Microsoft Purview Information Protection

Описание: 1. Panorama de Microsoft Purview Information Protection y roles

Néstor presentó Purview Information Protection y la certificación SC-401 Information Security Administrator Associate, enfocada en seguridad, cumplimiento y gobernanza en Microsoft 365.
Diferenció roles de Administrador global, de seguridad y de cumplimiento, con énfasis en privilegio mínimo y permisos específicos para operar Purview y Defender.
Se revisó la estructura de grupos de roles (Insider Risk Management, eDiscovery Manager) y el proceso para asignar a usuarios como Joni/Johnny Sherman a grupos con responsabilidades concretas.
Integración con Microsoft Defender XDR (Defender for Endpoint, Office 365, Cloud Apps, etc.) para detección extendida, respuesta e investigación de incidentes por analistas y administradores.

2. Tipos de información confidencial (SIT) y clasificadores personalizados

Catálogo de SIT integrados (tarjetas, ID nacionales, salud) utilizable en políticas.
Para SIT personalizados se definen patrones con expresiones regulares, listas de palabras clave y elementos de soporte para detectar datos propios (IDs de empleado, términos de salud).
Niveles de confianza (alto/medio/bajo) y reglas de proximidad para reducir falsos positivos/negativos.
Ciclo de pruebas y validación con documentos de ejemplo y revisión de coincidencias.
Exact Data Match (EDM) y clasificadores entrenables (ML) para identificar datos por valores exactos o modelos, integrados en cumplimiento.

3. Etiquetas de sensibilidad: creación, configuración y aplicación

Pasos: definir nombre, descripción, prioridad y alcance (archivos, correos, reuniones, grupos, sitios). Usar subetiquetas por departamento.
Permisos y acceso: asignación a usuarios/grupos, expiración, restricciones sin conexión; opciones avanzadas (marca de agua dinámica, Double Key Encryption).
Marcado y autoetiquetado: encabezados, pies y marcas de agua; políticas de autoetiquetado basadas en condiciones.
Publicación y políticas: publicación a apps, etiquetado obligatorio, etiquetas predeterminadas, excepciones y enlaces de ayuda.
Aplicación: ejemplos en Office y Outlook; impacto del cifrado en usabilidad y colaboración.

4. DLP y postura de seguridad de datos

Políticas DLP para proteger tarjetas e IDs de empleado; prioridad de políticas, estado de sincronización y auditoría.
Integración con IA: bloquear acceso de herramientas de IA a datos sensibles y detectar interacciones riesgosas.
Insider Risk Management: señales de comportamiento, políticas y flujos de revisión para mitigar exfiltración y uso indebido.
Postura de seguridad: acciones completadas (reforzar seguridad de datos, proteger con etiquetas) y recomendaciones pendientes para elevar madurez.

5. Acceso condicional, federación y protección de endpoints

Acceso condicional: políticas por identidad, ubicación, riesgo y cumplimiento del dispositivo para usuarios internos y B2B.
Federación: integración con proveedores externos (Google Workspace, Meta) y servicios de Active Directory para colaboración segura con invitados.
Endpoint DLP: controles en dispositivos (navegadores como Microsoft Edge y Google Chrome), protección frente a copiado/pegado, impresiones, cargas y movimientos a ubicaciones no autorizadas.

6. Buenas prácticas clave

Privilegio mínimo y separación de funciones: otorgar sólo los permisos necesarios (p. ej., eDiscovery Manager vs. Administrator).
Gobierno de etiquetas: anillos piloto, monitoreo de adopción, métricas de autoetiquetado y excepciones.
Calidad de clasificadores: mantener sets de prueba; ajustar regex, palabras clave y proximidad; revisar precisión y recall periódicamente.
Telemetría y respuesta: unificar señales de Purview y Defender XDR; automatizar respuestas con Logic Apps/Power Automate.
Cumplimiento continuo: mapear políticas a marcos (ISO, GDPR, HIPAA); registrar decisiones y excepciones para auditoría.

7. Próximos pasos sugeridos

Formalizar grupos de roles y asignaciones (incluidos invitados B2B) con revisiones periódicas de acceso.
Finalizar SIT personalizados prioritarios (IDs de empleado, salud) y completar su validación.
Publicar el primer set de etiquetas con alcance controlado y telemetría; definir política de etiquetado obligatorio por área.
Implementar políticas DLP iniciales de alto impacto (pagos, datos personales) y políticas específicas para uso de IA.
Habilitar reglas críticas de acceso condicional (MFA, dispositivo conforme, bloqueo por riesgo) y validar federación con socios clave.
Establecer tablero de postura y métricas: tasa de etiquetado, incidentes DLP, falsos positivos, SLA de respuesta y cobertura de dispositivos.