Proteger los datos de Copilot para Microsoft 365 con las herramientas de seguridad de Microsoft 365

Completado

Muchas organizaciones tienen la preocupación de que sus usuarios compartan información personal o interna en exceso. Para abordar estos problemas, Microsoft proporciona herramientas de seguridad eficaces dentro de los ecosistemas de Microsoft 365 y Azure. Estas herramientas ayudan a las organizaciones a reforzar los permisos e implementar "acceso suficiente". Las directivas y la configuración que definen los administradores en estas herramientas no solo las usan Microsoft 365 y Azure para evitar el uso compartido excesivo de datos, sino también Microsoft 365 Copilot. Los administradores deben comprobar las prácticas de seguridad de su organización en relación con los permisos, el etiquetado de confidencialidad y el acceso a los datos para ayudar a evitar el posible uso compartido excesivo de datos empresariales confidenciales.

Microsoft recomienda el método "acceso suficiente" para abordar esta situación. Con este método, cada usuario solo puede acceder a la información específica necesaria para su trabajo. Este enfoque implica controlar estrechamente los permisos para que los usuarios no puedan acceder a documentos, sitios o datos que no deberían ver.

Para evitar el uso compartido excesivo, las organizaciones deben considerar la posibilidad de implementar los siguientes procedimientos recomendados:

• Realice una revisión de acceso para sitios, documentos, correos electrónicos y otro contenido. Identifique los activos sobreexpuestos. Hacer que los propietarios de datos realicen un inventario de sitios de SharePoint, bibliotecas de documentos, buzones de correo electrónico y otros recursos de datos. Identifique las áreas en las que los permisos de usuario sean más amplios de lo necesario. Por ejemplo, un sitio de SharePoint de "Ventajas de RR. HH. " visible para todos los empleados en lugar de solo para el equipo de RR. HH.
• Refuerce los permisos en los activos sobreexpuestos para que solo los usuarios autorizados tengan acceso. Con el ejemplo del elemento anterior, restrinja el acceso al sitio "Ventajas de RR. HH. " solo a los miembros del departamento de RR. HH. Del mismo modo, limite los documentos confidenciales de la hoja de ruta del producto solo a los administradores de productos pertinentes. Para limitar la exposición, configure el uso compartido externo y la expiración del acceso en correos electrónicos y documentos.
• Compruebe que restringir el acceso no impide que los usuarios puedan realizar su trabajo. Encueste y entreviste a los usuarios de activos restringidos para confirmar que todavía tienen acceso a toda la información necesaria para su rol. Por ejemplo, asegúrese de que Ventas todavía puede acceder a la información de contacto del cliente y a las especificaciones del proyecto, incluso si la empresa ha restringido los datos de RR. HH.
• Pruebe la funcionalidad de búsqueda para confirmar que los usuarios solo pueden acceder a información relevante para sus roles. Realice búsquedas en el muestreo de documentos, sitios y correos electrónicos como roles internos diferentes. Confirme que el personal financiero no puede acceder a los datos de RR. HH. Valide que los equipos entre departamentos conserven el acceso a los recursos de proyecto compartidos. El ajuste de permisos es un proceso iterativo.
• Implemente las herramientas de administración avanzada de Microsoft SharePoint. Como se indicó en el entrenamiento anterior, Administración avanzada de SharePoint (SAM) incluye varias herramientas para ayudar a las organizaciones a evitar el uso compartido excesivo, entre las que se incluyen:
  • Informes de gobernanza del acceso a datos. Estos informes identifican sitios que contienen contenido potencialmente sobrecompartido o confidencial. Estos informes también proporcionan información sobre los principales sitios con permisos de su organización. Cuando los administradores usan los informes de gobernanza de acceso a datos para identificar estos sitios, los administradores pueden realizar acciones correctivas para garantizar que los usuarios no autorizados no tengan acceso a los datos confidenciales. Este enfoque proactivo ayuda a las organizaciones a mantener un entorno de datos seguro y a evitar pérdidas accidentales de datos.
  • Control de acceso restringido para SharePoint y OneDrive. Puede evitar que los sitios y el contenido se detecten en el nivel de sitio habilitando la directiva Control de acceso restringido para sitios de SharePoint. La restricción de acceso al sitio solo permite que los usuarios del grupo de seguridad especificado o del grupo de Microsoft 365 accedan al contenido. También puede limitar el acceso al contenido compartido de OneDrive de un usuario solo a las personas de un grupo de seguridad con el control de acceso restringido para la directiva de OneDrive. Una vez habilitada la directiva, cualquier persona que no esté en el grupo de seguridad designado no puede acceder al contenido de ese OneDrive aunque se haya compartido anteriormente con ellos.
  • Revisión del acceso al sitio. Esta herramienta ayuda a los administradores a revisar y administrar periódicamente quién tiene acceso a sitios específicos de SharePoint. Esta característica permite a los administradores de TI delegar el proceso de revisión de los informes de gobernanza de acceso a datos a los propietarios del sitio, que están en la mejor posición para comprender el contexto y la necesidad del contenido compartido. Esta herramienta es útil para solucionar problemas de uso compartido excesivo identificados en los informes de gobernanza del acceso a datos. Cuando se marca un sitio para un posible uso compartido excesivo, los administradores pueden iniciar una revisión de acceso al sitio, solicitando a los propietarios del sitio que comprueben y administren los permisos de acceso.
  • Detección de contenido restringido. Esta característica impide que usuarios no autorizados detecten contenido confidencial, lo que mejora la seguridad de los datos limitando la visibilidad en función de los permisos de usuario. Esta característica restringe la visibilidad de determinado contenido en función de los permisos de usuario, lo que garantiza que solo aquellos con los niveles de acceso adecuados puedan encontrar y ver información confidencial. La detección de contenido restringido es importante para mantener la seguridad y el cumplimiento de los datos, ya que ayuda a controlar quién puede ver e interactuar con datos confidenciales. Esta herramienta limita la detección de contenido, lo que ayuda a las organizaciones a administrar sus datos de forma más segura y a evitar el uso compartido excesivo accidental.

Herramientas de Microsoft para proteger los datos

Microsoft 365, Microsoft 365 Copilot y los servicios conectados usan las directivas y la configuración que los administradores definen para reforzar los permisos e implementar "acceso suficiente". Lo hacen a través de complementos y conectores de Microsoft Graph para evitar el uso compartido excesivo de datos. En la lista siguiente se proporciona un breve resumen de algunas de las herramientas que los administradores pueden usar para definir estas directivas y configuraciones:

• Microsoft Purview Information Protection. Clasifique y cifre (opcionalmente) documentos y correos electrónicos en función de la confidencialidad. Puede crear directivas para restringir el acceso solo a los usuarios autorizados. Por ejemplo, puede:

  • Clasifique los documentos o correos electrónicos que contienen salarios de empleados como "Extremadamente confidencial" y restrinja el acceso solo al equipo de RR. HH.
  • Clasifique los datos de cliente como "Confidencial" y permita el acceso solo a los representantes de ventas asignados a ese cliente.
  • Clasifique los informes financieros como "Solo internos" y cífrelos automáticamente para evitar el uso compartido externo.
  • Clasifique las comunicaciones ejecutivas como "Solo para internos" y restrinja el acceso solo para los miembros del equipo directivo.

• Etiquetas de confidencialidad de Microsoft Purview. Clasifique y etiquete sitios, documentos y correos electrónicos de SharePoint con etiquetas de confidencialidad como "Confidencial" o "Solo uso interno". Puede crear directivas para limitar el acceso a los recursos con etiquetas de confidencialidad específicas. Por ejemplo, puede:

  • Etiquete las revisiones de rendimiento de los empleados con la etiqueta de confidencialidad "HR Confidential" y limite el acceso solo a los administradores de RR. HH.
  • Etiquete los datos del cliente con una etiqueta "Customer Confidential" y configure directivas para bloquear las descargas, las impresiones o los recursos compartidos de los elementos con esa etiqueta.
  • Etiquete los datos del cliente con "Confidencial" y configúrelos para cifrar automáticamente los archivos que tengan aplicada esta etiqueta.
  • Etiquete hojas de cálculo de contabilidad como "Finance Confidential" y limite el acceso solo a los miembros del equipo financiero.

• Directivas de acceso condicional de Microsoft Entra. Conceda o restrinja el acceso a la información y los servicios de Microsoft 365, incluido SharePoint, en función de condiciones como la ubicación del usuario, el dispositivo o la red. Estas directivas son útiles para limitar el acceso cuando el sistema detecta riesgos o las credenciales de usuario se ponen en peligro. Por ejemplo, puede:

  • Solicite la autenticación multifactor para acceder a sitios de SharePoint que contengan datos financieros al conectarse de forma remota.
  • Bloquee el uso compartido externo de sitios que contengan presentaciones internas a menos que los usuarios se conecten a través de dispositivos administrados en la red corporativa.
  • Solicite que los dispositivos administrados accedan a sitios que contengan código fuente del propietario.
  • Bloquee el acceso a sitios que contengan comunicados de prensa antes de la fecha del anuncio público.
  • Bloquee el acceso o solicite autenticación paso a paso con otro factor en los casos en los que el sistema detecte viajes imposibles, que a menudo indican el robo de credenciales.

• Microsoft Entra Privileged Identity Management (PIM). Proporcione acceso de administrador cuando sea necesario, aplique el principio de privilegios mínimos y limite los privilegios permanentes concediéndole solo a un usuario los permisos que necesite cuando sea necesario. Por ejemplo, puede:

  • Conceda roles con privilegios, como administrador de SharePoint o administrador global, solo durante las horas laborables aprobadas para minimizar el acceso permanente.
  • Solicite la autenticación multifactor y justificación para activar el acceso con privilegios a datos o aplicaciones.
  • Limite el acceso con privilegios como administrador de facturación a cinco horas por semana como máximo.
  • Solicite aprobación para activar el acceso a roles de administrador global de Microsoft 365.

• Revisiones de acceso al sitio de Administración avanzada de SharePoint (SAM). Esta herramienta SAM requiere y automatiza las revisiones de acceso de los propietarios del sitio, los miembros y las solicitudes de acceso, para revocar los permisos que los usuarios no necesitan o ya no requieren. Esta herramienta se examinó anteriormente en esta unidad como un medio para ayudar a las organizaciones a evitar el uso compartido excesivo de datos. También ayuda a las organizaciones a garantizar que solo los usuarios autorizados tengan acceso a información confidencial, lo que a su vez reduce el riesgo de vulneraciones de datos. Las revisiones de acceso al sitio garantizan que los usuarios solo conserven el acceso que necesitan para su rol. Por ejemplo, puede:

  • Revoque automáticamente los permisos para RR. HH. o sistemas financieros después de 90 días a menos que se revisen y aprueben.
  • Solicite una justificación empresarial cada trimestre para las cuentas de usuario externas para validar la necesidad continua de acceso.
  • Solicite revisiones trimestrales de acceso de los usuarios y retire el acceso de los empleados que han salido.
  • Aplique límites de tiempo de directiva al acceso de usuarios externos en sitios de colaboración.

• Conectores y complementos de Microsoft Graph. Limite el acceso a los datos externos conectados mediante conectores o complementos de Microsoft Graph. Por ejemplo, puede:

  • Defina el ámbito de acceso que los usuarios y grupos necesitan para acceder a los proveedores de datos conectados.
  • Requerir la autenticación de servicio basada en cuentas de usuario para los servicios conectados y los datos usados con Microsoft 365 complementos de Copilot.
  • Limite las funcionalidades de búsqueda extendidas al contenido externo indexado a través de conectores de Graph solo a los usuarios que deban tener acceso.

El uso de combinaciones de estas herramientas para reforzar el acceso e implementar privilegios mínimos permite a las organizaciones limitar la exposición de datos confidenciales y evitar el uso compartido excesivo para proteger la información confidencial. Estas herramientas son mecanismos eficaces para habilitar el "acceso suficiente". Al asegurarse de que cada empleado tiene suficiente acceso para realizar su trabajo sin privilegios excesivos, también puede mantener Microsoft 365 Copilot centrado solo en los datos adecuados necesarios para obtener recomendaciones útiles.

Lectura adicional. Para obtener más información sobre cómo proteger los datos y los dispositivos de usuario, consulte las siguientes ofertas de entrenamiento:

• Explore las métricas de seguridad en Microsoft 365 Defender.
• Implemente la protección de puntos de conexión con Microsoft Defender para punto de conexión.
• Administración del cumplimiento en Microsoft 365.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.

Compruebe sus conocimientos

1.

Holly Dicksones es la administradora de Microsoft 365 de Contoso. Se está preparando el lanzamiento de Contoso de Microsoft 365 Copilot. Por lo tanto, Holly está revisando las directivas y la configuración existentes de la empresa para evitar el uso compartido excesivo de datos en Microsoft 365 Copilot. Holly quiere proporcionar acceso de administrador y aplicar el principio de privilegios mínimos y permanentes concediéndole solo a un usuario los permisos que necesite cuando sea necesario. ¿Qué herramienta de seguridad que proporciona estas características de seguridad debe revisar Holly?

Microsoft Purview Information Protection

Microsoft Entra Privileged Identity Management

Directivas de acceso condicional de Microsoft Entra

Debe responder todas las preguntas antes de comprobar su trabajo.