Recomendaciones para establecer una línea base de seguridad
Se aplica a la recomendación de la lista de verificación de seguridad bien diseñada: Power Platform
| SE:01 | Establezca una base de seguridad alineada con los requisitos de cumplimiento, los estándares de la industria y las recomendaciones de la plataforma. Mida regularmente la arquitectura y las operaciones de su carga de trabajo con respecto a la línea de base para mantener o mejorar su posición de seguridad a lo largo del tiempo. |
|---|
Esta guía describe las recomendaciones para establecer una base de seguridad para desarrollar cargas de trabajo con Microsoft Power Platform. Una línea base de seguridad es un conjunto de estándares mínimos de seguridad y mejores prácticas que una organización aplica a sus sistemas y servicios de TI. Una base de seguridad ayuda a reducir el riesgo de ciberataques, filtraciones de datos y acceso no autorizado. Una línea de base de seguridad también ayuda a garantizar la coherencia, la responsabilidad y la auditabilidad en toda la organización.
Una buena base de seguridad le ayuda a:
- Reducir el riesgo de ciberataques, filtraciones de datos y acceso no autorizado.
- Garantizar la coherencia, la responsabilidad y la auditabilidad en toda la organización.
- Mantener sus datos y sistemas seguros.
- Cumplir con los requisitos reglamentarios.
- Minimizar el riesgo de supervisión.
Las líneas de base de seguridad deben publicarse ampliamente en toda su organización para que todas las partes interesadas conozcan las expectativas.
Establecer una base de seguridad para Microsoft Power Platform implica varios pasos y consideraciones, tales como:
Comprender la arquitectura y los componentes de Power Platform, como entornos, conectores, Dataverse, Power Apps, Power Automate y Copilot Studio.
Configurar los ajustes y roles de seguridad para Power Platform a nivel de inquilino, entorno y recursos, como políticas de prevención de pérdida de datos, permisos de entorno y grupos de seguridad.
Aprovechando Microsoft Entra ID para gestionar las identidades de los usuarios, la autenticación y la autorización para Power Platform e integración con otras funciones de Entra ID, como acceso condicional y autenticación multifactor.
Aplicar métodos de protección y cifrado de datos para proteger los datos almacenados y procesados por Power Platform, como etiquetas de confidencialidad y claves administradas por el cliente.
Monitorear y auditar las actividades y el uso de Power Platform, utilizando herramientas como Power Platform Centro de administración, Entornos administrados, y Microsoft Purview.
Implementar directivas y procesos de gobernanza para Power Platform, como definir los roles y responsabilidades de las diferentes partes interesadas, establecer flujos de trabajo de aprobación y gestión de cambios, y brindar orientación y capacitación para usuarios y desarrolladores.
Esta guía le ayuda a establecer una base de seguridad que tenga en cuenta factores tanto internos como externos. Los factores internos incluyen sus necesidades comerciales, factores de riesgo y evaluación de activos. Los factores externos incluyen puntos de referencia de la industria y estándares regulatorios. Siguiendo estos pasos y consideraciones, una organización puede establecer una base de seguridad para Power Platform que se alinee con sus objetivos comerciales, requisitos de cumplimiento y apetito de riesgo. Una línea base de seguridad puede ayudar a una organización a maximizar los beneficios de Power Platform minimizando al mismo tiempo las posibles amenazas y desafíos.
Definiciones
| Término | Definición |
|---|---|
| Línea de base | El nivel mínimo de prestaciones de seguridad que debe tener una carga de trabajo para evitar ser explotada. |
| Punto de referencia | Un estándar que indica la postura de seguridad a la que aspira la organización. Se evalúa, mide y mejora con el tiempo. |
| Controles | Controles técnicos u operativos sobre la carga de trabajo que ayudan a prevenir ataques y aumentar los costos de los atacantes. |
| Requisitos reglamentarios | Un conjunto de requisitos comerciales, impulsados por estándares de la industria, que imponen las leyes y autoridades. |
Estrategias clave de diseño
Una línea base de seguridad es una guía que describe los requisitos y características de seguridad que la carga de trabajo debe cumplir para mejorar y mantener la seguridad. Puede hacer que una línea de base sea más avanzada agregando políticas que utilice para establecer límites. La línea de base debe ser el estándar que utiliza para medir su nivel de seguridad. Trate de alcanzar siempre la línea de base completa mientras cubre un amplio alcance.
Cree la línea de base obteniendo consenso entre los líderes empresariales y técnicos. La línea de base debe incluir controles técnicos, pero también aspectos operativos de gestión y mantenimiento de la postura de seguridad.
Para establecer una base de seguridad para Power Platform, considere las siguientes estrategias de diseño clave:
Utilice el Microsoft punto de referencia de seguridad en la nube (MCSB) como marco de referencia. El MCSB es un conjunto integral de mejores prácticas de seguridad que cubre varios aspectos de la seguridad en la nube, como la gestión de identidades y acceso, la protección de datos, la seguridad de la red, la protección contra amenazas y la gobernanza. Puede utilizar el MCSB para evaluar su postura de seguridad actual e identificar brechas y áreas de mejora.
Personalice el MCSB para adaptarlo a sus necesidades comerciales específicas, requisitos de cumplimiento y apetito de riesgo. Es posible que necesite agregar, modificar o eliminar algunos de los controles MCSB según el contexto y los objetivos de su organización. Por ejemplo, es posible que necesite alinear su base de seguridad con los estándares de la industria (como ISO 27001 o NIST 800-53) o marcos regulatorios (como RGDP, el Reglamento General de Protección de Datos o HIPAA, la Ley de Responsabilidad y Portabilidad del Seguro Médico). que sean relevantes para su dominio o región.
Defina el alcance y la aplicabilidad de su línea base de seguridad para Power Platform. Debe especificar claramente qué componentes, características y servicios de Power Platform están cubiertos por su línea base de seguridad y cuáles están fuera de alcance o requieren consideraciones especiales. Por ejemplo, es posible que necesite definir diferentes requisitos de seguridad para diferentes tipos de entornos de Power Platform (como producción, desarrollo o espacio aislado), conectores (como estándar, personalizado o premium) o aplicaciones (como lienzo, basado en modelos o páginas).
Si sigue estas estrategias de diseño, puede crear un documento de referencia de seguridad para Power Platform que refleje sus objetivos y estándares de seguridad y le ayude a proteger sus datos y activos en la nube.
A medida que la carga de trabajo cambia y el entorno crece, es importante mantener la línea de base actualizada con los cambios para asegurarse de que los controles básicos sigan funcionando. A continuación se presentan algunas recomendaciones para el proceso de creación de una línea base de seguridad:
activo inventario. Identifique las partes interesadas de los activos de carga de trabajo y los objetivos de seguridad para esos activos. En el inventario de activos clasificar por requisitos de seguridad y criticidad. Para obtener más información sobre activos de datos, consulte Recomendaciones de clasificaciones de datos.
Definir niveles de cargas de trabajo. A medida que define su línea base de seguridad, es importante considerar cómo va a categorizar las soluciones creadas en función de la criticidad para que pueda desarrollar procesos que aseguren que las aplicaciones críticas tengan las medidas de seguridad necesarias para brindarles soporte y, al mismo tiempo, no sofocar. innovación de escenarios de productividad.
Evaluación de riesgos. Identifique los riesgos potenciales asociados con cada activo y priorícelos.
Requisitos de cumplimiento. Base de referencia de cualquier normatividad o cumplimiento para esos activos y aplique las mejores prácticas de la industria.
Estándares de configuración. Defina y documente configuraciones y ajustes de seguridad específicos para cada activo. Si es posible, cree una plantilla o busque una forma automatizada y repetible de aplicar la configuración de manera consistente en todo el entorno. Considere configuraciones en todos los niveles. Comience con configuraciones de seguridad a nivel de inquilino relacionadas con el acceso o la red. Luego, considere configuraciones de seguridad específicas de recursos de Power Platform, como configuraciones específicas de Power Pages, así como configuraciones de seguridad específicas de cargas de trabajo, como cómo se comparte la carga de trabajo.
Control de acceso y autenticación. Especifique los requisitos de control de acceso basado en roles (RBAC) y autenticación multifactor (MFA). Documente lo que significa el acceso suficiente a nivel de activos. Comience siempre con el principio de privilegio mínimo.
Documentación y comunicación. Documente todas las configuraciones, directivas y procedimientos. Comunicar los detalles a las partes interesadas relevantes.
Cumplimiento y rendición de cuentas. Establecer mecanismos claros de aplicación y consecuencias por el incumplimiento de la línea base de seguridad. Haga que las personas y los equipos sean responsables del mantenimiento de los estándares de seguridad.
Monitoreo continuo. Evaluar la eficacia de la línea base de seguridad a través de la observabilidad y realizar mejoras con el tiempo.
Composición de una línea base
A continuación se presentan algunas categorías comunes que deberían formar parte de una línea de base. La siguiente lista no es exhaustiva. Está pensado como una descripción general del alcance del documento
Cumplimiento normativo
Sus elecciones de diseño pueden verse afectadas por los requisitos de cumplimiento normativo para segmentos industriales específicos o debido a restricciones geográficas. Es clave comprender los requisitos de cumplimiento normativo e incluirlos en la arquitectura de su carga de trabajo.
La línea de base debe incluir una evaluación periódica de la carga de trabajo en comparación con los requisitos reglamentarios. Aproveche las herramientas proporcionadas por la plataforma, como Microsoft Power asesor, que pueden identificar áreas de incumplimiento. Trabaje con el equipo de cumplimiento de su organización para asegurarse de que se cumplan y mantengan todos los requisitos.
Ejemplo
Las organizaciones de ciencias biológicas crean soluciones que deben cumplir con los requisitos de las buenas prácticas clínicas, de laboratorio y de fabricación (GxP). Puede aprovechar las eficiencias de la nube y al mismo tiempo proteger la seguridad del paciente, la calidad del producto y la integridad de los datos. Para obtener más información, consulte las Microsoft directrices de GxP para Dynamics 365 y Power Platform.
Si bien no existe una certificación GxP específica para los proveedores de servicios en la nube, Microsoft Azure (que alberga Power Platform) se ha sometido a auditorías de terceros independientes para la gestión de calidad y seguridad de la información, incluidas las certificaciones ISO 9001 e ISO/IEC 27.001. Si está implementando aplicaciones en Power Platform, considere los siguientes pasos:
- Determine los requisitos de GxP aplicables a su sistema computarizado según su uso previsto.
- Siga los procedimientos internos para los procesos de calificación y validación para demostrar el cumplimiento de los requisitos de GxP.
Procesos de desarrollo
La línea base debe tener recomendaciones sobre:
- Tipos de recursos de Power Platform aprobados para su uso.
- Supervisión de los recursos.
- Implementación de capacidades de registro y auditoría.
- Compartir recursos.
- Hacer cumplir directivas para usar o configurar recursos.
- Protección de datos y seguridad de la red.
El equipo de desarrollo debe tener una comprensión clara del alcance de los controles de seguridad, cómo diseñar y desarrollar soluciones de Power Platform teniendo en cuenta la seguridad y cómo realizar evaluaciones de seguridad periódicas. Por ejemplo, aplicar el principio de privilegio mínimo, separar los entornos de desarrollo y producción, utilizar conectores y puertas de enlace seguros y validar las entradas y salidas del usuario son requisitos para garantizar que la carga de trabajo sea segura. Comunique cómo se pueden identificar las amenazas potenciales y sea específico sobre cómo realizar las comprobaciones.
Para más información, consulte Recomendaciones sobre análisis de amenazas.
El proceso de desarrollo también debería establecer estándares sobre diversas metodologías de prueba. Para más información, consulte Recomendaciones sobre prueba de seguridad.
Operaciones
La línea de base debe incluir estándares sobre cómo detectar amenazas y cómo generar alertas sobre actividades anómalas que indiquen incidentes reales.
La línea de base debe incluir recomendaciones para establecer procesos de respuesta a incidentes, incluida la comunicación y un plan de recuperación, y señalar cuáles de esos procesos pueden automatizarse para acelerar la detección y el análisis. Para ver ejemplos, consulte el Microsoft punto de referencia de seguridad en la nube: incidente n.° respuesta.
Utilice los estándares de la industria para desarrollar planes de incidentes de seguridad y violaciones de datos, y asegúrese de que el equipo de operaciones tenga un plan integral a seguir cuando se descubra una violación. Consulte con su organización si hay cobertura a través de ciberseguros.
Aprendizaje
La formación es vital. Tenga en cuenta que, a menudo, quienes desarrollan las aplicaciones no son plenamente conscientes de los riesgos de seguridad. Si su organización realiza alguna capacitación sobre cómo crear cargas de trabajo con Power Platform, incorpore su base de seguridad en esos esfuerzos. Alternativamente, si su organización lleva a cabo capacitación en seguridad para toda la organización, incluya su base de seguridad de Power Platform en esa capacitación.
Su capacitación debe incluir educación sobre las barreras de seguridad para todos los inquilinos y las configuraciones que podrían afectar las cargas de trabajo que se están construyendo. También requieren capacitación sobre las configuraciones que los fabricantes deben realizar para sus cargas de trabajo, como roles de seguridad y cómo conectarse a los datos. Determine el proceso para colaborar con ellos en cualquier solicitud que puedan tener.
Desarrollar y mantener un programa de capacitación en seguridad para garantizar que el equipo de carga de trabajo esté equipado con las habilidades adecuadas para respaldar los objetivos y requisitos de seguridad. El equipo necesita capacitación fundamental en seguridad y capacitación sobre conceptos de seguridad Power Platform.
Utilice la línea de base
Utilice la línea de base para impulsar iniciativas y decisiones. A continuación, se muestran algunas formas de utilizar la línea de base para impulsar mejoras en la postura de seguridad de su carga de trabajo:
Preparar decisiones de diseño. Utilice la base de seguridad para comprender los requisitos y expectativas de seguridad de sus cargas de trabajo de Power Platform. Asegúrese de que los miembros del equipo estén informados sobre las expectativas antes de comenzar el diseño arquitectónico. Evite ajustes costosos durante la fase de implementación garantizando que los miembros del equipo conozcan la base de seguridad y su papel en el cumplimiento de los requisitos de seguridad. Utilice la línea base de seguridad como requisito de la carga de trabajo y diseñe su carga de trabajo dentro de los límites y restricciones definidos por la línea base.
Mide tu diseño. Use la línea base de seguridad para evaluar su postura de seguridad actual e identificar brechas y áreas de mejora. Documente cualquier desviación que se aplace o se considere aceptable a largo plazo y establezca claramente cualquier decisión tomada con respecto a las desviaciones.
Impulsar mejoras. La línea base de seguridad define sus objetivos, pero es posible que no pueda alcanzarlos todos de inmediato. Documente cualquier brecha y priorícela según su importancia. Especifique claramente qué brechas son aceptables a corto o largo plazo y proporcione los motivos de estas decisiones.
Realice un seguimiento de su progreso en comparación con la línea de base. Supervise sus medidas de seguridad con respecto a la línea de base de seguridad para identificar tendencias y revelar desviaciones de la línea de base. Utilice la automatización siempre que sea posible y utilice los datos recopilados del seguimiento del progreso para identificar y abordar los problemas actuales y prepararse para amenazas futuras.
Coloque barandillas. Utilice su base de seguridad para establecer y administrar límites de protección y un marco de gobierno para sus cargas de trabajo de Power Platform. Los límites de protección imponen las configuraciones, tecnologías y operaciones de seguridad requeridas, en función de factores internos y externos. Los límites de protección ayudan a minimizar el riesgo de supervisión involuntaria y multas punitivas por incumplimiento. Puede utilizar funciones listas para usar en el Centro de administración de Power Platform y Entornos administrados para establecer barreras de seguridad, o crear las suyas propias utilizando la implementación de referencia del CoE Starter Kit o sus propios scripts/herramientas. Probablemente utilizará una combinación de herramientas personalizadas y listas para usar para configurar sus barreras de seguridad y su marco de gobernanza. Piense en qué partes de su base de seguridad se pueden aplicar de forma proactiva y cuáles supervisará de forma reactiva.
Explore Microsoft Purview for Power Platform, Power asesor, conceptos integrados en Power Platform Centro de administración como Políticas de datos y aislamiento de inquilino, e implementaciones de referencia como el CoE Starter Kit para implementar y aplicar configuraciones de seguridad y requisitos de cumplimiento.
Evalúe la línea de base periódicamente
Mejore continuamente los estándares de seguridad hacia el estado ideal para garantizar la reducción continua de riesgos. Realice un seguimiento de las últimas actualizaciones de seguridad en Power Platform consultando la hoja de ruta y los anuncios con regularidad. Luego, identifique qué nuevas funciones podrían mejorar su base de seguridad y planifique cómo implementarlas. Cualquier modificación a la línea base debe ser aprobada oficialmente y pasar por los procesos de gestión de cambios adecuados.
Mida el sistema con respecto a la nueva línea de base y priorice las soluciones en función de su relevancia y efecto en la carga de trabajo.
Asegúrese de que la postura de seguridad no se degrade con el tiempo mediante la implementación de auditorías y monitoreo del cumplimiento de los estándares organizacionales.
Seguridad en Microsoft Power Platform
Power Platform está creado sobre unos fuertes cimientos de seguridad. Utiliza la misma pila de seguridad que ha posicionado a Azure como custodio de confianza de los datos más confidenciales del mundo, y se integra con las herramientas de cumplimiento y protección de la información más avanzadas de Microsoft 365. Power Platform ofrece protección integral diseñada en torno a las preocupaciones más desafiantes de nuestros clientes.
El servicio se rige por los Términos de servicios en línea y la Declaración de privacidad empresarial. Power Platform Microsoft Microsoft Para conocer la ubicación del procesamiento de datos, consulte los Microsoft Términos de Servicios en Línea y el Anexo de Protección de Datos.
El Microsoft Centro de confianza es el recurso principal para obtener información sobre cumplimiento. Power Platform Para obtener más información, consulte Microsoft Ofertas de cumplimiento.
El servicio Power Platform sigue el ciclo de vida de desarrollo de seguridad (SDL). El SDL es un conjunto de prácticas estrictas que respaldan los requisitos de cumplimiento y garantía de seguridad. Para obtener más información, consulte Microsoft Prácticas del ciclo de vida del desarrollo de seguridad.
Facilitación de Power Platform
El punto de referencia de seguridad en la nube (MCSB) es un marco integral de mejores prácticas de seguridad que puede utilizar como punto de partida para su línea base de seguridad. Microsoft Úselo junto con otros recursos que proporcionen información sobre su línea de base. Para obtener más información, consulte Introducción al Microsoft punto de referencia de seguridad en la nube.
La página de Seguridad en Power Platform apuntar le ayuda a administrar la seguridad de su organización con las mejores prácticas y un conjunto integral de características para garantizar la máxima seguridad. Por ejemplo, para:
- Evalúe su estado de seguridad: Comprenda y mejore las políticas de seguridad de su organización para satisfacer sus necesidades específicas.
- Actuar según las recomendaciones: Identificar e implementar las recomendaciones más impactantes para mejorar la evaluación.
- Establecer políticas proactivas: Utilice el amplio conjunto de herramientas y capacidades de seguridad disponibles para obtener una visibilidad profunda, detectar amenazas y establecer políticas de forma proactiva para ayudar a proteger a la organización de vulnerabilidades y riesgos.
Alineación de la organización
Asegúrese de que la línea base de seguridad que establezca para Power Platform esté bien alineada con las líneas base de seguridad de su organización. Trabaje en estrecha colaboración con los equipos de seguridad de TI de su organización para aprovechar su experiencia.
- Descripción general de la disciplina de línea base de seguridad
- Plantilla de disciplina de línea base de seguridad
Información relacionada
- Microsoft cumplimiento
- Microsoft Power Platform documentación de seguridad y gobernanza
- Microsoft Copilot Studio documentación de seguridad y gobernanza
- Microsoft Copilot Studio ofertas de cumplimiento
- Preguntas frecuentes sobre IA responsable para Microsoft Power Platform
- Preguntas frecuentes sobre IA responsable para Copilot Studio
- Descripción general del Microsoft referencia de seguridad en la nube
- ¿Qué es la respuesta ante incidentes? Planificación y pasos
Lista de verificación de seguridad
Consulte el conjunto completo de recomendaciones.