Protección de los datos con Confianza cero
Fondo
Confianza cero es una estrategia de seguridad que se usa para diseñar principios de seguridad para su organización. Confianza cero ayuda a proteger los recursos corporativos mediante la implementación de los siguientes principios de seguridad:
Comprobar de forma explícita. Siempre autenticar y autorizar en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.
Usar el acceso con privilegios mínimos. Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.
Asumir la vulneración. Minimice el radio de impacto y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.
Microsoft Purview propone cinco elementos principales para una estrategia de defensa de datos en profundidad y una implementación de Confianza cero para los datos:
Clasificación y etiquetado de datos
Si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlos adecuadamente. Detecte datos en toda la organización y clasifíquelos por nivel de confidencialidad.Information Protection
El acceso condicional y con privilegios mínimos a los datos confidenciales reduce los riesgos para la seguridad de los datos. Aplique límites de protección de control de acceso basados en la confidencialidad, administración de derechos y cifrado cuando los controles del entorno no sean suficientes. Use marcas de confidencialidad de la información para aumentar la concienciación y el cumplimiento de las directivas de seguridad.Prevención contra la pérdida de datos
El control del acceso resuelve solo parte del problema. La comprobación y el control de las actividades y movimientos de datos de riesgo que podrían dar lugar a un incidente de cumplimiento o seguridad de datos permite a las organizaciones evitar el uso compartido excesivo de datos confidenciales.Administración de riesgos internos
Es posible que el acceso a datos no siempre proporcione toda la historia. Minimice los riesgos para los datos al habilitar la detección de una amplia gama de señales de comportamiento, así como al tomar medidas respecto a actividades potencialmente malintencionadas e involuntarias en su organización que podrían provocar o indicar una vulneración de datos.Gobernanza de datos
La administración proactiva del ciclo de vida de los datos confidenciales reduce su exposición. Limite el número de copias o la propagación de datos confidenciales y elimine los datos que ya no son necesarios para minimizar los riesgos de vulneración de datos.
Objetivos de la implementación de Confianza cero para los datos
Al implementar un marco de Confianza cero integral para los datos, es recomendable centrarse en estos objetivos de implementación iniciales: |
|
I. Clasificar y etiquetar los datos. Clasifique y etiquete automáticamente los datos siempre que sea posible. Aplique manualmente donde no lo haga. II. Aplicar el cifrado, el control de acceso y las marcas de contenido. Aplique el cifrado donde la protección y el control de acceso sean insuficientes. III. Controlar el acceso a los datos. Controle el acceso a datos confidenciales para que estén mejor protegidos. Asegúrese de que las decisiones de las directivas de acceso y uso abordan la confidencialidad de los datos. |
|
A medida que avanza hacia la consecución de los objetivos anteriores, agregue estos objetivos de implementación adicionales: |
|
IV. Evitar la pérdida de datos. Use directivas DLP controladas por señales de riesgo y confidencialidad de datos. V. Administrar riesgos. Administre los riesgos que podrían provocar un incidente de seguridad de datos comprobando las actividades de usuario relacionadas con la seguridad de riesgo y los patrones de actividad de datos que podrían dar lugar a un incidente de cumplimiento o seguridad de datos. VI. Reducir la exposición de los datos. Reducción de la exposición de los datos mediante la gobernanza de datos y la minimización de datos continua |
Guía de implementación del modelo de Confianza cero para los datos
Esta guía le indicará los pasos detallados de un enfoque de Confianza cero para la protección de datos. Tenga en cuenta que estos elementos variarán ampliamente en función de la confidencialidad de la información y del tamaño y la complejidad de la organización.
Como precursor de cualquier implementación de seguridad de datos, Microsoft recomienda crear un marco de clasificación de datos y una taxonomía de etiquetas de confidencialidad que defina categorías de alto nivel de riesgo para la seguridad de los datos. Esta taxonomía se usará para simplificar todo, desde el inventario de datos o la información de actividad, hasta la administración de directivas y la priorización de la investigación.
Para más información, vea:
|
Objetivos de implementación adicionales |
I. Clasificar, etiquetar y detectar datos confidenciales
Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización.
Las clasificaciones y las etiquetas de confidencialidad le permiten comprender dónde se encuentra la información confidencial, conocer cómo se mueve e implementar los controles de acceso y uso adecuados de acuerdo con los principios de confianza cero:
Use la clasificación y el etiquetado automatizados para detectar información confidencial y escalar la detección a todo su patrimonio de datos.
Use el etiquetado manual para documentos y contenedores y almacene manualmente conjuntos de datos usados en el análisis en el que los usuarios con conocimientos establecen mejor la clasificación y la confidencialidad.
Siga estos pasos:
Una vez que haya configurado y probado la clasificación y el etiquetado, escale verticalmente la detección de datos a todo su patrimonio de datos.
Siga estos pasos para ampliar la detección más allá de los servicios de Microsoft 365:
Detección y protección de la información confidencial en aplicaciones SaaS
Más información sobre los exámenes y la ingesta en el Portal de gobernanza de Microsoft Purview
A medida que detecte, clasifique y etiquete los datos, use esa información para corregir el riesgo y fundamentar sus iniciativas de administración de directivas.
Siga estos pasos:
II. Aplicar cifrado, control de acceso y marcas de contenido
Simplifique la implementación de privilegios mínimos mediante el uso de etiquetas de confidencialidad para proteger los datos más confidenciales con cifrado y control de acceso. Use marcas de contenido para mejorar el reconocimiento por parte de los usuarios y la rastreabilidad.
Protección de documentos y correos electrónicos
Microsoft Purview Information Protection permite controlar el acceso y el uso en función de etiquetas de confidencialidad o permisos definidos por el usuario para documentos y correos electrónicos. También puede aplicar marcas y cifrar la información que reside en entornos de menor confianza internos o externos a su organización o que fluye a ellos. Proporciona protección en reposo, en movimiento y en uso para las aplicaciones habilitadas.
Siga estos pasos:
- Revisión de las opciones de cifrado en Microsoft 365
- Restricción del acceso al contenido y del uso mediante etiquetas de confidencialidad
Protección de documentos en Exchange, SharePoint y OneDrive
Para los datos almacenados en Exchange, SharePoint y OneDrive, la clasificación automática con etiquetas de confidencialidad se puede implementar mediante directivas en ubicaciones de destino con el fin de restringir el acceso y administrar el cifrado del tráfico de salida autorizado.
Siga este paso:
III. Control del acceso a los datos
Proporcionar acceso a datos confidenciales debe controlarse para que estén mejor protegidos. Asegúrese de que las decisiones de las directivas de acceso y uso abordan la confidencialidad de los datos.
Control del acceso y el uso compartido de datos en Teams, Grupos de Microsoft 365 y sitios de SharePoint
Use etiquetas de confidencialidad en contenedores para implementar restricciones de acceso condicional y uso compartido en Microsoft Teams, Grupos de Microsoft 365 o sitios de SharePoint.
Siga este paso:
Control del acceso a datos en aplicaciones SaaS
Microsoft Defender for Cloud Apps proporciona funcionalidades adicionales para el acceso condicional y para administrar archivos confidenciales en Microsoft 365 y entornos de terceros, como Box o Google Workspace, entre las que se incluyen:
Eliminación de permisos para abordar privilegios excesivos y evitar la pérdida de datos.
Puesta en cuarentena de archivos para su revisión.
Aplicación de etiquetas a archivos confidenciales.
Siga estos pasos:
Sugerencia
Consulte el artículo Integración de aplicaciones SaaS para Confianza cero con Microsoft 365 para obtener información sobre cómo aplicar los principios de Confianza cero para administrar su infraestructura digital de aplicaciones en la nube.
Control del acceso al almacenamiento de IaaS/PaaS
Implemente directivas de control de acceso obligatorias en recursos de IaaS/PaaS que contienen datos confidenciales.
Siga este paso:
IV. Evitar la pérdida de datos
Es necesario controlar el acceso a los datos, pero no es suficiente para ejercer el control sobre el movimiento de datos y evitar la pérdida de datos involuntaria o no autorizada. Este es el papel de la prevención de pérdida de datos y la administración de riesgos internos, que se describe en la sección IV.
Use las directivas DLP de Microsoft Purview para identificar, comprobar y proteger automáticamente los datos confidenciales en:
Servicios de Microsoft 365, como Teams, Exchange, SharePoint y OneDrive
Aplicaciones de Office, como Word, Excel y PowerPoint
Puntos de conexión de Windows 10, Windows 11 y macOS (tres versiones más recientes)
recursos compartidos de archivos locales y SharePoint local
Aplicaciones en la nube no de Microsoft
Siga estos pasos:
Más información sobre el panel Alertas de prevención de pérdida de datos
Revisión de la actividad de los datos con el Explorador de actividades
V. Administrar los riesgos internos
Las implementaciones con privilegios mínimos ayudan a minimizar los riesgos conocidos, pero también es importante correlacionar señales adicionales de comportamiento del usuario relacionadas con la seguridad, comprobar patrones de acceso a datos confidenciales y a amplias funcionalidades de detección, investigación y búsqueda.
Realice estos pasos:
VI. Eliminar la información confidencial innecesaria
Las organizaciones pueden reducir la exposición de los datos mediante la administración del ciclo de vida de sus datos confidenciales.
Quite todos los privilegios en los que pueda eliminar los datos confidenciales cuando ya no sea valioso ni permitido para su organización.
Siga este paso:
Minimice la duplicación de datos confidenciales al favorecer el uso y el uso compartido locales en lugar de las transferencias de datos.
Siga este paso:
Productos incluidos en esta guía
Microsoft Defender for Cloud Apps
Para más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente.
La serie de la guía de implementación de Confianza cero