Fundamentos de la seguridad de los datos y el cumplimiento con Microsoft Purview

  • 7 minutos

Los datos están creciendo

Los datos se crean, almacenan y comparten más rápido que nunca. Para 2025, se calcula que el mundo producirá hasta 175 zettabytes de datos, un aumento diez veces mayor que en 2016. Este rápido crecimiento supone nuevos desafíos para las organizaciones que intentan administrar una amplia gama de tipos de datos, incluidos correos electrónicos, documentos, mensajes instantáneos, vídeos e imágenes. La inteligencia artificial generativa agrega más complejidad mediante la introducción de nuevas capas de datos y riesgos, como los problemas de privacidad y la desinformación.

Las organizaciones deben replantearse cómo administran y protegen los datos para mantenerse al día. Esto implica la actualización de estrategias para abordar el creciente volumen y la complejidad de los datos, y los nuevos desafíos planteados por la inteligencia artificial.

Los datos están explotando diagrama.

Nota:

1 Zettabyte = 1 000 000 Petabytes

La regulación aumenta

A medida que los datos aumentan, también lo hacen las demandas para protegerlos. La necesidad de controles seguros en torno a los datos confidenciales es más importante que nunca. Sin una sólida estrategia de administración de datos, las organizaciones se arriesgan a sanciones financieras, daños a la reputación y pérdida de confianza del cliente.

Las estrategias de administración de datos bien diseñadas ayudan a reducir estos riesgos y a garantizar la seguridad de los datos en un entorno en constante cambio.

Descubrir y administrar los datos es un reto

La administración y protección de datos es un desafío creciente. La investigación destaca lo siguiente:

  • El 88 % de las organizaciones no confía en su capacidad para detectar o evitar la pérdida de datos confidenciales.
  • Más del 80 % de los datos corporativos permanecen "oscuros", lo que significa que no se clasifican, protegen ni rigen.
  • La protección y la gobernanza de los datos confidenciales es uno de los mayores desafíos para el cumplimiento de las regulaciones.

Las organizaciones deben proteger la información confidencial entre dispositivos, aplicaciones SaaS y servicios en la nube. A medida que el entorno se vuelve más complejo, también lo hacen los riesgos de infracciones de datos e incumplimiento.

Diagrama que muestra los desafíos en la administración de datos.

Definición de una estrategia de seguridad de datos

¿Su organización tiene una estrategia definida para identificar, administrar y proteger datos confidenciales? Muchas organizaciones tienen problemas con esto, pero formular estas preguntas puede ayudar a establecer las bases para el éxito:

  • ¿Dónde está la información confidencial? Comprender dónde residen los datos críticos a menudo requiere una revisión completa en entornos locales y en la nube.
  • ¿Puede controlar estos datos dondequiera que vaya? Los datos a menudo se mueven a través de los límites y se comparten con asociados externos o se accede a ellos en dispositivos personales. Garantizar una seguridad coherente es clave.
  • ¿Usa varias herramientas para administrar y proteger los datos? Confiar en varias herramientas puede dar lugar a ineficiencias y brechas. Un enfoque unificado simplifica la seguridad de los datos.

Proteger y gobernar los datos dondequiera que estén

Microsoft ofrece una solución completa para la protección y gobernanza de la información, que abarca todo el ciclo de vida de los datos en los servicios de Microsoft 365 y otros entornos, como nubes que no son de Microsoft (Dropbox, Salesforce) y sistemas locales. Este enfoque unificado garantiza una clasificación, etiquetado y protección coherentes de los datos confidenciales, independientemente de dónde residan.

Diagrama que muestra las plataformas en las que los datos se pueden proteger y gobernar.

Detección y clasificación de datos unificados

Microsoft adopta un enfoque unificado para la detección y clasificación de datos en Microsoft 365, Power Platform, servicios en la nube que no son de Microsoft y entornos locales. Esto ofrece:

  • Clasificación coherente en todos los dispositivos, aplicaciones y servicios.
  • Examen profundo de contenido con más de 300 tipos de información confidencial integrados.
  • Tipos de información confidencial personalizables y clasificadores entrenables para necesidades específicas del sector.

Equilibrar la seguridad y la productividad

Es esencial lograr el equilibrio adecuado entre seguridad y productividad. Aunque las características de seguridad, como la prevención de pérdida de datos (DLP) y el cifrado, protegen los datos confidenciales, los usuarios necesitan la capacidad de colaborar sin problemas. A continuación se muestra cómo las herramientas admiten ambos objetivos:

Características de seguridad:

  • Restrinja el acceso a datos confidenciales con directivas de acceso condicional basadas en la identidad, la ubicación y el cumplimiento del dispositivo.
  • Evite el uso compartido no autorizado con directivas DLP en plataformas locales y en la nube.
  • Cifre archivos y correos electrónicos en función de las etiquetas de confidencialidad, lo que garantiza la protección de datos en reposo y en tránsito.
  • DLP para evitar la pérdida de datos, lo que garantiza que los datos confidenciales no se compartan ni expongan accidentalmente.
  • Separe los datos empresariales y personales en los dispositivos, protegiendo los datos de la organización sin que se intruse en los datos personales.
  • Proteja el correo electrónico con cifrado y permisos personalizados para controlar el acceso y acciones como el reenvío.

Características de productividad:

  • Aplique etiquetas de confidencialidad en plataformas como aplicaciones y puntos de conexión de Office para una clasificación de datos coherente.
  • Proporcione sugerencias de etiquetas e información sobre herramientas para ayudar a los usuarios a aplicar etiquetas correctamente.
  • Agregue marcas visuales como marcas de agua e iconos de bloqueo para indicar documentos confidenciales.
  • Habilite la coautoría y la colaboración seguras entre Teams, OneDrive y SharePoint.
  • Busque archivos cifrados en SharePoint sin poner en peligro la seguridad.
  • Abra y comparta archivos PDF cifrados directamente en Microsoft Edge.

Diagrama que muestra el equilibrio entre la seguridad y la productividad de los datos.

Ciclo de vida de la protección de la información y la gobernanza

La implementación de una protección eficaz de la información implica tres áreas clave: personas, procesos y tecnología.

Contactos

El ciclo de vida de la protección de la información implica varios roles clave. Es posible que su organización no use estos títulos exactos, pero cada rol debe representarse:

  • Director de seguridad de la información (CISO): supervisa las directivas y los procedimientos de seguridad de datos.
  • Oficial de cumplimiento: garantiza el cumplimiento normativo y define los controles.
  • Administración de datos: implementa directivas de clasificación según las directrices de gobernanza.
  • Propietario de datos: responsable de los datos o procesos dentro de la organización.
  • Departamento de soporte técnico: proporciona soporte técnico para problemas de acceso y seguridad.
  • Information Worker: crea y controla el contenido, aplicando las directivas de clasificación según sea necesario.

Proceso

El proceso suele incluir estas fases:

  • Definir el esquema de clasificación de datos: establezca una estructura mediante etiquetas de confidencialidad, clasificadores entrenables y tipos de información confidencial. Las etiquetas de confidencialidad se pueden aplicar manualmente o automáticamente en función de las características de contenido.
  • Definir condiciones de directiva de clasificación: establezca reglas para identificar y clasificar datos en función del esquema definido.
  • Creación, prueba e implementación de la directiva de clasificación: configure y pruebe exhaustivamente las etiquetas y directivas antes de la implementación.
  • Uso, supervisión y corrección continuos: revise y ajuste continuamente las directivas para garantizar la eficacia y el cumplimiento.

Diagrama que muestra los roles y los pasos implicados en la clasificación de datos.

Tecnología

Por último, el uso de la tecnología adecuada es fundamental. Microsoft ofrece herramientas sólidas para ayudar a las organizaciones a cumplir sus requisitos de clasificación de datos, protección de la información y administración del ciclo de vida.

Conozca sus datos, protéjalos, evite su pérdida y gobiérnelos

El enfoque de Microsoft sobre la protección y gobernanza de la información se centra en cuatro principios:

  • Conocer los datos: identifique los datos críticos en los entornos.
  • Proteger los datos: aplique el cifrado, los controles de acceso y las marcas visuales.
  • Evitar la pérdida de datos: detecte y evite el uso compartido excesivo de información confidencial.
  • Controlar los datos: conservar, eliminar o archivar datos en función de las reglas de cumplimiento.

Estos resultados están impulsados por una plataforma inteligente que proporciona:

  • Un marco de clasificación unificado entre entornos.
  • Administración centralizada para equipos de TI.
  • Análisis en tiempo real para la supervisión y la mejora continua.
  • API para ampliar las funcionalidades de gobernanza en aplicaciones que no son de Microsoft.

Como se muestra en la imagen, la protección de la información es un proceso continuo que evoluciona a medida que surgen nuevos desafíos de datos.

Diagrama que muestra los cuatro principios de administración de datos.