MS_Purview_M365E5-SecOps_e02v01_Art05-MS_CSU_Security_MCSA
MS_Purview_M365E5-SecOps_e02v01_Art05-MS_CSU_Security_MCSA
Este bloque describe conceptos clave de Insider Risk Management y Adaptive Protection en el ecosistema de Microsoft. Explica cómo se recolectan y correlacionan señales de múltiples fuentes técnicas y de recursos humanos. Presenta los principales escenarios de riesgo contemplados y las plantillas de detección asociadas. Detalla el modelo de puntuación dinámica por usuario y su integración con los procesos de offboarding. Además, muestra cómo Adaptive Protection ajusta automáticamente las políticas de prevención de pérdida de datos. Por último, aborda evidencia forense, privacidad, contexto legal regional e integración con Sentinel.
IRM usa una arquitectura de señales multifuente para formar un modelo de riesgo por usuario. Combina actividades de Microsoft 365, como descargas masivas, copias a USB, impresiones y accesos inusuales. Incluye señales de identidad de Entra ID, como cambios de permisos o inicios de sesión desde ubicaciones extrañas. Integra también eventos de recursos humanos, como renuncias o despidos. La correlación permite detectar patrones típicos, por ejemplo el empleado que anuncia su salida y aumenta rápidamente la extracción de archivos sensibles.
Los riesgos internos se organizan en cinco grandes escenarios con plantillas de política preconfiguradas. Uno cubre el robo de datos por usuarios que se van, antes o después del offboarding. Otro se centra en filtraciones por compartición inapropiada, con o sin mala intención. Un tercero aborda el uso de datos sensibles en herramientas de inteligencia artificial externas. El cuarto agrupa violaciones de políticas de seguridad. El quinto se orienta a riesgos en código, como commits con credenciales o claves expuestas.
La puntuación de riesgo es continua, individual y se actualiza en tiempo real. IRM construye una línea de base por usuario, considerando su nivel normal de actividad. Así distingue entre un pico razonable y un comportamiento anómalo. Este enfoque reduce falsos positivos en roles muy activos, como analistas o equipos de fusiones y adquisiciones. Factores provenientes de recursos humanos actúan como potenciadores del riesgo. Una notificación de terminación eleva de inmediato la vigilancia sobre ese usuario durante la ventana de mayor exposición.
Adaptive Protection cierra el ciclo entre la evaluación de riesgo y los controles de prevención de fuga de información. IRM clasifica a las personas en niveles de riesgo dinámicos: menor, moderado y elevado. Las políticas de prevención de pérdida de datos aplican acciones distintas según ese nivel. Un usuario de bajo riesgo puede recibir solo una advertencia al copiar contenido sensible. Uno de alto riesgo enfrenta bloqueos automáticos. Este esquema reduce fricción para la mayoría y endurece controles donde realmente importa.
Forensic Evidence agrega capacidad de captura visual para investigaciones formales, mediante grabaciones breves de pantalla en dispositivos definidos. Su activación exige aprobación de varios roles, como seguridad, legal y recursos humanos, y periodos bien acotados. IRM aplica pseudonimización por defecto, de modo que el analista ve identificadores anónimos. La revelación de la identidad requiere autorización explícita y queda auditada. En Latinoamérica, la implementación debe alinearse con leyes laborales y de protección de datos. Las alertas se integran con Sentinel para orquestar respuestas automatizadas.
Bloque 5/11 Insider Risk Management y Adaptive Protection
Nivel 2: Conceptos Clave
| Concepto | Explicación / Data |
|---|---|
| Arquitectura de señales multifuente | IRM construye su modelo de riesgo correlacionando señales de múltiples orígenes simultáneamente. Las señales de actividad en M365 incluyen volumen de descarga de archivos de SharePoint y OneDrive comparado con la línea de base del usuario, copias a USB mediante Endpoint DLP, actividad de impresión, intentos de acceso a contenido fuera del alcance habitual, renombrado masivo de archivos como señal de preparación para exfiltración o sabotaje y movimiento de archivos a carpetas personales de OneDrive. Las señales de Azure AD o Entra ID incluyen cambios de permisos, adición de cuentas externas como delegados, acceso desde ubicaciones geográficas inusuales, cambios de contraseña inusuales y eventos de MFA fallidos. Las señales de RRHH se ingieren mediante conectores con sistemas como Workday, SAP SuccessFactors o ADP, o mediante importación de archivos CSV. Incluyen notificaciones de proceso de terminación (renuncia voluntaria, despido con causa, finalización de contrato), participación en planes de mejora de rendimiento (PIP), cambios de rol significativos y licencias disciplinarias. La correlación de estas señales permite que IRM identifique el escenario de riesgo más frecuente y de mayor impacto: el empleado que ha notificado su renuncia y que en los días siguientes incrementa significativamente su actividad de descarga y copia de archivos. |
| Escenarios de riesgo y templates de detección | IRM organiza los riesgos del usuario interno en cinco escenarios principales, cada uno con un template de política preconfigurado y ajustable. Robo de datos por usuarios que se van, centrado en la exfiltración pre o post offboarding, suele ser el escenario de mayor frecuencia. Filtración de datos abarca la compartición inapropiada de información sensible por canales no autorizados, con o sin intención maliciosa. Uso de datos sensibles en IA se cubre mediante integración con DSPM for AI para detectar carga de contenido sensible a herramientas de IA no corporativas. Violaciones de políticas de seguridad incluye acceso a categorías de contenido inapropiadas e intentos de bypass de controles de seguridad. Riesgos de código en desarrollo, para organizaciones con equipos de software, detecta commits que incluyen credenciales, claves API o código de seguridad sensible. Cada template define señales ponderadas, umbrales de activación configurables y recomendaciones de acción para cada nivel de alerta. |
| Puntuación de riesgo dinámica y línea de base individual | La puntuación de riesgo en IRM es un valor continuo que se calcula de forma individual para cada usuario y se actualiza en tiempo real a medida que llegan nuevas señales. IRM construye una línea de base de comportamiento individual: un usuario que habitualmente descarga 200 archivos por día no genera alerta cuando descarga 300 en un día específico; un usuario cuya línea de base es 20 descargas diarias que descarga 300 en un día sí genera una señal significativa. Esta individualización reduce falsos positivos que afectarían a usuarios con roles de alta actividad legítima como analistas de datos, gestores de documentación o equipos de M&A en períodos de due diligence. Los boosters de puntuación son factores que elevan el riesgo independientemente del volumen, por ejemplo la recepción de una notificación de terminación en el sistema de RRHH, que eleva de inmediato el nivel de vigilancia desde el momento en que IRM recibe la señal. |
| Adaptive Protection: cierre del loop operacional | Adaptive Protection es la integración bidireccional entre IRM y DLP que transforma la puntuación de riesgo de IRM en una variable de configuración de las políticas DLP. IRM clasifica a los usuarios en tres niveles de riesgo dinámicos: Elevated Risk, Moderate Risk y Minor Risk. DLP define acciones diferenciadas por nivel. Un usuario en Minor Risk que intenta copiar a USB un documento Confidencial recibe un policy tip; un usuario en Elevated Risk que realiza la misma acción recibe un bloqueo automático sin posibilidad de override. Esta diferenciación reduce la fricción para la mayoría de los usuarios que operan dentro de límites normales y endurece de forma automática los controles sobre quienes presentan señales de riesgo, sin requerir intervención manual constante del SOC. La configuración de Adaptive Protection requiere que IRM y DLP estén activos y que las políticas DLP tengan habilitadas condiciones basadas en el riesgo del usuario. |
| Forensic Evidence y controles de privacidad | Forensic Evidence es un complemento de licencia para IRM que habilita la captura de actividad visual, mediante grabación de pantalla en segmentos cortos, para usuarios investigados formalmente en un caso IRM. Su activación requiere un flujo de aprobación multirol, típicamente SOC, Legal y RRHH, y se limita a dispositivos específicos durante períodos acotados. No es una capacidad de grabación masiva ni continua, sino una herramienta de investigación forense que complementa los logs de actividad cuando la evidencia textual es insuficiente para demostrar intención. En términos de privacidad, IRM implementa pseudonimización por defecto: los analistas del SOC ven indicadores de riesgo y patrones de comportamiento asociados a identificadores anonimizados. La desanonimización, es decir ver el nombre real del usuario, requiere aprobación explícita por parte de un rol con autorización específica, generalmente en Legal o RRHH, y esa acción queda registrada en el log de auditoría. Este diseño equilibra la detección efectiva del riesgo con los requerimientos de protección de datos bajo GDPR y legislaciones locales equivalentes. |
Nivel 3: Notas de Soporte
La implementación de IRM en organizaciones de Latinoamérica requiere una evaluación legal previa sobre la legislación laboral y de privacidad aplicable en cada jurisdicción. En Argentina, la Ley 25.326 de Protección de Datos Personales y la jurisprudencia sobre monitoreo de comunicaciones laborales, complementada por la Ley de Contrato de Trabajo 20.744, establecen condiciones específicas sobre el alcance del monitoreo en el contexto laboral y los requisitos de notificación a los empleados. La recomendación es que la activación de IRM esté precedida por una actualización de las políticas de uso aceptable y una comunicación explícita a los empleados sobre el alcance del monitoreo, avalada por el equipo legal. La pseudonimización por defecto de IRM es un control técnico de privacidad relevante, pero no reemplaza el cumplimiento del marco legal aplicable.
Los conectores de RRHH son críticos para la efectividad de IRM en escenarios de offboarding. Sin la señal de terminación proveniente del sistema de RRHH, IRM no puede elevar automáticamente la puntuación de riesgo de un usuario que ha notificado su renuncia. La configuración del conector requiere que el sistema de RRHH exporte un archivo en formato específico, que incluya nombre del usuario, fecha de terminación efectiva y tipo de terminación, con la frecuencia definida. En organizaciones donde el proceso de offboarding puede tardar semanas desde la notificación hasta el último día efectivo, este lapso es precisamente la ventana de riesgo más alta que IRM está diseñado para cubrir.
Las alertas de IRM se integran de forma nativa con Microsoft Sentinel. Los incidentes de IRM se convierten en incidentes de Sentinel que pueden correlacionarse con señales de identidad de Entra ID Protection, endpoint de Microsoft Defender for Endpoint y red de Defender for Cloud para construir una visión unificada del riesgo en el SOC. Esta integración permite que los playbooks de Sentinel automaticen respuestas iniciales a casos de IRM, por ejemplo suspensión automática de acceso a SharePoint para usuarios en Elevated Risk que superan un umbral de actividad definido.
Conexiones externas
Adaptive Protection es el vínculo técnico directo con el Bloque 4/11 dedicado a DLP. Las señales de comunicaciones anómalas que alimentan IRM provienen del motor de Communication Compliance del Bloque 6/11. Los casos de IRM que escalan a investigación formal utilizan la infraestructura de eDiscovery Premium del Bloque 7/11 para preservar, recolectar y revisar la evidencia de forma técnicamente defendible. La integración con Sentinel conecta este bloque con la arquitectura Zero Trust del Bloque 10/11.