no emitidas).
• Funcionalidades de informes para identificar cuándo se mueven elementos altamente confidenciales a ubicaciones de confidencialidad inferiores (como en Alertas de datos fuera de lugar).
• Defender for Cloud Apps funcionalidades para evitar la carga de elementos identificados en servicios en la nube que no son de Microsoft (como se introdujo al impedir la carga de elementos clasificados de seguridad en ubicaciones no administradas).

Etiquetas para organizaciones con taxonomías de etiquetas diferentes

Algunos gobiernos estatales australianos, como Nueva Gales del Sur y Queensland, usan taxonomías de clasificación que no se alinean completamente con la política 8 de PSPF. Esto puede crear algunos desafíos para la forma en que las organizaciones gubernamentales federales interpretan la sensibilidad de la información que reciben de los gobiernos estatales. Existen desafíos similares para las organizaciones gubernamentales federales que se corresponden con gobiernos extranjeros, ya que es probable que las clasificaciones no se alineen.

Los marcos de seguridad de datos y los estándares aplicados por la organización externa con los que se comunica su organización son muy relevantes para la taxonomía de etiquetas. Las marcas externas se pueden usar con los métodos siguientes:

• Las marcas aplicadas por organizaciones externas se pueden convertir en un inquilino equivalente

  Por ejemplo, si una organización del Gobierno Federal recibe un elemento con una marca "QLD Government SENSITIVE" aplicada, el marcado proporciona información útil sobre la confidencialidad del elemento. Un usuario podría aplicar una etiqueta de "CONFIDENCIAL OFICIAL" al elemento para incluirlo en el ámbito de las protecciones basadas en etiquetas del inquilino. Como alternativa, se podría configurar el etiquetado automático para asignar automáticamente esta marca QLD a la etiqueta CONFIDENCIAL OFICIAL.

• Las organizaciones pueden mantener clasificaciones externas y protecciones adecuadas para la información mientras son custodios de ella.

  En lugar de reclasificar elementos que no se alinean con el etiquetado de confidencialidad del entorno, Microsoft Purview podría configurarse con un conjunto de "etiquetas no publicadas" que se alinean con las clasificaciones externas. No es necesario que los usuarios puedan seleccionar estas etiquetas dentro de los clientes con reconocimiento de etiquetas. En su lugar, pueden aplicar el etiquetado automático basado en servicio. Una vez que se etiquetan los elementos recibidos, no se pide a los usuarios que les apliquen una etiqueta. Las etiquetas también se pueden alinear con un conjunto de DLP y otros controles para garantizar que la información contenida no se divulgue inapropiadamente.

La configuración de etiquetas debe realizarse con organizaciones, que interactúan con el objetivo de alineación en terminología de clasificación, ya que esto permite una configuración más sencilla. Si esto no es factible, el acuerdo sobre equivalencias de clasificación proporciona el siguiente mejor resultado. La situación que se debe evitar es que se ignoren por completo las marcas externas, ya que es probable que esto lleve a incidentes de seguridad de datos, como un derrame de datos.

1. Alineación de clasificación (recomendado, procedimiento recomendado)
2. Equivalencia de clasificación (se recomienda si no es posible la opción uno)
3. No tener en cuenta la clasificación (no se recomienda, aumenta el riesgo de derrame de datos)

Nota:

Cuando las organizaciones gubernamentales interactúan con gobiernos extranjeros, la Política 7 - Gobernanza de la seguridad para el uso compartido internacional proporciona instrucciones detalladas.

En la tabla siguiente se muestra un ejemplo de cómo se implementan las etiquetas no publicadas con el etiquetado automático para mantener las marcas aplicadas por organizaciones externas. En el ejemplo se muestra un conjunto de etiquetas PSPF, la mayor parte de las cuales aparecen como subetiquetas a la etiqueta principal CONFIDENCIAL OFICIAL. Debajo de esta etiqueta primaria, el usuario puede elegir incluir etiquetas que se alineen con NSW y marcadores de administración de información (IMM) equivalentes a QLD:

Etiquetas de PSPF (publicado para todos los usuarios)	Gobierno de NSW (etiquetas no publicadas)	Gobierno de QLD (etiquetas no publicadas)
EXTRAOFICIAL OFICIAL OFFICIAL: Confidencial - OFICIAL: Confidencial - OFICIAL: Privacidad personal confidencial - OFICIAL: Privilegios legales confidenciales - OFICIAL: Secreto legislativo confidencial - OFICIAL: GABINETE NACIONAL CONFIDENCIAL	- Gabinete de NSW confidencial OFICIAL - OFFICIAL Sensitive Legal - OFICIAL Aplicación de la ley confidencial - Información oficial sobre la salud confidencial - PERSONAL CONFIDENCIAL OFICIAL - Official Sensitive NSW Government	-SENSIBLE

Las ventajas del enfoque anterior son:

• La información etiquetada con etiquetas NSW o QLD se beneficia de las alertas OFICIALES: datos confidenciales fuera de lugar (que se explican más adelante en las alertas de datos fuera de lugar), que alerta y ayuda a evitar que los datos se muevan a ubicaciones donde podrían revelarse inapropiadamente.
• Las subetiquetas NSW o QLD se incluyen en las directivas OFFICIAL: Sensitive DLP y Defender for Cloud Apps, que protegen de la divulgación inapropiada a través de su organización (como se introdujo en la prevención de la distribución inapropiada de información clasificada de seguridad).
• Los servicios de identificación de datos, como el Explorador de contenido, se pueden usar para identificar dónde puede residir información confidencial de propiedad estatal o generada en los servicios¹ de Microsoft 365.

Nota:

¹ Esta configuración es avanzada y se recomienda para organizaciones familiarizadas con Microsoft Purview.

cifrado de Azure Rights Management

Azure Rights Management se usa para asegurarse de que solo los usuarios autorizados puedan acceder al contenido con una etiqueta aplicada.

Para obtener información sobre cómo configurar Azure Rights Management cifrado, consulte configuración del cifrado de mensajes.

A continuación se muestra un ejemplo aplicable al Gobierno australiano.

• Se podría usar una subetiqueta marcada como Solo interno para permitir a los usuarios restringir elementos solo a los usuarios internos.
• Solo se podría usar una subetiqueta de Destinatarios para garantizar que los correos electrónicos no se puedan reenviar a destinatarios no autorizados.
• Solo se puede usar una subetiqueta de Project Budgerigar para asegurarse de que solo el subconjunto de usuarios que tienen información necesaria para Project Budgerigar y la información relacionada puede acceder a los elementos.

Con estas etiquetas y controles asociados junto con el conjunto básico de etiquetas OFICIALES: confidenciales, el resultado de la topología es:

• OFFICIAL: Confidencial
  • OFFICIAL: Solo confidencial interno
  • OFICIAL: Solo destinatarios confidenciales
  • OFICIAL: Solo budgerigar de proyecto confidencial
  • OFICIAL: Confidencial (sin protección)
  • OFICIAL: Privacidad personal confidencial
  • OFICIAL: Privilegios legales confidenciales
  • OFICIAL: Secreto legislativo confidencial
  • OFICIAL: GABINETE NACIONAL CONFIDENCIAL

Hay algunos desafíos obvios con el ejemplo anterior, entre los que se incluyen:

• La lista de etiquetas es mucho más larga, lo que podría afectar a la facilidad de uso.
• Las etiquetas adicionales provocan más requisitos de configuración en servicios asociados, como DLP, lo que aumenta la complejidad.
• El conjunto anterior de opciones de etiqueta requiere que los usuarios tengan que tomar decisiones sobre si deben aplicar una configuración de IMM, CAVEAT o cifrado, lo que presenta un problema.

En tales situaciones, las protecciones proporcionadas por el cifrado deben ser la prioridad principal. Las IMM se consideran opcionales según PSPF, por lo que deben considerarse como prioridad inferior. Las advertencias, como EL GABINETE NACIONAL, son probablemente más importantes que las IMM y no se deben omitir. Lo que es probable que esto lleve a son requisitos de etiqueta adicionales a medida que las organizaciones buscan aplicar protecciones más recientes a los elementos.

En el ejemplo se muestra que es probable que los requisitos de etiqueta crezcan con el tiempo. A partir de un gran conjunto de etiquetas se producirá aún más complejidad en el futuro. Microsoft recomienda limitar las etiquetas publicadas a un conjunto de núcleos requerido por los usuarios y omitir las combinaciones IMM y Caveat que no sean necesarias para su organización. Al limitar los usuarios a un conjunto de núcleos, permite que la configuración crezca sin afectar a la facilidad de uso ni a la complejidad.