Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan instrucciones para que las organizaciones gubernamentales australianas en las etiquetas de confidencialidad necesarias se alineen con las clasificaciones de seguridad de datos. Su propósito es ayudar a las organizaciones a decidir una taxonomía de etiquetas de confidencialidad adecuada para implementar en sus entornos de Microsoft 365. Las instrucciones de este artículo se alinean con la versión 2024 del Marco de directivas de seguridad de protección (PSPF).
Las organizaciones gubernamentales australianas deben determinar una taxonomía de etiquetas de confidencialidad adecuada antes de implementar la funcionalidad. Las etiquetas necesarias varían entre organizaciones en función de los tipos de información con los que trabajan.
configuración de Standard
Los requisitos de etiqueta típicos incluyen una combinación de clasificaciones de seguridad, a menudo combinadas con un marcador de administración de información (IMM) o advertencias. Es probable que las organizaciones con alta madurez de cumplimiento también incluyan etiquetas para satisfacer diversos requisitos de seguridad de datos. Por ejemplo, las etiquetas que aplican Azure Rights Management cifrado para garantizar que solo los usuarios autorizados puedan acceder a los elementos.
En el ejemplo siguiente se muestran las marcas básicas para la organización gubernamental australiana:
| Marcado o clasificación | Marcador de administración de información | Advertencia |
|---|---|---|
| EXTRAOFICIAL OFICIAL OFFICIAL: Confidencial PROTEGIDO |
Privacidad personal Privilegios legales Secreto legislativo |
GABINETE |
Nota:
PSPF incluye otras advertencias para satisfacer diferentes situaciones, como requisitos especiales de manipulación. Esto no se describe en esta guía. Las organizaciones que necesitan usar estas advertencias deben agregarlas a esta configuración base.
Las etiquetas son singulares y solo se puede aplicar una etiqueta a un elemento o ubicación. Cualquier combinación necesaria de estos tres elementos debe ensamblarse en una etiqueta singular para cumplir los requisitos. Por ejemplo, si se requiere que un elemento se clasifique como PROTEGIDO y también contenga información de CABINET, debe proporcionarse una sola etiqueta que contenga estos elementos; ARMARIO PROTEGIDO.
En el ejemplo siguiente se muestran las etiquetas básicas para las organizaciones gubernamentales australianas. Esta lista usa una combinación de etiquetas primarias (categorías) y subetiquetas:
- EXTRAOFICIAL
- OFICIAL
- CONFIDENCIAL OFICIAL (categoría)
- Oficial confidencial
- PRIVACIDAD PERSONAL CONFIDENCIAL OFICIAL
- PRIVILEGIO LEGAL CONFIDENCIAL OFICIAL
- OFICIAL Confidencial Secreto Legislativo
- GABINETE NACIONAL CONFIDENCIAL OFICIAL
- PROTECTED (categoría)
- PROTEGIDO
- PRIVACIDAD PERSONAL PROTEGIDA
- Privilegios legales protegidos
- SECRETO LEGISLATIVO PROTEGIDO
- ARMARIO PROTEGIDO
Nota:
Las directrices de la versión 2024 de la PSPF indican que "la advertencia de seguridad del GABINETE NACIONAL se está eliminando gradualmente, ya que el Gabinete Nacional ya no es un comité de gabinete. Se recomienda a las entidades que quiten esta advertencia de seguridad del uso." Las organizaciones que recién implementan Microsoft Purview podrían omitir esta etiqueta de confidencialidad. Para aquellos que actualmente la tienen aplicada a la información, se recomienda conservar la etiqueta, pero quitarla de la directiva de etiqueta de confidencialidad. Esto permite mantener DLP y otros controles de seguridad de datos.
Las organizaciones gubernamentales con requisitos más complejos necesitan etiquetas adicionales. El número máximo de etiquetas que una organización quiere implementar es más relevante para las restricciones de facilidad de uso que las limitaciones técnicas. Sin embargo, hay un límite de 500 etiquetas que se pueden crear por organización.
El uso de subetiquetas en la lista anterior está pensado para mejorar la experiencia del usuario, pero también tiene algunos impactos beneficiosos en el comportamiento de las etiquetas. Por ejemplo, la justificación del cambio de etiqueta no se desencadenará cuando un usuario cambie entre las subetiquetas. Esto permite a los usuarios aplicar diferentes IMM, advertencias o controles de seguridad y solo desencadenar la justificación si intentan reducir la clasificación de seguridad aplicada moviendo fuera de una categoría de etiqueta.
Consideraciones sobre el etiquetado PROTEGIDO
Las organizaciones gubernamentales australianas pueden configurar sus entornos de Microsoft 365 para almacenar información hasta el nivel PROTEGIDO. La capacidad de Microsoft para almacenar información en este nivel se evalúa de forma independiente como parte del Programa de evaluadores registrados de Infosec (IRAP). La evaluación de seguridad en la nube de Microsoft 365 está disponible públicamente a través del Portal de confianza de servicios de Microsoft.
La Dirección australiana de señales (ASD) mantiene el Manual de Seguridad de la Información (ISM), que es un marco de gestión de riesgos de ciberseguridad que ayuda a proteger los sistemas de tecnología de la información contra ciberamenazas. Este manual incluye numerosos requisitos junto con marcas de aplicabilidad, que designan los niveles de aclaramiento a los que se aplican los controles.
Importante
La implementación de una etiqueta PROTEGIDA en un entorno de Microsoft 365 no proporciona suficientes requisitos de seguridad de datos protegidos. Para mantener los datos seguros, se debe tener en cuenta el conjunto completo de ISM y otros requisitos de seguridad.
ASD mantiene el plano técnico de ASD para la nube segura, que es un excelente recurso para obtener instrucciones sobre cómo configurar entornos de Microsoft 365 de forma segura. Las instrucciones de este plano técnico se alinean con las instrucciones proporcionadas en esta guía de Microsoft Purview y deben seguirse para ayudar a reducir el riesgo de incidentes de seguridad de datos.
Material responsable
El material responsable es información que requiere el control más estricto sobre su acceso y movimiento. Las organizaciones que trabajan con o reciben material que admite acceso deben considerar la posibilidad de crear una o varias etiquetas de confidencialidad para alinearse con la información. Esta etiqueta de confidencialidad se puede usar junto con prevención de pérdida de datos (DLP), cifrado y otros controles basados en etiquetas para ayudar a proteger la información incluida. Las etiquetas de confidencialidad del material responsable se pueden configurar como subetiquetas para la etiqueta PROTEGIDA.
Uso de varias IMM
Algunas organizaciones gubernamentales australianas usan taxonomías de clasificación que permiten la aplicación de más de un marcador de administración de información (IMM) a cada elemento. Por ejemplo, "OFFICIAL: Sensitive Legislative Secrecy Personal Privacy". Aunque se puede lograr este tipo de configuración, se deben tener en cuenta los requisitos, en particular:
- Las IMM se derivan de la Standard de metadatos de mantenimiento de registros (AGRkMS) del Gobierno de Australia, donde especifica que se puede aplicar un único valor de IMM.
- La directiva 8 del Marco de directivas de seguridad de protección (PSPF) indica que las IMM son opcionales.
La recomendación de Microsoft es que las cosas sean lo más sencillas posible. Solo la implementación de etiquetas que su organización realmente necesita mejora la experiencia del usuario, ya que los usuarios tienen menos etiquetas para navegar. Tener una taxonomía más pequeña también facilita la administración, ya que hay menos configuración que mantener, especialmente en las directivas de protección contra la pérdida de datos (DLP) y etiquetado automático.
Las organizaciones que consideren el uso de varias combinaciones de IMM deben tener en cuenta las siguientes posibles complicaciones:
- Complicaciones de etiquetado automático: los elementos con varias IMM aplicadas son más difíciles de comparar mediante el etiquetado automático como expresiones para interpretar las marcas de sujeto o los encabezados x deben poder adaptarse a ellas a través de las directivas que se describen en las recomendaciones de etiquetado automático basadas en servicios.
- Longitud del asunto: Email clientes a menudo truncarán o dificultarán la visualización de asuntos de correo electrónico largos. En situaciones en las que se han aplicado varias marcas a un solo correo electrónico, es posible que los usuarios no sean conscientes de las marcas de IMM o advertencia, ya que no son visibles.
- Longitud del encabezado X: los encabezados X-Protective-Marking x, que se describen en las estrategias de marcado , se usan para aplicar metadatos de clasificación al correo electrónico. La cantidad de metadatos que se aplican a un correo electrónico depende de varios factores, incluido el cliente de correo electrónico que se usa. Es probable que las organizaciones que aplican varias IMM a los correos electrónicos superen la longitud de encabezado x permitida, lo que da lugar a que algunos metadatos de clasificación se truncan.
Si se requieren varias etiquetas, asegúrese de que los elementos se ordenan de menos a más importante para su organización. Por ejemplo:
- Clasificación de seguridad
- Advertencia (si es necesario)
- IMM más confidencial
- IMM menos confidencial
Etiquetas para obtener información más allá del nivel PROTEGIDO
Las organizaciones que contienen datos SECRET y superiores necesitan usar un enclave seguro. La organización debe implementar la separación de red y una amplia gama de otras medidas para impedir que esta información salga del enclave. Si un elemento que contiene un marcado SECRET apareció en una ubicación de Microsoft 365, la aparición requiere que el Asesor de seguridad de TI (ITSA) de las organizaciones realice la administración de derrames de datos. ASD proporciona instrucciones sobre cómo administrar las actividades de corrección, consulte la guía de administración de derrames de datos de ASD.
Las organizaciones gubernamentales deben considerar la posibilidad de implementar etiquetas para obtener información que no debe residir en sus servicios de Microsoft 365. Estas etiquetas no se publican directamente para los usuarios, sino que se usan para ayudar con la identificación automatizada de elementos que no deben estar en la plataforma. Esta configuración ayuda a los equipos de seguridad a realizar actividades de identificación y corrección.
Las etiquetas para este tipo de uso varían entre organizaciones, pero podrían incluir:
- PROTEGIDO (para organizaciones que trabajan en OFFICIAL: Confidencial o a continuación)
- SECRETO
- ULTRASECRETO
Según ISM-0272, estas etiquetas no deben publicarse para los usuarios, ya que si el servicio no está autorizado para hospedar dicha información, los usuarios no deben poder aplicar las etiquetas a los elementos:
| Requisito | Detalles |
|---|---|
| ISM-0272 (marzo de 2025) | Las herramientas de marcado de protección no permiten a los usuarios seleccionar marcas de protección que un sistema no haya autorizado para procesar, almacenar o comunicar. |
Nota:
*Las etiquetas no publicadas hacen referencia a las etiquetas, que no se publican para los usuarios finales. Para que el servicio de etiquetado automático tenga en cuenta una etiqueta, tendrá que publicarse en un solo usuario, como una cuenta administrativa o de interrupción.
Para ayudar a evitar el derrame de datos, las organizaciones deben considerar la posibilidad de aplicar los siguientes controles a través de estas etiquetas no publicadas:
- Directivas de etiquetado automático para identificar los elementos a través de encabezados x de correo electrónico entrantes o marcas de asunto (similares a las descritas en el etiquetado del correo electrónico durante el transporte).
- Directivas de etiquetado automático para identificar los elementos en reposo en las ubicaciones de SharePoint, OneDrive y Teams (de forma similar a etiquetar los elementos existentes en reposo).
- Directivas DLP para bloquear el uso compartido o la distribución de correo electrónico del contenido identificado (de forma similar a evitar la distribución inadecuada de información clasificada de seguridad).
- Directivas DLP para bloquear la recepción inicial o cualquier otra distribución del contenido (como se describe en Prevención del derrame de datos).
- Funcionalidades de informes para identificar cuándo se mueven elementos altamente confidenciales a ubicaciones de confidencialidad inferiores (como en Alertas de datos fuera de lugar).
- Defender for Cloud Apps funcionalidades para evitar la carga de elementos identificados en servicios en la nube que no son de Microsoft (como se introdujo al impedir la carga de elementos clasificados de seguridad en ubicaciones no administradas).
Etiquetas para organizaciones con taxonomías de etiquetas diferentes
Algunos gobiernos estatales australianos, como Nueva Gales del Sur y Queensland, usan taxonomías de clasificación que no se alinean completamente con PSPF. Esto puede crear algunos desafíos para la forma en que las organizaciones gubernamentales federales interpretan la sensibilidad de la información que reciben de los gobiernos estatales. Existen desafíos similares para las organizaciones gubernamentales federales que se corresponden con gobiernos extranjeros, ya que es probable que las clasificaciones no se alineen.
Los marcos de seguridad de datos y los estándares aplicados por la organización externa con los que se comunica su organización son muy relevantes para la taxonomía de etiquetas. Las marcas externas se pueden usar con los métodos siguientes:
Las marcas aplicadas por organizaciones externas se pueden convertir en un inquilino equivalente
Por ejemplo, si una organización del Gobierno Federal recibe un elemento con una marca "QLD Government SENSITIVE" aplicada, el marcado proporciona información útil sobre la confidencialidad del elemento. Un usuario podría aplicar una etiqueta de "CONFIDENCIAL OFICIAL" al elemento para incluirlo en el ámbito de las protecciones basadas en etiquetas del inquilino. Como alternativa, se podría configurar el etiquetado automático para asignar automáticamente esta marca QLD a la etiqueta CONFIDENCIAL OFICIAL.
Las organizaciones pueden mantener clasificaciones externas y protecciones adecuadas para la información mientras son custodios de ella.
En lugar de reclasificar elementos que no se alinean con el etiquetado de confidencialidad del entorno, Microsoft Purview podría configurarse con un conjunto de "etiquetas no publicadas" que se alinean con las clasificaciones externas. No es necesario que los usuarios puedan seleccionar estas etiquetas dentro de los clientes con reconocimiento de etiquetas. En su lugar, pueden aplicar el etiquetado automático basado en servicio. Una vez que se etiquetan los elementos recibidos, no se pide a los usuarios que les apliquen una etiqueta. Las etiquetas también se pueden alinear con un conjunto de DLP y otros controles para garantizar que la información contenida no se divulgue inapropiadamente.
La alineación en los métodos de nomenclatura y marcado de etiquetas entre organizaciones alineadas proporciona los mejores resultados, ya que permite configuraciones más sencillas. Si no se puede lograr la alineación, el acuerdo sobre equivalencias de clasificación proporciona la siguiente mejor alternativa. La situación que se debe evitar es que se ignoren completamente las marcas externas, ya que probablemente provocará incidentes de seguridad de datos, como un derrame de datos.
- Alineación de clasificación (recomendado, procedimiento recomendado)
- Equivalencia de clasificación (se recomienda si no es posible la opción uno)
- No se ha hecho caso omiso de la clasificación (no se recomienda, aumenta el riesgo de derrame de datos)
Nota:
Donde las organizaciones gubernamentales interactúan con gobiernos extranjeros, la sección 12 de pspf : uso compartido de información proporciona instrucciones detalladas. Para obtener más información, consulte PSPF Release 2024.
Enfoque para la alineación de clasificación
Si una organización decidiera convertir una clasificación externa en un inquilino equivalente, tendrían que:
- Determine cómo se va a identificar la clasificación. Por ejemplo, a través del marcado de asunto de correo electrónico, el encabezado x de correo electrónico, las palabras clave o la propiedad de documento.
- Configure el etiquetado automático basado en servicio para aplicar la etiqueta de confidencialidad interna pertinente cuando se identifiquen los elementos, tal como se explora en Recomendaciones de etiquetado automático basadas en el servicio.
Las ventajas de este enfoque son que todos los controles de seguridad de datos configurados para ayudar a proteger las clasificaciones de seguridad internas también se aplican a la información externa de alineación.
Enfoque para la equivalencia de clasificación
Si una organización decide mantener una clasificación externa dentro de su entorno, tendría que:
- Configure una etiqueta de confidencialidad para la clasificación externa.
- Publique la etiqueta en una cuenta que no sea de usuario para incluirla en el ámbito del servicio de etiquetado automático.
- Determine cómo se va a identificar la clasificación externa en los elementos. Por ejemplo, a través del marcado de asunto de correo electrónico, el encabezado x de correo electrónico, las palabras clave o la propiedad de documento.
- Configure el etiquetado automático basado en servicio para aplicar la etiqueta de confidencialidad oculta cuando se identifican los elementos, tal como se explora en recomendaciones de etiquetado automático basadas en el servicio.
- Configure un conjunto de directivas DLP para proteger los elementos con la etiqueta de confidencialidad aplicada, tal como se explora en Prevención de la distribución inapropiada de información clasificada de seguridad.
En la tabla siguiente se muestra un ejemplo de cómo las etiquetas no publicadas se pueden implementar con el etiquetado automático para mantener las marcas aplicadas por organizaciones externas. En el ejemplo se muestra un conjunto de etiquetas PSPF, la mayor parte de las cuales aparecen como subetiquetas a la etiqueta principal CONFIDENCIAL OFICIAL. Debajo de esta etiqueta primaria, el usuario puede elegir incluir etiquetas que se alineen con NSW y marcadores de administración de información (IMM) equivalentes a QLD:
| Etiquetas de PSPF (publicado para todos los usuarios) |
Gobierno de NSW (etiquetas no publicadas) |
Gobierno de QLD (etiquetas no publicadas) |
|---|---|---|
| EXTRAOFICIAL | ||
| OFICIAL | ||
| OFFICIAL: Confidencial | ||
| - OFICIAL: Confidencial - OFICIAL: Privacidad personal confidencial - OFICIAL: Privilegios legales confidenciales - OFICIAL: Secreto legislativo confidencial - OFICIAL: GABINETE NACIONAL CONFIDENCIAL |
- Gabinete de NSW confidencial OFICIAL - OFFICIAL Sensitive Legal - OFICIAL Aplicación de la ley confidencial - Información oficial sobre la salud confidencial - PERSONAL CONFIDENCIAL OFICIAL - Official Sensitive NSW Government |
-SENSIBLE |
Las ventajas de este enfoque son:
- El aterrizaje de información en un inquilino de Microsoft 365 del gobierno federal, que se ha etiquetado con etiquetas NSW o QLD, se beneficiará de las alertas OFICIALES: datos confidenciales fuera de lugar (se explican más adelante en las alertas de datos fuera de lugar), que alerta y ayuda a evitar que los datos se muevan a ubicaciones donde podrían revelarse de forma inapropiada.
- Los servicios de identificación de datos, como el Explorador de contenido, se pueden usar para identificar dónde puede residir información confidencial de propiedad estatal o generada en los servicios de Microsoft 365.
Nota:
Sin decidir un enfoque para identificar y proteger la información marcada con clasificaciones externas, es probable que la información recibida quede fuera de los controles de seguridad de datos basados en clasificación. Sin embargo, se seguirán aplicando controles basados en contenido, como directivas DLP destinadas a información confidencial.
cifrado de Azure Rights Management
Azure Rights Management se puede usar para asegurarse de que solo los usuarios autorizados puedan acceder al contenido con una etiqueta aplicada. Para obtener información sobre cómo configurar Azure Rights Management cifrado, consulte cómo configurar el cifrado de mensajes.
Azure Rights Management se aplica normalmente a través del etiquetado de confidencialidad. Se puede configurar una etiqueta o un conjunto de etiquetas para que, cuando las etiquetas se apliquen a un elemento, se cifren con un conjunto de permisos que rigen quién puede acceder al elemento y cómo se puede usar.
En los ejemplos siguientes se muestra cómo se podría expandir una taxonomía de etiquetas de organizaciones para proporcionar opciones de cifrado a los usuarios:
- Se podría usar una subetiqueta marcada como Solo interno para permitir a los usuarios restringir elementos solo a los usuarios internos.
- Solo se podría usar una subetiqueta de Destinatarios para garantizar que los correos electrónicos no se puedan reenviar a destinatarios no autorizados.
- Solo se puede usar una subetiqueta de Project Budgerigar para asegurarse de que solo el subconjunto de usuarios que tienen información necesaria para Project Budgerigar y la información relacionada puede acceder a los elementos.
Con estas etiquetas y controles asociados junto con el conjunto básico de etiquetas OFICIALES: confidenciales, el resultado de la topología es:
- OFFICIAL: Confidencial
- OFFICIAL: Solo confidencial interno
- OFICIAL: Solo destinatarios confidenciales
- OFICIAL: Solo budgerigar de proyecto confidencial
- OFICIAL: Confidencial (sin protección)
- OFICIAL: Privacidad personal confidencial
- OFICIAL: Privilegios legales confidenciales
- OFICIAL: Secreto legislativo confidencial
- OFICIAL: GABINETE NACIONAL CONFIDENCIAL
Hay algunos desafíos obvios con el ejemplo anterior, entre los que se incluyen:
- La lista de etiquetas es mucho más larga, lo que podría afectar a la facilidad de uso.
- El conjunto anterior de opciones de etiqueta requiere que los usuarios tengan que tomar decisiones sobre si deben aplicar una configuración de IMM, CAVEAT o cifrado, lo que presenta un problema.
En tales situaciones, la protección de los datos debe considerarse fundamental. Las IMM se consideran opcionales y no deben incluirse a costa de medidas de seguridad de datos como el cifrado. Si es necesario acortar la taxonomía de etiquetas, considere la posibilidad de quitar primero las IMM o quizás modificar las directivas de etiquetas para asegurarse de que solo se publiquen para los usuarios que las necesiten. Las advertencias, como CABINET y NATIONAL CABINET, son probablemente más importantes que las IMM y no deben omitirse.
Nota:
A medida que aumenta la madurez de la seguridad de los datos de las organizaciones, es probable que descubran nuevos escenarios que requieren protecciones. Un resultado de esto es que la taxonomía de etiquetas podría expandirse con el tiempo a medida que se agregan etiquetas para adaptarse a los nuevos requisitos.
Microsoft recomienda limitar las etiquetas publicadas a un conjunto de núcleos requerido por los usuarios y omitir las combinaciones IMM y Caveat que no sean necesarias para su organización. Considere la posibilidad de crear informes a través de herramientas como el Explorador de contenido para identificar etiquetas no utilizadas y quitarlas del conjunto publicado para permitir que la configuración crezca sin afectar a la facilidad de uso ni a la complejidad.