Descripción de la administración de riesgos internos en Microsoft Purview

  • 6 minutos

Administración de riesgos internos de Microsoft Purview es una solución que ayuda a minimizar los riesgos internos, ya que permite a una organización detectar, investigar y actuar sobre actividades peligrosas y malintencionadas.

La administración y reducción del riesgo en una organización comienza con la comprensión de los tipos de riesgos que se encuentran en el área de trabajo moderna. Algunos riesgos están controlados por eventos y factores externos y están fuera del control directo de una organización. Otros riesgos están impulsados por eventos internos y actividades de empleados que se pueden eliminar y evitar. Estos son algunos ejemplos:

  • Fugas de datos confidenciales y pérdida de datos
  • Infracciones de confidencialidad
  • Robo de propiedad intelectual (IP)
  • Fraude
  • Transacciones internas
  • Infracciones de cumplimiento normativo

La administración de riesgos internos se centra en los siguientes principios:

  • Transparente: equilibre la privacidad del usuario frente al riesgo de la organización con la arquitectura de privacidad por diseño.
  • Configurable: directivas configurables basadas en grupos industriales, geográficos y empresariales.
  • Integrada: flujo de trabajo integrado entre soluciones de Microsoft Purview.
  • Accionable: proporciona información para habilitar las notificaciones de usuario, las investigaciones de datos y las investigaciones de usuario.

Flujo de trabajo de administración de riesgos internos

La administración de riesgos internos ayuda a las organizaciones a identificar, investigar y abordar los riesgos internos. Con las plantillas de directiva enfocadas, la señal de actividad completa en Microsoft 365 y un flujo de trabajo flexible, las organizaciones pueden aprovechar la información accionable para ayudar a identificar y resolver rápidamente el comportamiento arriesgado. La identificación y resolución de las actividades de riesgo interno y los problemas de compatibilidad con la administración de riesgos internos en Microsoft Purview se consigue mediante el siguiente flujo de trabajo:

Diagrama del flujo de trabajo de la administración de riesgos internos

  • Directivas: las directivas de administración de riesgos internos se crean mediante plantillas predefinidas y condiciones de directivas que definen qué indicadores de riesgo se examinan en áreas de características de Microsoft 365. Estas condiciones incluyen cómo se usan los indicadores para las alertas, qué usuarios están incluidos en la directiva, qué servicios están clasificados por orden de prioridad y el período de supervisión.

  • Alertas: las alertas se generan automáticamente mediante indicadores de riesgo que coinciden con las condiciones de directiva y se muestran en la página de alertas, que proporciona una vista rápida de todas las alertas que necesitan revisión, las alertas abiertas a lo largo del tiempo y las estadísticas de alertas de la organización. Las alertas DLP también se pueden ver en el portal de Microsoft Defender, donde se combinan automáticamente en incidentes que proporcionan una vista completa de las posibles infracciones de las directivas y herramientas avanzadas de investigación y corrección.

  • Evaluación de prioridades: las nuevas actividades que necesitan investigación generan automáticamente alertas a las que se les asigna un estado de Necesita revisión. Los revisores de la organización pueden identificar rápidamente estas alertas y desplazarse por cada una de ellas para evaluarlas y evaluar las prioridades. Las alertas se resuelven abriendo un nuevo caso, asignando la alerta a un caso existente o descartando la alerta. Como parte del proceso de evaluación de prioridades, los revisores pueden ver los detalles de la alerta para la coincidencia de la directiva, la actividad de usuario asociada con la coincidencia y la gravedad de la alerta, así como revisar la información de perfil de usuario.

  • Investigación: los casos se crean para las alertas que requieren una revisión y una investigación más detalladas de la información y las circunstancias de la coincidencia de la directiva. La página de casos proporciona una vista general de todos los casos activos, los casos abiertos a lo largo del tiempo y las estadísticas de casos de la organización. Al seleccionar un caso, se abre para su investigación y revisión. Esta área es donde las actividades de riesgo, las condiciones de la directiva, los detalles de las alertas y los detalles del usuario se sintetizan en una vista integrada para los revisores. Las principales herramientas de investigación de esta área son:

    • Actividad del usuario: la actividad de riesgo del usuario se muestra automáticamente en un gráfico interactivo que traza las actividades a lo largo del tiempo y por nivel de riesgo para las actividades de riesgo actuales o anteriores. Los revisores pueden filtrar y ver rápidamente todo el historial de riesgos del usuario y profundizar en actividades específicas para obtener más información.
    • Explorador de contenido: todos los archivos de datos y los mensajes de correo electrónico asociados a las actividades de alerta se capturan y se muestran automáticamente en el explorador de contenido. Los revisores pueden filtrar y ver los archivos y mensajes por origen de datos, tipo de archivo, etiquetas, conversación y muchos más atributos.
    • Notas de casos: los revisores pueden proporcionar notas para un caso en la sección Notas del caso. En esta lista se consolidan todas las notas de una vista central e incluye la información enviada por el revisor y la fecha.

  • Acción: después de investigar los casos, los revisores pueden actuar rápidamente para resolver el caso o colaborar con otras partes interesadas de riesgo de la organización. Las acciones pueden ser tan simples como enviar una notificación cuando los empleados infrinjan las condiciones de la directiva accidental o involuntariamente. En casos más serios, es posible que los revisores necesiten compartir la información de los casos de administración de riesgos internos con otros revisores de la organización. La remisión de un caso para la investigación permite transferir datos y la administración del caso a eDiscovery en Microsoft Purview.

La administración de riesgos internos puede ayudarle a detectar, investigar y tomar medidas para mitigar los riesgos internos de la organización en varios escenarios comunes. Estos escenarios incluyen el robo de datos por parte de los empleados, la fuga intencional o accidental de información confidencial, el comportamiento ofensivo, etc.

Integración con Microsoft Security Copilot

Microsoft Purview Insider Risk Management admite la integración con Microsoft Security Copilot, a través de las experiencias independientes e insertadas.

Para experimentar la integración de Copilot, las organizaciones deben incorporarse a Copilot, han habilitado Copilot para acceder a los datos de los servicios de Microsoft 365 y los usuarios deben tener los permisos de rol adecuados.

Las funcionalidades de Microsoft Purview, que puede ver en la experiencia independiente seleccionando el icono de aviso y seleccionando todas las funcionalidades, son mensajes integrados que puede usar, pero también puede escribir sus propias indicaciones en función de las funcionalidades admitidas.

Recorte de pantalla de las funcionalidades de Microsoft Purview disponibles para Microsoft Security Copilot.

En la experiencia insertada, Copilot en Microsoft Purview Insider Risk Management admite el resumen de alertas. Para acceder a Copilot desde Administración de riesgos internos de Microsoft Purview, vaya a la cola de alertas para seleccionar la alerta que desea revisar. Se muestra información sobre la alerta y la opción para resumir la alerta. Seleccione Resumir para que Copilot genere el resumen de alertas.