Seguridad con Office 365

Seguridad con Office 365

Office 365 es un servicio basado en la nube diseñado para ayudar a satisfacer las necesidades de su organización en materia de seguridad sólida, confiabilidad y productividad del usuario. Del mismo modo, ayuda a ahorrar tiempo y dinero, además de liberar recursos valiosos. Office 365 integra el conjunto familiar de equipos de escritorio con Microsoft Office con versiones basadas en la nube de comunicaciones y servicios de colaboración de última generación de Microsoft, aprovechando Internet para ayudar a los usuarios a ser más productivos desde prácticamente cualquier ubicación.

Cuando transfiere su organización a servicios de nube, debe poder confiar en su proveedor de servicios con sus datos más importantes y confidenciales. Debido a que la seguridad es primordial para el éxito del negocio, Microsoft tiene políticas, controles y sistemas sólidos integrados en Office 365 para ayudar a mantener segura su información. Office 365 está diseñado según los principios del ciclo de vida de desarrollo de seguridad , un proceso obligatorio de Microsoft que incorpora los requisitos de seguridad en cada fase de desarrollo.

Sus datos de Office 365 le pertenecen; eso significa que usted tiene el control completo de estos. Le brindamos amplios controles de privacidad y visibilidad de la ubicación de sus datos y quién tiene acceso a estos, así como la disponibilidad y los cambios en el servicio. Si finaliza su suscripción al servicio, puede quedarse con sus datos. Las políticas y las tecnologías de seguridad en el nivel de servicio administradas por Microsoft están habilitadas de manera predeterminada, y los controles administrados por el cliente permiten personalizar su entorno de Office 365 para que se adapte a las necesidades de seguridad de su organización. Office 365 se actualiza continuamente para mejorar la seguridad.

Identidad segura

Office 365 utiliza Azure Active Directory (Azure AD) para administrar usuarios y proporcionar autenticación, administración de identidades y control de acceso. Entre las funcionalidades de Azure AD, se incluyen un almacén basado en la nube para datos de directorio y un conjunto principal de servicios de identidad, como procesos de inicio de sesión de usuarios, servicios de autenticación y servicios de federación. Estos servicios de identidad se integran de manera sencilla con las implementaciones de Azure AD en las instalaciones y son totalmente compatibles con proveedores de identidad de otros fabricantes. Puede elegir entre tres modelos de identidad principales en Office 365 cuando configura y administra cuentas de usuario:

• Identidad de la nube 
• Identidad sincronizada 
• Identidad federada 

Office 365 utiliza autenticación de múltiples factores, administrada desde el centro de administración de Office 365 para ayudar a proporcionar seguridad adicional. Office 365 ofrece el siguiente subconjunto de funcionalidades de autenticación de múltiples factores de Azure como parte de la suscripción:

• Capacidad de activar y aplicar la autenticación de múltiples factores para los usuarios finales
• Uso de una aplicación móvil (en línea y con contraseña de un solo uso) como segundo factor de autenticación
• Uso de una llamada telefónica como segundo factor de autenticación
• Uso de un mensaje de servicio de mensajes cortos (SMS) como segundo factor de autenticación
• Contraseñas de aplicaciones para clientes que no usen el navegador (por ejemplo, el software del cliente de Skype para empresas)
• Saludos predeterminados de Microsoft durante llamadas telefónicas de autenticación

Infraestructura segura

Office 365 utiliza principios de seguridad de defensa en profundidad para protegerse contra riesgos internos y externos. La escala y la naturaleza global de la presencia de Microsoft nos permiten utilizar estrategias y técnicas para defendernos contra los ataques de red que pocos proveedores u organizaciones de clientes pueden igualar. El componente fundamental de nuestra estrategia es utilizar nuestra presencia global para interactuar con proveedores de Internet, proveedores de emparejamiento públicos y privados, y corporaciones privadas de todo el mundo, lo que nos brinda una presencia importante en Internet. Esto permite que Microsoft detecte y se defienda contra ataques en una superficie muy grande.

Administración de amenazas

La estrategia de administración de amenazas de Office 365 implica identificar la intención, la funcionalidad y la probabilidad de explotación exitosa de una vulnerabilidad de una amenaza potencial. Los controles utilizados para protegerse contra tales explotaciones se basan en los estándares de seguridad y las prácticas recomendadas de la industria. Office 365 proporciona una sólida protección de correo electrónico contra correo no deseado, virus y malware con la protección en línea de Exchange. Office 365 también ofrece Protección contra amenazas avanzada (ATP), un servicio de filtrado de correo electrónico que otorga protección adicional contra tipos específicos de amenazas avanzadas.

Movilidad

Los usuarios de Office 365 actualmente están en movimiento y necesitan acceso dondequiera que estén, mediante una variedad de dispositivos. Puede utilizar la administración de dispositivos móviles de Microsoft Intune para administrar y proteger los dispositivos en las plataformas de Windows, Apple iOS y Android. Puede identificar, monitorear y proteger la información confidencial con controles de prevención de pérdida de datos en la administración de aplicaciones móviles.

Respuesta ante incidentes

El proceso de Office 365 para administrar un incidente de seguridad cumple con el enfoque indicado por el Instituto Nacional de Estándares y Tecnología (NIST). La respuesta ante incidentes de seguridad de Microsoft incluye varios equipos especializados que trabajan en conjunto para prevenir, monitorear, detectar y responder ante incidentes de seguridad. Los equipos de seguridad de Office 365 adoptan el mismo enfoque respecto a los incidentes de seguridad, lo que incluye las fases de administración de respuesta 800-61 de NIST:

• Preparación: es la preparación organizacional necesaria para responder ante un incidente, incluidas las herramientas, los procesos, las competencias y la disposición.
• Detección y análisis: corresponde la detección de un incidente de seguridad en un entorno de producción y el análisis de todos los eventos para confirmar la autenticidad del incidente de seguridad.
• Contención, erradicación y corrección: son las acciones necesarias y adecuadas para contener el incidente de seguridad en función del análisis realizado en la fase anterior. También es posible que sea necesario realizar análisis adicionales de esta fase a fin de corregir completamente el incidente de seguridad.
• Actividad posterior al incidente: es el análisis realizado después de la corrección de un incidente de seguridad. Las acciones operativas realizadas durante el proceso se revisan para determinar si es necesario realizar cambios en las fases de preparación o detección y análisis.

Seguridad física

Los datos de los clientes de Office 365 se almacenan en centros de datos de Microsoft distribuidos geográficamente y protegidos por capas de seguridad de defensa en profundidad. Los centros de datos de Microsoft se construyen desde cero para proteger los servicios y los datos contra daños causados por desastres naturales, amenazas medioambientales o accesos no autorizados. Office 365 está diseñado para contar con una alta disponibilidad y se ejecuta en centros de datos georedundantes con funcionalidad automática de conmutación por error.

El acceso al centro de datos está restringido las 24 horas del día por función de trabajo y se monitorea mediante sensores de movimiento, videovigilancia y alarmas de vulneración de seguridad. Los controles de acceso físico incluyen cercas perimetrales, entradas seguras, oficiales de seguridad en las instalaciones, videovigilancia continua y redes de comunicaciones en tiempo real. Múltiples procesos de autenticación y seguridad, incluidos distintivos y tarjetas inteligentes, escáneres biométricos y autenticación de dos factores, protegen contra los ingresos no autorizados. Los sistemas automatizados de prevención y extinción de incendios y los racks reforzados contra actividades sísmicas protegen contra desastres naturales.

Cifrado de datos

Office 365 utiliza tecnologías del lado del servicio que cifran los datos del cliente en reposo y en tránsito. En el caso de los datos del cliente en reposo, Office 365 utiliza cifrado a nivel del volumen y de los archivos. En el caso de los datos de los clientes en tránsito, Office 365 utiliza varias tecnologías de cifrado para establecer las comunicaciones entre los centros de datos y entre los clientes y los servidores, como la seguridad de capa de transporte (TLS) y la seguridad del protocolo de Internet (IPsec). Office 365 también incluye características de cifrado administradas por el cliente. Los datos de los clientes almacenados en Office 365 están protegidos en todas las configuraciones. La validación de la política criptográfica de Microsoft y su aplicación se verifica de manera independiente a través de varios auditores de otros fabricantes.

Mantenimiento de la seguridad en una estructura de varios usuarios

Los múltiples grupos de usuarios son un beneficio principal de la informática en la nube. Esta es la capacidad de compartir infraestructura común entre numerosos clientes simultáneamente, lo que conduce a economías de escala. Microsoft trabaja continuamente para garantizar que la estructura de múltiples usuarios de Office 365 soporte los estándares de seguridad, confidencialidad, privacidad, integridad y disponibilidad en el nivel de la empresa. En función de la experiencia significativa recopilada a partir de la computación confiable y el ciclo de vida de desarrollo de seguridad, los servicios de nube de Microsoft, incluido Office 365, se diseñaron con la suposición de que todos los grupos de usuarios son potencialmente hostiles para todos los demás grupos de usuarios. Por lo tanto, se han implementado varias formas de protección en Office 365 para evitar que los clientes comprometan los servicios o las aplicaciones de Office 365 u obtengan acceso no autorizado a la información de otros grupos de usuarios o al sistema Office 365 en sí.

Cómo Microsoft accede a sus datos

Microsoft automatiza la mayoría de las operaciones de Office 365 y limita intencionalmente su propio acceso al contenido del cliente. Esto nos permite administrar Office 365 a escala y abordar los riesgos de amenazas internas para el contenido del cliente, como un factor malicioso o la suplantación de identidad de un ingeniero de Microsoft. De manera predeterminada, los ingenieros de Microsoft no tienen privilegios administrativos ni acceso permanente al contenido del cliente en Office 365. Es posible que un ingeniero de Microsoft tenga acceso limitado, auditado y seguro al contenido de un cliente durante una cantidad limitada de tiempo, pero solo cuando sea necesario para las operaciones de servicio y solo cuando lo apruebe un miembro de la administración sénior de Microsoft (y, en el caso de los clientes con licencia de la característica de Lockbox del cliente, por parte de este).

Cómo accede a sus datos

Además de los controles implementados por Microsoft, Office 365 permite administrar sus propios datos de la misma manera que en los entornos en las instalaciones. El administrador global tiene acceso a todas las características de los centros de administración y puede crear o editar usuarios, realizar tareas administrativas y asignar funciones de administrador a otros. También puede controlar la manera en que los usuarios acceden a la información desde dispositivos o ubicaciones específicas, o una combinación de ambos.