5 desafíos de implementar Microsoft Information Protection

Saber qué tienes es el primer paso para protegerlo. Saber dónde está, el segundo. A medida que avanzas en tu camino hacia la seguridad de datos, descubrirás numerosas maneras de identificar, clasificar y asegurar la información. Por ejemplo, ¿tienes un inventario de lo que crees que posees? Aun si es así, eso es—potencialmente—solo una fracción de lo que realmente existe en tu entorno.

En otro escenario, un proyecto termina y ese equipo deja tu empresa; hay un OneDrive con todos los datos intactos, pero no tienes idea de la naturaleza de su contenido ni a dónde debería ir. Este problema podría sentirse aún más agudamente por la empresa si la información reside en un volumen de almacenamiento en la nube sin un propietario activo.

Un marco establecido para etiquetar información sensible puede ayudarte a comprender tu panorama de datos y a crear inteligencia significativa a partir de él, como detectar pérdida de información o explotaciones, para habilitar políticas y controles de seguridad más efectivos.

¿Cuál es el estado del etiquetado de datos?

Tu empresa posee enormes cantidades de datos; gran parte probablemente consiste en archivos de MS Office, PDFs y otros formatos fáciles de transportar. Estos tipos de archivos, al ser no estructurados en comparación con las bases de datos y los procesadores de transacciones, pueden resultar problemáticos de rastrear y proteger. Muchas organizaciones no han etiquetado sus datos a escala o han implementado tantos sistemas de etiquetado a lo largo de los años que cualquier consistencia se ha perdido con el paso del tiempo. Iniciar estos procesos entre equipos es difícil y deben mantenerse de manera constante.

Evaluar el riesgo se convierte entonces en un proceso interminable para localizar, identificar y etiquetar datos, solo para que puedas definir condiciones aceptables de acceso, exposición y uso adecuado. 

Necesitas detalles sobre dónde reside la información y en qué estado se encuentra, determinar qué es y aplicar conocimientos de uso con base en definiciones y protocolos establecidos (p. ej., ¿contiene la palabra "confidencial"? Si es así, asigna un nivel de sensibilidad y aplica reglas para impedir copiar/imprimir).

Luego, necesitas una estrategia para documentar, revisar, escanear y procesar todos esos datos, lo cual conforma tu estrategia de gobierno de datos. Después de eso y unas cuantas tazas de café, estarás listo para abordar el proceso real de etiquetar archivos.

¿Qué es Microsoft Information Protection (MIP)

Ahora bien, si tu empresa es principalmente un entorno de Microsoft (con una fuerte inversión en Teams, SharePoint y OneDrive), es muy probable que te hayas topado con Microsoft Information Protection (MIP). 

Ten en cuenta que, desde 2021, se ampliaron las capacidades de MIP para clasificar datos. Para algunas personas que adoptaron MIP en distintos años, lo conocen como Azure Information Protection o Purview Information Protection. A partir del verano de 2023, MIP pasó a conocerse como Microsoft Purview Information Protection. Para nuestros propósitos aquí, nos enfocamos en el nombre y el caso de uso más comunes de MIP: MIP para el etiquetado de confidencialidad.

MIP es un marco y una solución creada por Microsoft para etiquetar datos según niveles de sensibilidad. Las etiquetas se pueden aplicar con políticas basadas en reglas establecidas por los administradores, aunque muchos usuarios aplican manualmente las etiquetas de MIP directamente a los archivos.

Los archivos y objetos de Windows, así como los almacenados en Azure, admiten mecanismos para adjuntar etiquetas importantes como parte de los metadatos del archivo en sí (como la sensibilidad), como propiedades que se trasladan con el archivo (aunque es posible eliminarlas). Puedes ampliar estos metadatos aprovechando MIP para incrustar etiquetas de identificación y, además, usar esos detalles para tomar decisiones informadas (automatizadas o no) sobre restricciones de contenido, residencia de datos, etc.

Las grandes empresas están expuestas a riesgos legales y regulatorios debido a inconsistencias en los sistemas de almacenamiento y manejo de datos: la antigüedad, el volumen y la naturaleza de los datos pueden ser en gran medida desconocidos. Pueden ser duplicados, no gestionados, desactualizados, poco confiables o incluso inutilizables. ¿El metadato necesario/es conocido, es completo y preciso, y está mapeado correctamente? 

¿Cómo se usa el MIP?

Para muchas organizaciones que usan Microsoft, MIP puede servir como la base para habilitar programas de seguridad de datos y cumplimiento:

• Las políticas de prevención de pérdida de datos (DLP) activan el bloqueo o la cuarentena de información sensible. Las políticas se aplican a los datos etiquetados y activan acciones específicas, según el nivel de sensibilidad. 
• Las políticas de gobernanza de acceso a datos (DAG) controlan el acceso y cifran los datos etiquetados, según la sensibilidad de los datos. 
• Las políticas de cumplimiento de datos especifican cómo se deben recopilar, almacenar y procesar los datos. Los datos etiquetados como altamente sensibles, por ejemplo, pueden tener una política que especifique que no deben almacenarse en un SharePoint donde sean accesibles por terceros, aplicando el principio de privilegio mínimo y restringiendo el acceso solo a quienes necesiten los datos para cumplir obligaciones contractuales.

Un etiquetado adecuado con etiquetas MIP permite que los programas de seguridad de datos y cumplimiento funcionen como se pretende, protegiendo los datos según el nivel de riesgo que representan si se filtran, se exponen o se almacenan de forma incorrecta.

¿Cuáles son los desafíos de implementar MIP?

Si bien MIP puede ayudarte a comenzar a etiquetar tus datos, no se considera un sistema escalable por las siguientes razones:

• Esquema de etiquetado inconsistente – Lo sepas o no, cada empresa tiene un sistema de etiquetado de datos diferente. A menudo hay más de un sistema dentro de una misma empresa, con distintos niveles de profundidad y validación (si es que la hay) entre divisiones. Tal vez cada archivo tenga 3 etiquetas, o 10, o ciertos tipos tengan 5, mientras que otros no tengan ninguna.
• Propenso a falsos positivos – Las reglas basadas en patrones y un proceso humano sujeto a interpretación para aplicar etiquetas MIP se traducen en una baja confianza en que la etiqueta MIP sea aceptada como verdad en todas las divisiones. Por ello, es importante designar una autoridad central que revise y valide que las etiquetas se apliquen correctamente. Pero, ¿quién tiene tiempo para eso?
• Requiere aplicación activa – Por lo general, estos esquemas dependen de que los usuarios etiqueten sus archivos manualmente, pero es casi imposible hacer cumplir esto. Es difícil verificar la exactitud, dar seguimiento a la implementación o conocer plenamente el alcance del contenido y los procesos.
• Propenso a errores humanos: incluso si existe un esquema de etiquetado claro, las personas usuarias no siempre entienden ni están de acuerdo sobre qué debe considerarse interno vs. público. 
• Fácil de eludir: Un usuario incluso podría eludir las políticas cambiando las etiquetas MIP de un archivo posteriormente. Al cambiar la etiqueta MIP, por ejemplo de “altamente sensible” a “no sensible”, los usuarios pueden eludir las políticas de DLP que utilizan la etiqueta MIP para activar acciones de protección.

Cómo Cyera puede ayudarle a operacionalizar su implementación de MIP

Cyera ayuda a las empresas a diseñar e implementar sus programas de protección de datos, lo que se traduce en un mayor valor de sus licencias empresariales de Microsoft.

Cyera clasifica y contextualiza los datos con precisión sin necesidad de expresiones regulares personalizadas ni capacitación manual. Nuestros cientos de clasificadores listos para usar y la capacidad de aprender nuevas clasificaciones específicas de tu entorno reducen drásticamente el esfuerzo manual necesario para configurar la clasificación de datos de Purview.

Puedes usar Cyera para extraer etiquetas MIP de primera y de terceros de los archivos en tu entorno. Cyera genera informes que te ayudan a comprender qué tipos de datos protegidos por MIP estás incorporando de socios u otros terceros. Esto te ayuda a certificar el cumplimiento de las obligaciones contractuales de protección de datos al procesar datos en nombre de terceros.

Con Cyera, puedes visualizar exactamente dónde se almacenan tus clases de datos sensibles, cuántos registros sensibles tienes y el contexto que los rodea. Esto te ayuda a crear un programa de DLP que proteja tus clases de datos más valiosas sin alertas ruidosas ni impactar negativamente la productividad del negocio.

Cyera te ayuda a responder preguntas de diseño de DLP con confianza:

• ¿Cuántos almacenes de datos tienen archivos que contienen la clasificación de datos X?
• ¿Podemos proteger estos datos con sugerencias de directiva y capacitación, o es necesario bloquearlos?
• ¿Dónde necesitamos implementar DLP para proteger estos datos (p. ej., DLP en endpoints, DLP nativo de M365, DLP en la nube)
• ¿Cuántos usuarios se verán afectados si implementamos esta regla?

Si tienes etiquetas MIP que no coinciden, Cyera puede detectar el problema, generar una alerta y tomar medidas correctivas. Cyera supervisa tu entorno para detectar cuando las etiquetas MIP no coinciden con precisión con los datos contenidos en un archivo. Por ejemplo, ¿un usuario final aplicó una etiqueta "Interno-Todos los empleados" a un archivo que contiene información financiera sensible y no pública? Detectar etiquetas MIP desacopladas también representa una oportunidad para realizar capacitación dirigida a los usuarios que aplican repetidamente etiquetas MIP incorrectas.

Cuando MIP no está implementado o cuando las empresas deciden dejar de usar MIP, pueden optar por un enfoque más automatizado con Cyera. La clasificación avanzada de PII de Cyera aplica automáticamente etiquetas y clases de sensibilidad a los datos, lo que te permite evitar muchos de los desafíos de una implementación manual de MIP. El beneficio de clasificaciones más precisas es el tiempo ahorrado en el ajuste manual de esfuerzos; el beneficio de clasificar más registros es una cobertura ampliada para tus programas de seguridad de datos.

Conclusión

Dadas las dificultades de implementar MIP, es esencial contar con una solución que pueda automatizar el etiquetado de datos y reducir el trabajo manual. Es probable que tu organización haya pasado años intentando diseñar un programa de DLP eficaz y haya tenido problemas para usar de manera efectiva las etiquetas de MIP en todos sus entornos. Cyera auditará y mejorará el estado del etiquetado de datos para ofrecer una evaluación más precisa del entendimiento de los datos de tu organización y su sensibilidad.

La plataforma de seguridad de datos de Cyera ofrece un contexto profundo sobre tus datos y aplica controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento.

Cyera adopta un enfoque centrado en los datos para la seguridad, evaluando la exposición de tus datos en reposo y en uso, y aplicando múltiples capas de defensa. Debido a que Cyera aplica un contexto profundo de los datos de manera holística en todo tu panorama de datos, somos la única solución que puede capacitar a los equipos de seguridad para saber dónde están sus datos, qué los expone a riesgos y tomar medidas inmediatas para remediar las exposiciones y garantizar el cumplimiento sin interrumpir el negocio.

Para obtener más información sobre cómo Cyera puede ayudarte a auditar la efectividad de tu implementación de MIP, programa una demostración hoy.