5 desafíos de la implementación de la protección de la información de Microsoft

Jul 19, 2023
Share

Saber qué tienes es el primer paso para protegerlo. Saber dónde está, el segundo. A medida que avances en tu camino hacia la seguridad de datos, descubrirás numerosas maneras de identificar, etiquetar y proteger la información. Por ejemplo, ¿tienes un inventario de lo que crees que posees? Incluso si lo tienes, es posible que solo represente una pequeña parte de lo que realmente existe en tu entorno.

En otro escenario, un proyecto finaliza y el equipo abandona la empresa; existe una cuenta de OneDrive con todos los datos intactos, pero se desconoce el contenido y su destino. Este problema podría agravarse aún más si la información reside en un volumen de almacenamiento en la nube sin un propietario asignado.

Un marco establecido para etiquetar la información confidencial puede ayudarle a comprender su panorama de datos y a generar información valiosa a partir de él, como por ejemplo, descubrir pérdidas de información o vulnerabilidades que permitan implementar políticas y controles de seguridad más eficaces.

¿Cuál es el estado del etiquetado de datos?

Su empresa maneja enormes cantidades de datos, muchos de los cuales probablemente sean archivos de MS Office, PDF y otros formatos fácilmente transportables. Estos tipos de archivos, al no estar estructurados en comparación con las bases de datos y los procesadores de transacciones, pueden ser difíciles de rastrear y proteger. Muchas organizaciones no han etiquetado sus datos a gran escala o han implementado tantos sistemas de etiquetado a lo largo de los años que la coherencia se ha perdido con el tiempo. Estos procesos son difíciles de implementar en todos los equipos y deben mantenerse de forma constante.

La evaluación de riesgos se convierte entonces en un proceso interminable para localizar, identificar y etiquetar datos, solo para poder delimitar las condiciones aceptables de acceso, exposición y uso adecuado.

Necesitas detalles sobre dónde residen los datos y en qué estado, determinar qué son y aplicar conocimientos de uso basados ​​en definiciones y protocolos establecidos (por ejemplo, ¿contiene la palabra "confidencial"? Si es así, marca un nivel de sensibilidad y aplica reglas para evitar la copia/impresión).

A continuación, necesitas una estrategia para documentar, revisar, escanear y procesar todos esos datos, lo que conforma tu estrategia de gobernanza de datos. Después de eso y de tomarte un buen café, estarás listo para abordar el proceso de etiquetado de archivos.

¿Qué es Microsoft Information Protection (MIP)?

Si su empresa utiliza principalmente productos de Microsoft (con una fuerte inversión en Teams, SharePoint y OneDrive), es probable que ya conozca Microsoft Information Protection (MIP).

Tenga en cuenta que a partir de 2021, Se ampliaron las capacidades de MIP. para clasificar datos. Algunas personas que adoptaron MIP en diferentes años lo conocen como Azure Information Protection o Purview Information Protection. A partir del verano de 2023, MIP pasó a ser conocido como Protección de la información de Microsoft PurviewPara nuestros propósitos aquí, nos centraremos en el nombre y caso de uso más común para MIP: MIP para etiquetado de sensibilidad.

MIP es un marco y una solución creados por Microsoft para etiquetar datos según su nivel de confidencialidad. Las etiquetas se pueden aplicar mediante políticas basadas en reglas definidas por los administradores, aunque muchos usuarios las aplican manualmente directamente a los archivos.

Los archivos y objetos de Windows, así como los almacenados en Azure, admiten mecanismos para adjuntar etiquetas importantes como parte de los metadatos del archivo (como la confidencialidad), como propiedades que se mueven con el archivo (aunque es posible eliminarlas). Puede ampliar estos metadatos aprovechando MIP para incrustar etiquetas de identificación y utilizar esos detalles para tomar decisiones informadas (automatizadas o no) sobre restricciones de contenido, residencia de datos, etc.

Las grandes empresas están expuestas a riesgos legales y regulatorios debido a las inconsistencias en sus sistemas de almacenamiento y gestión de datos: la antigüedad, el volumen y la naturaleza de los datos pueden ser en gran medida desconocidos. Pueden estar duplicados, no gestionados, desactualizados, no ser fiables o incluso ser inutilizables. ¿Son los metadatos necesarios/conocidos, completos, precisos y están correctamente mapeados?

¿Cómo se utiliza MIP?

Para muchas empresas que utilizan Microsoft, MIP puede servir como base para habilitar programas de seguridad y cumplimiento de datos:

  • prevención de pérdida de datos Las políticas de prevención de pérdida de datos (DLP) activan el bloqueo o la cuarentena de información confidencial. Estas políticas se aplican a los datos etiquetados y desencadenan acciones específicas, según el nivel de confidencialidad.
  • Políticas de gobernanza del acceso a los datos (DAG) acceso a la puerta y cifrar los datos etiquetados, en función de la sensibilidad de los mismos.
  • Las políticas de cumplimiento de datos especifican cómo se deben recopilar, almacenar y procesar los datos. Los datos etiquetados como altamente sensibles, por ejemplo, pueden tener una política que especifique que no deben almacenarse en un SharePoint donde sean accesibles por terceros que hacen cumplir la principio del menor privilegio y restringiendo el acceso únicamente a quienes necesiten los datos para cumplir con sus obligaciones contractuales.

El etiquetado adecuado con etiquetas MIP permite que los programas de seguridad y cumplimiento de datos funcionen según lo previsto, protegiendo los datos en función del nivel de riesgo que suponen en caso de filtración, exposición o almacenamiento inadecuado.

¿Cuáles son los desafíos de implementar MIP?

Aunque MIP puede ayudarle a comenzar a etiquetar sus datos, no se sabe que sea un sistema escalable por las siguientes razones:

  • Esquema de etiquetado inconsistente —Tanto si lo sabes como si no, cada empresa tiene un sistema de etiquetado de datos diferente. A menudo, dentro de una misma empresa existen varios sistemas, con distintos niveles de profundidad y validación (si la hay) entre las distintas divisiones. Quizás cada archivo tenga 3 etiquetas, o 10, o ciertos tipos tengan 5, mientras que otros no tengan ninguna.
  • Propenso a falsos positivos Las reglas basadas en patrones y un proceso humano sujeto a interpretación para aplicar las etiquetas MIP generan poca confianza en que la etiqueta MIP sea ampliamente aceptada como verdadera en todas las divisiones. Por lo tanto, es importante designar una autoridad central que revise y valide que las etiquetas se apliquen correctamente. Pero, ¿quién tiene tiempo para eso?
  • Requiere una aplicación activa de la ley. Por lo general, estos esquemas dependen de que los usuarios etiqueten manualmente sus archivos, pero es casi imposible hacer cumplir esta práctica. Es difícil verificar la precisión, hacer un seguimiento de la implementación o conocer completamente el alcance del contenido y los procesos.
  • Propenso a errores humanos – Aunque exista un esquema de etiquetado claro, los usuarios no siempre entienden o están de acuerdo sobre qué debe considerarse interno y qué público.
  • Fácil de eludir Un usuario podría incluso eludir las políticas modificando posteriormente las etiquetas MIP de un archivo. Al cambiar la etiqueta MIP, por ejemplo, de "altamente sensible" a "no sensible", los usuarios pueden eludir las políticas DLP que utilizan la etiqueta MIP para activar acciones de protección.

Cómo Cyera puede ayudarle a poner en práctica su implementación de MIP

Cyera ayuda a las empresas a diseñar e implementar sus programas de protección de datos, lo que se traduce en un mayor valor añadido de sus licencias empresariales de Microsoft.

Cyera clasifica y contextualiza los datos con precisión sin necesidad de expresiones regulares personalizadas ni entrenamiento manual. Nuestros cientos de clasificadores preconfigurados y la capacidad de aprender nuevas clasificaciones específicas para su entorno reducen drásticamente el esfuerzo manual necesario para configurar la clasificación de datos de Purview.

Puedes usar Cyera para extraer etiquetas MIP de origen y de terceros de los archivos de tu entorno. Cyera genera informes que te ayudan a comprender qué tipos de datos protegidos por MIP estás recibiendo de socios u otros terceros. Esto te permite certificar el cumplimiento de las obligaciones contractuales de protección de datos al procesar datos en nombre de terceros.

Con Cyera, puede visualizar con precisión dónde se almacenan sus clases de datos confidenciales, cuántos registros confidenciales tiene y el contexto que los rodea. Esto le ayuda a crear un programa DLP que protege sus clases de datos más valiosas sin generar alertas molestas ni afectar negativamente la productividad de su negocio.

Cyera te ayuda a responder con confianza a las preguntas sobre el diseño de pantallas DLP:

  • ¿Cuántos almacenes de datos tienen archivos que contienen datos de clasificación X?
  • ¿Podemos proteger estos datos con consejos sobre políticas y formación, o es necesario bloquearlos?
  • ¿Dónde debemos implementar DLP para proteger estos datos (por ejemplo, DLP de punto final, DLP nativo de M365, DLP en la nube)?
  • ¿Cuántos usuarios se verían afectados si implementáramos esta regla?

Si las etiquetas MIP no coinciden, Cyera puede detectar el problema, generar una alerta y tomar medidas correctivas. Cyera supervisa su entorno para detectar cuándo las etiquetas MIP no coinciden con los datos de un archivo. Por ejemplo, ¿aplicó un usuario final la etiqueta "Interno - Todos los empleados" a un archivo con información financiera confidencial? Detectar etiquetas MIP incorrectas también permite capacitar a los usuarios que aplican etiquetas erróneas repetidamente.

Cuando MIP no está implementado o cuando las empresas deciden abandonar MIP, pueden optar por un enfoque más automatizado con Cyera. Clasificación avanzada de PII Aplica automáticamente etiquetas y clases de sensibilidad a los datos, lo que permite sortear muchos de los desafíos de una implementación manual de MIP. La ventaja de una clasificación más precisa es el ahorro de tiempo que supone el ajuste manual; la ventaja de clasificar más registros es una mayor cobertura para sus programas de seguridad de datos.

Conclusión

Dados los desafíos que implica la implementación de MIP, es fundamental contar con una solución que automatice el etiquetado de datos y reduzca la necesidad de tareas manuales. Es probable que su organización haya dedicado años a diseñar un programa DLP eficaz y haya tenido dificultades para utilizar las etiquetas MIP de forma efectiva en todos sus entornos. Cyera auditará y optimizará el etiquetado de datos para ofrecer una evaluación más precisa de la comprensión que tiene su organización sobre los datos y su confidencialidad.

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo Cyera puede ayudarle a auditar la eficacia de su implementación de MIP, Programa una demostración hoy.

Share