Microsoft Purview Information Protection

1. Panorama de Microsoft Purview Information Protection y roles Néstor presentó Purview Information Protection y la certificación SC-401 Information Security Administrator Associate, enfocada en seguridad, cumplimiento y gobernanza en Microsoft 365. Diferenció roles de Administrador global, de seguridad y de cumplimiento, con énfasis en privilegio mínimo y permisos específicos para operar Purview y Defender. Se revisó la estructura de grupos de roles (Insider Risk Management, eDiscovery Manager) y el proceso para asignar a usuarios como Joni/Johnny Sherman a grupos con responsabilidades concretas. Integración con Microsoft Defender XDR (Defender for Endpoint, Office 365, Cloud Apps, etc.) para detección extendida, respuesta e investigación de incidentes por analistas y administradores. 2. Tipos de información confidencial (SIT) y clasificadores personalizados Catálogo de SIT integrados (tarjetas, ID nacionales, salud) utilizable en políticas. Para SIT personalizados se definen patrones con expresiones regulares, listas de palabras clave y elementos de soporte para detectar datos propios (IDs de empleado, términos de salud). Niveles de confianza (alto/medio/bajo) y reglas de proximidad para reducir falsos positivos/negativos. Ciclo de pruebas y validación con documentos de ejemplo y revisión de coincidencias. Exact Data Match (EDM) y clasificadores entrenables (ML) para identificar datos por valores exactos o modelos, integrados en cumplimiento. 3. Etiquetas de sensibilidad: creación, configuración y aplicación Pasos: definir nombre, descripción, prioridad y alcance (archivos, correos, reuniones, grupos, sitios). Usar subetiquetas por departamento. Permisos y acceso: asignación a usuarios/grupos, expiración, restricciones sin conexión; opciones avanzadas (marca de agua dinámica, Double Key Encryption). Marcado y autoetiquetado: encabezados, pies y marcas de agua; políticas de autoetiquetado basadas en condiciones. Publicación y políticas: publicación a apps, etiquetado obligatorio, etiquetas predeterminadas, excepciones y enlaces de ayuda. Aplicación: ejemplos en Office y Outlook; impacto del cifrado en usabilidad y colaboración. 4. DLP y postura de seguridad de datos Políticas DLP para proteger tarjetas e IDs de empleado; prioridad de políticas, estado de sincronización y auditoría. Integración con IA: bloquear acceso de herramientas de IA a datos sensibles y detectar interacciones riesgosas. Insider Risk Management: señales de comportamiento, políticas y flujos de revisión para mitigar exfiltración y uso indebido. Postura de seguridad: acciones completadas (reforzar seguridad de datos, proteger con etiquetas) y recomendaciones pendientes para elevar madurez. 5. Acceso condicional, federación y protección de endpoints Acceso condicional: políticas por identidad, ubicación, riesgo y cumplimiento del dispositivo para usuarios internos y B2B. Federación: integración con proveedores externos (Google Workspace, Meta) y servicios de Active Directory para colaboración segura con invitados. Endpoint DLP: controles en dispositivos (navegadores como Microsoft Edge y Google Chrome), protección frente a copiado/pegado, impresiones, cargas y movimientos a ubicaciones no autorizadas. 6. Buenas prácticas clave Privilegio mínimo y separación de funciones: otorgar sólo los permisos necesarios (p. ej., eDiscovery Manager vs. Administrator). Gobierno de etiquetas: anillos piloto, monitoreo de adopción, métricas de autoetiquetado y excepciones. Calidad de clasificadores: mantener sets de prueba; ajustar regex, palabras clave y proximidad; revisar precisión y recall periódicamente. Telemetría y respuesta: unificar señales de Purview y Defender XDR; automatizar respuestas con Logic Apps/Power Automate. Cumplimiento continuo: mapear políticas a marcos (ISO, GDPR, HIPAA); registrar decisiones y excepciones para auditoría. 7. Próximos pasos sugeridos Formalizar grupos de roles y asignaciones (incluidos invitados B2B) con revisiones periódicas de acceso. Finalizar SIT personalizados prioritarios (IDs de empleado, salud) y completar su validación. Publicar el primer set de etiquetas con alcance controlado y telemetría; definir política de etiquetado obligatorio por área. Implementar políticas DLP iniciales de alto impacto (pagos, datos personales) y políticas específicas para uso de IA. Habilitar reglas críticas de acceso condicional (MFA, dispositivo conforme, bloqueo por riesgo) y validar federación con socios clave. Establecer tablero de postura y métricas: tasa de etiquetado, incidentes DLP, falsos positivos, SLA de respuesta y cobertura de dispositivos.