Exploración de la administración de riesgos internos

Administración de riesgos internos de Microsoft Purview es una solución de cumplimiento que ayuda a las organizaciones a minimizar los riesgos internos al permitirles detectar, investigar y actuar en actividades malintencionadas e involuntariamente. Las directivas de riesgo internos permiten a una organización definir los tipos de riesgos que se van a identificar y detectar, incluida la acción en casos y la elevación de casos a Microsoft eDiscovery (Premium) si es necesario. Los analistas de riesgo de una organización pueden realizar rápidamente las acciones adecuadas para asegurarse de que los usuarios cumplen los estándares de cumplimiento de su organización.

Puntos de dolor de riesgo modernos

La administración y minimización del riesgo en una organización comienza con la comprensión de los tipos de riesgos que se encuentran en el área de trabajo moderna. Los eventos externos y los factores que están fuera del control directo de una organización generan algunos riesgos. Eventos internos y actividades de usuario que las organizaciones pueden minimizar y evitar impulsar otros riesgos. Algunos ejemplos son los riesgos de comportamientos y acciones ilegales, inadecuados, no autorizados o no éticos por parte de los usuarios de una organización. Estos comportamientos incluyen una amplia gama de riesgos internos de los usuarios:

• Filtraciones de datos confidenciales y pérdida de datos
• Infracciones de confidencialidad
• Robo de propiedad intelectual
• Fraude
• Tráfico de información privilegiada
• Infracciones de cumplimiento normativo

Los usuarios del área de trabajo moderna tienen acceso para crear, administrar y compartir datos en un amplio espectro de plataformas y servicios. En la mayoría de los casos, las organizaciones tienen recursos y herramientas limitados para identificar y mitigar los riesgos de toda la organización, a la vez que cumplen los estándares de privacidad de los usuarios.

La administración de riesgos internos usa toda la amplitud de los indicadores de servicio y de terceros. Estos indicadores ayudan a las organizaciones a identificar, evaluar y actuar rápidamente sobre la actividad de riesgo. Mediante el uso de registros de Microsoft 365 y Microsoft Graph, la administración de riesgos de Insider permite a una organización definir directivas específicas para identificar indicadores de riesgo. Estas directivas le permiten identificar actividades de riesgo y actuar para mitigar estos riesgos.

La administración de riesgos internos se centra en los siguientes principios:

• Transparencia. Equilibre la privacidad del usuario frente al riesgo de la organización con la arquitectura de privacidad por diseño.
• Configurable. Directivas configurables basadas en grupos empresariales, geográficos y del sector.
• Integrado. Flujo de trabajo integrado en las soluciones de Microsoft Purview.
• Accionable. Proporciona información para habilitar las notificaciones del revisor, las investigaciones de datos y las investigaciones de usuario.

Identificación de posibles riesgos con análisis

El análisis de administración de riesgos internos permite a una organización realizar una evaluación de posibles riesgos internos sin configurar ninguna directiva de riesgo interno. Esta evaluación puede ayudar a una organización a:

• Identificar posibles áreas de mayor riesgo para el usuario.
• Determine el tipo y el ámbito de las directivas de administración de riesgos de Insider que puede considerar la configuración.
• Determine las necesidades de licencias adicionales o la optimización futura de las directivas existentes.

Lectura adicional. Para obtener más información sobre la información de análisis, consulte Configuración de administración de riesgos internos: Análisis.

Visualización adicional. Para obtener más información sobre cómo el análisis puede acelerar la identificación de posibles riesgos internos y ayudar a las organizaciones a tomar medidas rápidamente, watch el siguiente breve vídeo de Insider Risk Management Analytics.

Para habilitar el análisis de riesgos internos, debe ser miembro del grupo de roles Insider Risk Management, Insider Risk Management Administración o Microsoft 365 Global admin.

Complete los pasos siguientes para habilitar el análisis de riesgos internos:

1. En el portal de cumplimiento Microsoft Purview, seleccione Administración de riesgos internos en el panel de navegación.
2. Seleccione Ejecutar examen en la tarjeta Buscar riesgos internos en la tarjeta de la organización en la pestaña Información general sobre la administración de riesgos de Insider. Esta acción activa el análisis de la organización. También puede activar el examen en su organización si navega a la configuración de riesgo de Insider y, a continuación, a Análisis y habilita la opción titulada: Examinar la actividad del usuario del inquilino para identificar posibles riesgos internos.
3. En el panel Detalles de Analytics , seleccione Ejecutar examen para iniciar el examen de su organización. Los resultados del análisis pueden tardar hasta 48 horas antes de que la información esté disponible como informes para su revisión.

Después de revisar la información de análisis, elija las directivas de riesgo internos y configure los requisitos previos asociados que mejor cumplan la estrategia de mitigación de riesgos internos de su organización.

Introducción a las acciones recomendadas

La experiencia de acciones recomendadas puede ayudar a las organizaciones a sacar el máximo partido a las funcionalidades de administración de riesgos de Insider. Las organizaciones consideran que esta característica es beneficiosa, ya sea que configuren la administración de riesgos de Insider por primera vez o empiecen a crear nuevas directivas. Las acciones recomendadas incluyen la configuración de permisos, la elección de indicadores de directiva, la creación de una directiva y mucho más.

La pestaña Información general de la página administración de riesgos de Insider incluye la característica de acciones recomendadas, que guía a una organización a través de los pasos para configurar e implementar directivas.

La pestaña Información general incluye una sección titulada Acciones principales para ayudarle a empezar. Las opciones incluidas en esta sección ayudan a una organización a empezar a trabajar con la configuración de administración de riesgos de Insider o a maximizarla. Estas opciones incluyen:

• Active la auditoría. Cuando está activado, la administración de riesgos de Insider registra la actividad de usuario y administrador en el registro de auditoría de Microsoft 365. Los exámenes de análisis y directivas de riesgo internos usan este registro para detectar actividades de riesgo.
• Obtenga permisos para la administración de riesgos del usuario. El nivel de acceso que un usuario tiene a las características de administración de riesgos de Insider depende del grupo de roles al que un administrador haya asignado el usuario. Solo los usuarios asignados a los grupos de roles Administración de riesgos internos o Administración de riesgos internos pueden acceder a las características de administración de riesgos internos.
• Elija los indicadores de directiva. Los indicadores son básicamente las actividades de usuario que una organización quiere detectar e investigar. Una organización puede elegir indicadores para realizar un seguimiento de la actividad en varias ubicaciones y servicios de Microsoft 365.
• Busque posibles riesgos internos. Una organización debe ejecutar un análisis para detectar posibles riesgos internos que se produzcan en la empresa. Después de evaluar los resultados, revise las directivas recomendadas para configurar.
• Asigne permisos a otros usuarios. Si hay otros miembros del equipo responsables de administrar las características de riesgo internos, los administradores deben asignarlas a los grupos de roles adecuados.
• Cree la primera directiva. Para recibir alertas sobre actividades potencialmente de riesgo, una organización debe configurar directivas basadas en plantillas predefinidas que definan las actividades de usuario que quiere detectar e investigar.

Cada acción recomendada incluida en esta experiencia tiene cuatro atributos:

• Acción Nombre y descripción de la acción recomendada.
• Estado. Estado de la acción recomendada. Los valores de estado incluyen:
  • No iniciado
  • En curso
  • Guardado para más adelante
  • Completado
• Obligatorio u opcional. Para que las características de administración de riesgos internos funcionen según lo esperado, el sistema requiere ciertas acciones recomendadas. Otras acciones recomendadas son opcionales para que esas características funcionen.
• Tiempo estimado para completar. Tiempo estimado para completar la acción recomendada en minutos.

Seleccione una recomendación de la lista para empezar a configurar la administración de riesgos de Insider. Cada acción recomendada guía a una organización a través de las actividades necesarias para la recomendación, entre las que se incluyen:

• Cualquier requisito
• Qué esperar
• El efecto de configurar la característica en la organización

Al configurar cada acción recomendada, el sistema la marca automáticamente como completa. O bien, debe seleccionar manualmente la acción como completa cuando se haya configurado.

Flujo de trabajo

El flujo de trabajo de administración de riesgos internos ayuda a las organizaciones a identificar, investigar y tomar medidas para abordar los riesgos internos. Las organizaciones pueden usar información útil para identificar rápidamente y actuar sobre comportamientos de riesgo con:

• Plantillas de directivas centradas
• Señalización de actividad completa en el servicio Microsoft 365
• Herramientas de administración de casos y alertas

En el diagrama siguiente se describe cómo la administración de riesgos de Insider identifica y resuelve las actividades de riesgo internas y los problemas de cumplimiento.

En las secciones siguientes se presentan cada una de las tareas identificadas en el diagrama de flujo de trabajo.

Directivas

Las directivas de administración de riesgos internos se crean mediante plantillas predefinidas y condiciones de directiva. Estas directivas definen qué eventos desencadenantes e indicadores de riesgo examina una organización. Estas condiciones incluyen:

• Cómo usan las alertas los indicadores de riesgo.
• Los usuarios incluidos en la directiva.
• Los servicios que la organización ha priorizado.
• Período de tiempo de supervisión.

Las organizaciones pueden seleccionar entre las siguientes plantillas de directiva para empezar a trabajar rápidamente con la administración de riesgos de Insider:

• Robo de datos por parte de los usuarios que abandonan.
• Fugas de datos generales.
• Pérdidas de datos por parte de usuarios prioritarios.
• Pérdidas de datos por parte de usuarios descontentos.
• Infracciones generales de la directiva de seguridad.
• Uso indebido general de los datos de los pacientes.
• Infracciones de la directiva de seguridad por parte de los usuarios.
• Infracciones de directivas de seguridad por parte de usuarios prioritarios.
• Infracciones de directivas de seguridad por parte de usuarios descontentos.

Una unidad posterior de este entrenamiento examina las directivas de administración de riesgos internos con más detalle.

Alertas

Los indicadores de riesgo generan automáticamente alertas que coinciden con las condiciones de la directiva. También se muestran en el panel Alertas. Este panel permite una vista rápida de:

• Todas las alertas que necesitan revisión.
• Abra alertas a lo largo del tiempo.
• Estadísticas de alertas de la organización.

El panel Alertas muestra todas las alertas de directiva con la siguiente información. Estos datos ayudan a las organizaciones a identificar rápidamente el estado de las alertas existentes y las nuevas alertas que requieren acción:

• Estado
• Severity
• Tiempo detectado
• Case
• Estado del caso

Clasificación

Las nuevas actividades de usuario que necesitan investigación generan automáticamente alertas. El sistema asigna a estas alertas un estado De necesidad de revisión . Los revisores pueden identificar y revisar rápidamente, evaluar y evaluar estas alertas.

Para resolver las alertas, se abre un nuevo caso, se asigna la alerta a un caso existente o se descarta la alerta. Con los filtros de alertas, es fácil identificar rápidamente las alertas por estado, gravedad o tiempo detectado. Como parte del proceso de evaluación de prioridades, los revisores pueden:

• Vea los detalles de la alerta de las actividades identificadas por la directiva.
• Ver la actividad del usuario asociada a la coincidencia de directiva.
• Consulte la gravedad de la alerta.
• Revise la información del perfil de usuario.

Investigación

Las organizaciones pueden investigar rápidamente todas las actividades de un usuario seleccionado con informes de actividad de usuario. Estos informes permiten a los investigadores de una organización examinar las actividades de usuarios específicos. Puede examinar las actividades durante un período de tiempo definido sin tener que asignarlas de forma temporal o explícita a una directiva de administración de riesgos de Insider. Después de que los investigadores examinen las actividades de un usuario, pueden:

• Descartar las actividades individuales como benignas.
• Comparta o envíe por correo electrónico un vínculo al informe con otros investigadores.
• Elija asignar al usuario temporal o explícitamente a una directiva de administración de riesgos de Insider.

Las organizaciones crean casos para las alertas que requieren una revisión e investigación más detalladas de los detalles y las circunstancias de la actividad en torno a la coincidencia de directivas. El panel de casos ofrece una vista integral de todos los casos activos, casos abiertos a lo largo del tiempo y estadísticas de casos para la organización. Los revisores pueden filtrar rápidamente los casos por estado, la fecha en que la empresa abrió el caso y la fecha en que la empresa actualizó por última vez el caso.

Las herramientas de investigación principales de esta área incluyen:

• Actividad del usuario. La actividad del usuario se muestra automáticamente en un gráfico interactivo. Traza actividades a lo largo del tiempo y por nivel de riesgo para las actividades de riesgo actuales o pasadas. Los revisores pueden filtrar y ver rápidamente todo el historial de riesgos para el usuario. También pueden profundizar en actividades específicas para obtener más detalles.
• Explorador de contenido. El Explorador de contenido captura y muestra automáticamente todos los archivos de datos y mensajes de correo electrónico asociados a las actividades de alerta. Los revisores pueden filtrar y ver archivos y mensajes por origen de datos, tipo de archivo, etiquetas, conversación y muchos más atributos.
• Notas de mayúsculas y minúsculas. Los revisores pueden proporcionar notas de un caso en la sección Notas del caso. Esta lista consolida todas las notas en una vista central e incluye información de revisor y fecha enviada.

Además, el registro de auditoría permite a las organizaciones mantenerse informadas de las acciones realizadas en las características de administración de riesgos de Insider. El registro de auditoría permite una revisión independiente de los usuarios asignados a uno o varios grupos de roles de administración de riesgos de Insider. El propósito de la revisión es analizar las acciones de los usuarios.

Acción

Una vez que una organización investiga un caso, los revisores pueden actuar rápidamente para resolver el caso o colaborar con otras partes interesadas de riesgo de la organización. Si los usuarios infringen accidental o involuntariamente las condiciones de la directiva, el sistema envía un aviso simple o al usuario de plantillas de aviso que una organización puede personalizar. Estos avisos pueden servir como recordatorios simples. También puede indicar al usuario que actualice el entrenamiento o las instrucciones para ayudar a evitar comportamientos de riesgo futuros. Para más información, consulte plantillas de notificación de administración de riesgos internos.

En las situaciones más graves, es posible que un revisor tenga que compartir la información del caso de administración de riesgos de Insider con otros revisores o servicios de su organización. Microsoft 365 integra estrechamente la administración de riesgos de Insider con las siguientes soluciones de Microsoft Purview para ayudar a los revisores con la resolución de riesgos de un extremo a otro.

• eDiscovery (Premium). Escalar un caso para investigación permite a una organización transferir datos y administrar el caso a Microsoft Purview eDiscovery (Premium). eDiscovery (Premium) proporciona un flujo de trabajo de un extremo a otro para conservar, recopilar, revisar, analizar y exportar contenido que responda a las investigaciones internas y externas de una organización. Permite que los equipos legales administren todo el flujo de trabajo de notificaciones de suspensión legal. Para obtener más información sobre los casos de eDiscovery (Premium), consulte Información general de Microsoft Purview eDiscovery (Premium).
• integración de las API de administración de Office 365. La administración de riesgos internos admite la exportación de información de alertas a servicios de administración de eventos e información de seguridad (SIEM) a través de las API de administración de Office 365. Tener acceso a la información de alertas en la plataforma que mejor se adapte a los procesos de riesgo de una organización le proporciona más flexibilidad para actuar sobre las actividades de riesgo. Para más información sobre la exportación de información de alertas con las API de administración de Office 365, consulte Exportación de alertas.

Comprobación de conocimientos

Elija la mejor respuesta para cada una de las siguientes preguntas.