Windows 10: la nueva característica de seguridad clave de Microsoft ayuda a proteger su información


El trabajo remoto hace que la protección de los datos en la PC sea una prioridad más alta, mientras que el navegador Edge obtiene más control.

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/10/15/fb45d0e4-b60e-4817-b747-f6d596fc7d75/resize/770x/01ba8bce67869ad932acccba82f03920/istock-1194430840.jpg" target = "_ blanco" componente de datos = "modalEnlargeImage" título de datos = "

"data-credit =" Imagen: Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">istock-1194430840.jpg

Imagen: Getty Images / iStockphoto

La prevención de pérdida de datos (DLP) ha estado en Exchange durante mucho tiempo, en forma de reglas que garantizan que los empleados no envíen información confidencial o personal por correo electrónico. A lo largo de los años, Microsoft ha extendido DLP a más Office (aunque el nombre para eso es Protección de la información de Microsoft, o MIP), que cubre Exchange, SharePoint, Teams, OneDrive para empresas y aplicaciones de Office como Word, PowerPoint, Excel y Outlook, así como aplicaciones de terceros que incorporan la SDK de MIP.

Ahora está integrado en Windows 10 (compilación 1809 y posterior) y el nuevo navegador Edge (versión 85 y posterior), sin necesidad de un agente adicional. Por lo tanto, las mismas políticas de protección de la información y acceso condicional que escriben los administradores para proteger el correo electrónico y los documentos almacenados en SharePoint se aplican a todo lo que los usuarios hacen en Windows, incluido el envío de tweets.

VER: Principales comandos de ejecución de Windows 10 (PDF gratuito) (TechRepublic)

"Admitimos más de un centenar de tipos de información confidencial listos para usar con MIP y 40 plantillas de la industria, y son compatibles con Endpoint DLP". Alym Rayani, gerente general de cumplimiento de Microsoft, dijo a TechRepublic.

Si aún no ha configurado las políticas, las plantillas cubren diferentes regulaciones, incluidas las sugerencias Políticas de PII para varias ubicaciones, además de herramientas para ayudarlo a crear políticas basadas en documentos que contienen datos potencialmente confidenciales.

DLP de punto final se incluye en las suscripciones de Microsoft 365 E5 y A5 (o los complementos de protección de la información o cumplimiento). Usas el nuevo Centro de cumplimiento de Microsoft 365 para comenzar a administrar dispositivos, aunque puede incorporar dispositivos mediante la directiva de grupo, Microsoft Endpoint Configuration Manager, MDM o un script local. Todos los dispositivos deben estar unidos a Azure Active Directory o Hybrid Azure AD.

<a href = "https://tr4.cbsistatic.com/hub/i/2020/10/15/69738778-de03-4795-bb65-f87f2648d157/endpoint-dlp-blocking-data-copy.jpg" target = " _blank "componente de datos =" modalEnlargeImage "título de datos ="

Endpoint DLP que impide que un usuario copie datos específicos en Windows.

"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow ">endpoint-dlp-block-data-copy.jpg "src =" https://tr4.cbsistatic.com/hub/i/2020/10/15/69738778-de03-4795-bb65-f87f2648d157/endpoint-dlp-blocking -data-copy.jpg

Endpoint DLP que impide que un usuario copie datos específicos en Windows.

Imagen: Microsoft

El trabajo remoto significa más puntos finales

Actualmente en versión preliminar pública, se espera que Endpoint DLP esté disponible de forma general este mes (octubre de 2020). Eso es un progreso rápido para un nuevo servicio, pero la situación actual tenía clientes que eran socios de diseño tempranos presionando para un lanzamiento rápido. "Ellos decían 'queremos que te apresures con esto'", dijo Rayani.

En una encuesta a clientes que Microsoft realizó a mediados de la primavera, el 60% de los equipos de cumplimiento dijeron que las fugas de datos eran su principal preocupación debido a la pandemia.

"A medida que la gente se ha trasladado al trabajo remoto de forma masiva, ha aumentado la necesidad de que muchos de nuestros clientes vuelvan a evaluar su práctica de gestión de riesgos y seguridad", dijo Rayani. "Un tema recurrente que hemos escuchado es 'Me moví rápidamente para respaldar el trabajo remoto, a veces de la noche a la mañana, a veces en unas pocas semanas, y ahora estoy regresando y reevaluando la seguridad y el cumplimiento; tuve que correr así que no pude pensar en todas esas cosas, pero voy a volver '".

Los clientes activaron funciones de trabajo remoto como Teams de la noche a la mañana, señala Rayani, "y ahora tienen que hacer un descubrimiento contra eso, por lo que quieren una solución de cumplimiento que se adapte a su nueva situación de productividad".

No es solo que el cambio al trabajo remoto fue repentino, sino que también se están usando muchos puntos finales nuevos, muchos de ellos dispositivos personales más antiguos que antes no se usaban para trabajar. "Tienen una gran cantidad de empleados que acceden a datos corporativos en sus computadoras domésticas en ocasiones, o comparten y colaboran de nuevas formas", dijo Rayani. "Las organizaciones sienten este mayor riesgo y también sienten la necesidad de implementar las cosas rápidamente para resolverlo. Los clientes nos dijeron 'Quiero comenzar de inmediato. No quiero tener que pasar por este proceso de implementación de un agente y administrar esos agentes, quiero poder tener esta información de inmediato '".

La protección contra la pérdida de datos es algo que les importa tanto a los equipos de seguridad como a los de cumplimiento, señaló Rayani. "Dijeron, 'mi resultado más deseado aquí en términos de mitigación de riesgos, en el sentido de proteger la información, pero también de cumplir con los estándares y regulaciones, es que quiero protección de datos en todas mis aplicaciones, en mis servicios, en mis puntos finales' '. '. "

Eso significa que cualquier política que haya creado utilizando el sistema de etiquetado y clasificación en Microsoft Information Protection para cumplimiento o seguridad, ahora cubre PC con Windows 10 sin ningún trabajo adicional. "Tiene un portal para la prevención de pérdida de datos, y cualquier política que ya tenía en ejecución, activaría ese botón que dice 'dispositivos Windows' y hereda todas las políticas que ya ha configurado en Teams, SharePoint, OneDrive y simplemente comienzan a trabajar en Windows ", dijo Rayani.

<a href = "https://tr3.cbsistatic.com/hub/i/2020/10/15/c9451ea9-c1d0-44cb-b391-54aa808ae1ff/endpoint-dlp-admins-choose.jpg" target = "_ blank" componente de datos = "modalEnlargeImage" título de datos = "

Los administradores pueden elegir si auditar, bloquear parcialmente o bloquear completamente lo que los usuarios pueden hacer en dispositivos Windows. & Nbsp;

"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow ">endpoint-dlp-admins-choose.jpg "src =" https://tr3.cbsistatic.com/hub/i/2020/10/15/c9451ea9-c1d0-44cb-b391-54aa808ae1ff/endpoint-dlp-admins-choose .jpg

Los administradores pueden elegir si auditar, bloquear parcialmente o bloquear completamente lo que los usuarios pueden hacer en los dispositivos Windows.

Imagen: Microsoft

Endpoint DLP ofrece lo que Rayani llama 'aplicación de políticas basada en el contexto' en los datos: "comprender qué son los datos y luego tomar una acción particular basada en esos datos, que puede ser cualquier cosa, desde una advertencia para el usuario, hasta un bloqueo duro de la información en movimiento ".

Las políticas pueden bloquear (con o sin la opción de que el empleado anule el bloqueo) una variedad de actividades o simplemente realizar un seguimiento para auditoría: copiar datos al portapapeles, a una unidad USB extraíble oa un recurso compartido de red; impresión; carga en servicios en la nube; y abrir datos en aplicaciones o navegadores que no están aprobados. También puede rastrear la creación de archivos y el cambio de nombre para auditoría, pero no bloquearlo.

"La idea de permitir que el usuario anule el bloqueo es que usted confíe en sus empleados y los capacite sobre cómo cuidar los datos", explica Rayani. "Las ventanas emergentes los guían: 'oye, esto es delicado, ¿de verdad quieres continuar?', O si la política es bloquear 'aquí está el motivo por el que se bloqueó'. Quieres que el usuario pueda tomar una decisión y no bloquean su productividad, mientras mantienen la seguridad y el cumplimiento ".

Endpoint DLP usa tipos MIME en lugar de extensiones de archivo (que se pueden cambiar), y la vista previa ve archivos de Word, PowerPoint, Excel, CSV, TSV y PDF, además de C, Java y archivos relacionados: las acciones del usuario en TXT y los archivos de código fuente son también evaluado contra la política.

<a href = "https://tr1.cbsistatic.com/hub/i/2020/10/15/4299f7b7-4db1-427c-9d69-8602704a7c58/endpoint-dlp-edge.jpg" target = "_ blank" datos- componente = "modalEnlargeImage" data-headline = "

Edge es el único navegador que puede aplicar las políticas de DLP con tanta granularidad.

"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow ">endpoint-dlp-edge.jpg "src =" https://tr1.cbsistatic.com/hub/i/2020/10/15/4299f7b7-4db1-427c-9d69-8602704a7c58/endpoint-dlp-edge.jpg

Edge es el único navegador que puede aplicar las políticas de DLP con tanta granularidad.

Imagen: Microsoft

Más opciones en Edge

Las organizaciones que han adoptado el nuevo navegador Edge también pueden elegir un nivel de control más granular que solo bloquear, dice Rayani. "Si está utilizando otro navegador, la información confidencial no fluirá a través de ese navegador de terceros, pero con Edge, debido a que lo hemos integrado de forma nativa, puede comprender a qué sitio web voy. Si voy a un sitio de SharePoint de la empresa y subo algo desde mi dispositivo, eso es muy diferente a si voy a mi OneDrive personal ".

Esto significa que un empleado que usa Chrome no podrá cargar un archivo que incluya información confidencial que haya configurado una política para capturar, como un número de seguro nacional, incluso en su sitio de SharePoint. Con Edge, podrían cargarlo en SharePoint, pero no en otro lugar.

Para Edge, puede elegir si desea que la lista de dominios que cree sea una lista de bloqueo, donde elija sitios específicos para que el navegador advierta o bloquee la carga de datos confidenciales, o una lista de permitidos de los únicos sitios que los usuarios pueden cargar. datos sensibles a. También puede enumerar los navegadores que no desea que manejen archivos confidenciales. Si los usuarios intentan acceder a un archivo que coincide con una política de DLP, se les pedirá que abran el archivo en Edge, que luego puede bloquear o restringir actividades específicas en lugar de todo el archivo, o permitir que el usuario anule el bloqueo a cambio de hacer un seguimiento de la carga.

VER: Cómo los usuarios de Apple pueden aprovechar al máximo Microsoft 365 en el trabajo (TechRepublic Premium)

"Si un usuario intenta cargar un PDF con contenido que se considera sensible a un Dropbox compartido, el contenido se está bloqueando. En Edge, la ventana emergente dice que puede anularlo; si estuviera en otro navegador, simplemente bloquearlo y no tendrían esa aprobación anulada ", dice Rayani.

La aplicación de DLP a los navegadores permite a las empresas controlar cómo los empleados usan el almacenamiento en la nube sin ser torpes. "Escuchamos a los clientes que a menudo tienen usuarios que utilizan soluciones de almacenamiento en la nube para transferir datos, pero lo hacen a través de la web", dice Rayani. "Si estoy usando mi OneDrive personal para hacer algo y son datos confidenciales, eso es muy diferente de lo que es si uso el OneDrive corporativo. Hay una gran cantidad de soluciones de nube de terceros que la gente usa y las de los consumidores como Dropbox y otras, y se vieron obligados a utilizarlos para transferir datos en esta situación de trabajo remoto ".

<a href = "https://tr3.cbsistatic.com/hub/i/2020/10/15/be7e26f0-feac-4b46-a7c2-8b793e219f2b/endpoint-dlp-tracking.jpg" target = "_ blank" data- componente = "modalEnlargeImage" data-headline = "

Endpoint DLP rastrea diversas actividades que involucran datos protegidos en dispositivos.

"data-credit =" Imagen: Microsoft "rel =" noopener noreferrer nofollow ">endpoint-dlp-tracking.jpg "src =" https://tr3.cbsistatic.com/hub/i/2020/10/15/be7e26f0-feac-4b46-a7c2-8b793e219f2b/endpoint-dlp-tracking.jpg

Endpoint DLP rastrea diversas actividades que involucran datos protegidos en dispositivos.

Imagen: Microsoft

Volviéndose más inteligente

A su debido tiempo, dice Rayani, Edge tendrá opciones más granulares para sitios aprobados, que incluso podrían incluir acceso condicional basado en Microsoft Graph: "Digamos que hay estas tres personas en este grupo y deberían tener acceso a este tipo de información, así que puedes subirlo ".

También puede aprovechar más los clasificadores entrenables en MIP para ayudar a guiar la creación de políticas, dice Rayani.

"Supongamos que tiene un proyecto muy confidencial, como una fusión y adquisición, y que nunca quiere que eso salga de ningún límite, por lo que siempre que vea que desea poner una protección adicional en su lugar. Una de las cosas que hicimos con los clasificadores entrenables es permitir que el sistema sepa cuál es la información. Lo apuntas a un sitio de SharePoint con 30 documentos y se enterará de eso y una vez que lo hayas validado, implementarás esa política porque es tan sensible que no quieres sus usuarios toman una decisión al respecto ".

Una vez más, se trata de aumentar la granularidad de los controles. "No existe una talla única para todos cuando se trata de datos y cómo desea protegerlos, clasificarlos y administrarlos, por lo que existen diferentes niveles de controles que desea habilitar para hacer eso".

Bloquear y auditar el uso de información confidencial es una señal útil para otras herramientas de seguridad, como Microsoft Defender. "Los clientes pueden usar esto para ayudarlos a priorizar la respuesta a incidentes y las investigaciones forenses", dice Rayani. "Imagine que ha tenido un evento de DLP que se activó en un dato muy sensible que fluyó en ese dispositivo. Y luego también podría mirar ese mismo dispositivo e investigar si se produjo una posible infracción en ese dispositivo. De modo que puede comience a correlacionar estas cosas a través de los incidentes y vea qué sucede ".

Las señales de Endpoint DLP también fluyen hacia la solución de gestión de riesgos internos de Microsoft: "Si alguien descargaba un montón de contenido confidencial de SharePoint, podría ver lo que estaba haciendo con ese contenido confidencial en términos de activar una política a través de Endpoint DLP".

Hasta ahora, Endpoint DLP es solo para Windows, pero Rayani dice que, al igual que otras ofertas de seguridad y cumplimiento de Microsoft, "Iremos donde están nuestros clientes. No estoy haciendo ningún compromiso, pero continuaremos usando ese mismo enfoque con Endpoint DLP ".

Dado que Microsoft Defender para Endpoint (el nuevo nombre Defender Advanced Threat Protection) está disponible en macOS, Linux y Android y en versión preliminar pública en iOS (con la administración de amenazas y vulnerabilidades también en versión preliminar pública para macOS), parece probable que Endpoint DLP esté disponible multiplataforma en el futuro .

Ver también



Enlace a la noticia original