Sistema de control de Copilot seguridad y gobernanza

Al implementar Microsoft 365 Copilot y agentes, es posible que se enfrente a riesgos nuevos y ampliados relacionados con la seguridad, el cumplimiento, la privacidad y la gobernanza. Este marco de seguridad y gobernanza le ayuda a mitigar estos problemas en los siguientes componentes:

• Microsoft 365 Copilot
• Microsoft 365 Copilot Chat
• Agentes precompilados de Microsoft 365
• Agentes creados en Microsoft Copilot Studio y publicados en canales de Microsoft 365

En este artículo se hace referencia a los controles básicos y optimizados . En general, estos términos hacen referencia a los siguientes productos y servicios:

• Fundamental: controles de seguridad y gobernanza en el Centro de administración de Microsoft 365, Administración Avanzada de SharePoint y Microsoft Purview con una licencia A3/E3/G3.

• Optimizado: controles en Microsoft Purview y Microsoft Defender for Cloud Apps con una licencia A5/E5/G5.

El pilar de seguridad y gobernanza de la Sistema de control de Copilot se centra en las siguientes funcionalidades clave:

• Seguridad de datos
• Seguridad de IA
• Cumplimiento y privacidad

Seguridad de datos

En primer lugar, proteja la información de su organización. En función de las licencias actuales, use Microsoft Purview y Administración Avanzada de SharePoint para evaluar los riesgos de uso compartido excesivo. También puede usar Microsoft Purview para recomendaciones de directivas y realizar acciones correctivas. Estas acciones le ayudan a estar seguro de que los datos confidenciales permanecen protegidos y el acceso se limita solo a los usuarios que lo necesitan, incluidos Copilot y los agentes.

Controles básicos de seguridad y gobernanza de datos

En Administración Avanzada de SharePoint y Microsoft Purview con una licencia A3/E3/G3, obtendrá los siguientes controles básicos de seguridad y gobernanza de datos:

• Identifique los datos potencialmente sobrecompartidas en todo Microsoft 365. Ejecute de forma rutinaria los informes siguientes:

  • Los informes de gobernanza del acceso a datos para sitios de SharePoint permiten identificar los datos sobres compartidos de los sitios. También puede enviar una revisión de acceso al sitio a los propietarios de sitios sobres compartidos.

• Quite el acceso al sitio de toda la organización según sea necesario.

  • Use SharePoint para configurar manualmente este acceso o automatizar la configuración con Windows PowerShell. Para obtener más información, vea Restringir el acceso al sitio de SharePoint con grupos de seguridad de Grupos de Microsoft 365 y Microsoft Entra.

  • Para restringir el acceso de usuario, Copilot y agente a sitios sobres compartidos mientras se corrigen los riesgos, use la detección de contenido restringido de SharePoint o el control de acceso restringido de SharePoint.

  • Use Microsoft Purview Information Protection etiquetas de confidencialidad del sitio. Para obtener más información, vea Usar etiquetas de confidencialidad con Microsoft Teams, Grupos de Microsoft 365 y sitios de SharePoint.

• Mejore las respuestas de Copilot y agente mediante el archivado o la eliminación de contenido innecesario.

  • Para identificar y administrar sitios de SharePoint inactivos o sin propietario y, a continuación, archivarlos o eliminarlos, use la administración del ciclo de vida del sitio de SharePoint.

  • Use Administración del ciclo de vida de Microsoft Purview para identificar y eliminar archivos que no necesite.

En Microsoft Purview con una licencia A3/E3/G3, se obtienen los siguientes controles básicos de seguridad de datos:

• Obtenga notificaciones cuando se produzca un nuevo uso compartido excesivo con opciones para la corrección. Para obtener más información, consulte Prevención de pérdida de datos de Microsoft Purview.

• Proteja los datos confidenciales a través de controles de acceso de nivel de archivo. Para obtener más información, vea Aplicar cifrado mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.

• Vea los informes de datos confidenciales y archivos no protegidos a los que se hace referencia en las interacciones de Copilot y agente. Para obtener más información, consulte los informes de Administración de postura de seguridad de datos de Microsoft Purview (DSPM) para la inteligencia artificial.

• Use Microsoft Purview Information Protection etiquetas de confidencialidad para los controles siguientes:

  • Detecte cuándo el contenido contiene datos confidenciales y pida al usuario que aplique manualmente las protecciones.

  • Proteja los archivos incluso si un usuario los mueve o descarga.

Controles de seguridad de datos optimizados

En Microsoft Purview con una licencia A5/E5/G5, obtendrá los siguientes controles de seguridad de datos optimizados:

• Use la administración de la posición de seguridad de datos (DSPM) de Microsoft Purview para la inteligencia artificial para los siguientes controles:

  • Cree evaluaciones de riesgos de datos destinadas a ubicaciones específicas de Microsoft 365, como sitios de SharePoint y OneDrive.

  • Reciba y actúe sobre sugerencias de directivas para mitigar los riesgos específicos de uso compartido excesivo.

• Para detectar cuándo el contenido contiene datos confidenciales y aplicar automáticamente protecciones, use Microsoft Purview Information Protection etiquetas de confidencialidad.

• Use Administración de riesgos internos de Microsoft Purview para los controles siguientes:

• Reciba alertas sobre acciones de usuario de riesgo que se desvían de su patrón de comportamiento habitual. Para obtener más información, consulte Plantillas de directivas de Insider Risk Management.

• Correlacionar y secuenciar alertas de riesgo para identificar patrones de riesgo de gravedad alta para un usuario. Para obtener más información, consulte Directivas de Insider Risk Management para la detección de secuencias.

• Agregue automáticamente un usuario a directivas de seguridad más estrictas en función de sus patrones de riesgo. Para obtener más información, consulte Protección adaptable para la administración de riesgos internos.

Seguridad de IA

También debe proteger las herramientas con tecnología de inteligencia artificial y sus datos asociados frente a amenazas en constante evolución. El Sistema de control de Copilot proporciona controles para supervisar, detectar y responder a riesgos relacionados con la inteligencia artificial. Por ejemplo, el uso compartido excesivo de información confidencial, el comportamiento anómalo del usuario y el uso indebido de las capacidades de inteligencia artificial generativa. Use estos controles para asegurarse de que las integraciones de inteligencia artificial permanezcan seguras, compatibles y resistentes frente a amenazas internas y externas.

Controles de seguridad básicos de IA

Copilot ya incluye protecciones integradas contra ataques basados en inteligencia artificial. Estas protecciones incluyen, pero no se limitan a, las siguientes protecciones:

• Bloquear ataques por inyección de mensajes

• Bloquear contenido dañino

• Detección de material protegido

En Microsoft Purview con una licencia A3/E3/G3, obtendrá los siguientes controles de seguridad de inteligencia artificial fundamentales:

• Para ver el texto de la solicitud y la respuesta y los archivos a los que se hace referencia, busque y exporte con Microsoft Purview eDiscovery.

• Para las respuestas de Copilot y los agentes y los documentos creados por Copilot y los agentes para heredar etiquetas y protecciones de confidencialidad, use Microsoft Purview Information Protection etiquetas de confidencialidad.

Controles de seguridad de IA optimizados

En Microsoft Purview con una licencia A5/E5/G5, obtendrá los siguientes controles de seguridad de IA optimizados:

• Para evitar que Copilot y los agentes procesen determinados archivos confidenciales y los usen en respuestas, use Prevención de pérdida de datos de Microsoft Purview para Microsoft 365 Copilot y agentes.

• Para recibir alertas sobre el uso de inteligencia artificial de riesgo, como un intento de ataque por inyección de mensajes o el uso de datos confidenciales, use Administración de riesgos internos de Microsoft Purview.

• Para impedir que los usuarios de alto riesgo accedan a contenido confidencial mediante Copilot y los agentes, use la protección adaptable para la administración de riesgos internos.

• Para ver el texto de la solicitud y la respuesta, las consultas web usadas durante la puesta en tierra y los archivos a los que se hace referencia usan el explorador de actividad en Administración de postura de seguridad de datos de Microsoft Purview para IA.

Cumplimiento y privacidad

El tercer aspecto de la seguridad y la gobernanza en la Sistema de control de Copilot es asegurarse de que puede supervisar, auditar y administrar cómo las interacciones de Copilot y los agentes cumplen con los estándares normativos e internos. Use Microsoft Purview para proporcionar una supervisión completa de las actividades de Copilot. Con estos controles, puede proteger la información confidencial, mantener la privacidad y demostrar el cumplimiento normativo al implementar y usar Microsoft 365 Copilot y agentes.

Controles básicos de cumplimiento y privacidad

En Microsoft Purview con una licencia A3/E3/G3, obtiene los siguientes controles básicos de cumplimiento y privacidad:

• Para auditar las interacciones de Copilot y agente, acceda a información de registro detallada con Auditoría de Microsoft Purview para aplicaciones de Copilot e IA.

• Para aplicar directivas de retención y eliminación para las siguientes características, use Administración del ciclo de vida de Microsoft Purview:

  • Interacciones de Copilot y agente de Microsoft 365

  • Grabaciones y transcripciones de reuniones de Microsoft Teams

• Use Microsoft Purview eDiscovery para los controles siguientes:

  • Incluya las solicitudes y respuestas del copiloto y agente de un usuario en una retención legal. Para obtener más información, vea Directivas de suspensión y suspensión.

  • Busque litigios o una investigación e incluya el contenido que Copilot y los agentes generan.

Controles de cumplimiento y privacidad optimizados

En Microsoft Purview con una licencia A5/E5/G5, se obtienen los siguientes controles de cumplimiento y privacidad optimizados:

• Para recibir una alerta si se produce una posible infracción ética o de cumplimiento e iniciar una investigación, use Cumplimiento de comunicaciones de Microsoft Purview.

• Para evaluar y realizar un seguimiento del cumplimiento de los marcos normativos, use el Administrador de cumplimiento de Microsoft Purview.

Confianza cero

Microsoft proporciona documentación detallada para implementar los principios de Confianza cero en su organización y consideraciones específicas para Microsoft 365 Copilot y Copilot Chat. Confianza cero no es un producto o servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad:

• Comprobar de forma explícita.
• Utilizar acceso con privilegios mínimos
• Asumir la vulneración.

Para obtener más información, consulte Uso de Confianza cero seguridad para prepararse para Copilot.

Contenido relacionado

• Datos, privacidad y seguridad para Microsoft 365 Copilot

• Administración Avanzada de SharePoint

• Microsoft Purview

• Sistema de control de Copilot: Adopción de Microsoft