MS_Purview_M365E5-SecOps_e02v01_Art08-MS_CSU_Security_MCSA
MS_Purview_M365E5-SecOps_e02v01_Art08-MS_CSU_Security_MCSA
Este bloque describe capacidades avanzadas de cumplimiento y protección de datos en Microsoft 365 y Purview. Explica cómo Compliance Manager conecta controles técnicos con marcos normativos, y cómo integra Secure Score para traducir seguridad en cumplimiento. Desarrolla el concepto de soberanía criptográfica con Customer Key y sus riesgos operativos. Presenta Customer Lockbox y Privileged Access Management como controles de acceso privilegiado auditables. Finalmente, detalla Advanced Message Encryption para mantener control sobre correos cifrados enviados fuera del tenant, alineando tecnología y gobierno corporativo. El objetivo es ofrecer a CISOs y equipos de cumplimiento evidencia trazable, revocable y coherente frente a auditores.
Compliance Manager es la pieza que traduce configuraciones técnicas de Purview y Microsoft 365 en evidencias frente a marcos normativos. Funciona mediante evaluaciones preconfiguradas, alineadas con estándares como NIST, ISO, GDPR y regulaciones regionales. Distingue acciones de Microsoft y acciones del cliente, y calcula un Compliance Score que mide madurez técnica, no certificación legal. Además, se integra con Secure Score y consume controles definidos en otros bloques para reflejar el estado real del entorno operativo.
Customer Key da soberanía criptográfica sobre datos en reposo de Exchange, SharePoint, OneDrive, Teams y etiquetado. Las claves residen en Azure Key Vault y participan en un cifrado jerárquico. Si se pierden o se revoca el acceso, los datos quedan inaccesibles, incluso para Microsoft. Por ello requiere procesos maduros de gestión de claves y recuperación. Microsoft recomienda dos Key Vaults y comenzar con claves gestionadas o administradas por el cliente antes de activar Customer Key.
Customer Lockbox controla el acceso de soporte de Microsoft a los datos del tenant durante incidentes técnicos. Sin esta función, el soporte puede acceder dentro del marco contractual, pero sin aprobación explícita del cliente. Con Lockbox, cada acceso requiere solicitud justificada, aprobación interna, notificación al administrador y decisión dentro de una ventana temporal. Si no se aprueba, expira. Todo el flujo queda auditado en registros inmutables, lo que fortalece la trazabilidad ante auditorías o investigaciones.
Privileged Access Management en Microsoft 365 elimina el acceso permanente de administradores a tareas sensibles, incluso cuando poseen roles elevados en Entra ID. En lugar de ejecutar acciones cuando quieran, deben crear solicitudes Just in Time, que especifican tarea, alcance, duración y justificación. Estas solicitudes siguen flujos de aprobación configurables, con participación de Legal o Compliance. El acceso vence automáticamente y todo queda registrado, reforzando el modelo Zero Trust y el principio de mínimo privilegio.
Advanced Message Encryption amplía el cifrado de correo dirigido a destinatarios externos, añadiendo control sobre experiencia y vigencia del mensaje. Permite personalizar el portal donde el receptor lee el correo cifrado, con marca corporativa y textos propios. Además, habilita revocar mensajes ya enviados y configurar fechas de expiración automática. Así, la organización mantiene control sobre información sensible que sale del tenant, como propuestas o negociaciones. De este modo alinea comunicación segura y cumplimiento normativo externo.
Bloque 8/11: Compliance Manager y controles de cifrado y acceso privilegiado
Nivel 2: Conceptos clave
| Concepto | Explicación / Data |
|---|---|
| Compliance Manager: de controles técnicos a evidencia normativa | Compliance Manager es la interfaz entre la implementación técnica de Purview y los marcos normativos que la organización debe demostrar cumplir. Opera sobre un modelo de evaluaciones: cada evaluación corresponde a un marco regulatorio o de referencia y contiene un conjunto de controles mapeados a acciones concretas. Microsoft provee evaluaciones preconstruidas para más de 360 marcos y regulaciones, incluyendo NIST CSF 2.0, ISO/IEC 27001:2022, GDPR, HIPAA, SOC 2 Type II, PCI-DSS v4.0 y marcos regionales como la normativa del BCRA para servicios financieros en Argentina, LGPD de Brasil y la Ley Federal de Protección de Datos Personales de México. Cada evaluación distingue entre dos tipos de acciones: acciones de Microsoft (controles implementados en la infraestructura del servicio que Microsoft demuestra cumplir a través de sus certificaciones y auditorías externas, y que se acreditan automáticamente en el Compliance Score) y acciones del cliente (controles que la organización debe implementar activamente, muchos de los cuales son configuraciones de Purview y del stack M365). El Compliance Score (0-100) resume el estado de implementación de las acciones del cliente y es un indicador de madurez de implementación técnica, no un certificado de cumplimiento normativo. Esta distinción debe comunicarse con precisión a juntas directivas y auditores para evitar interpretaciones incorrectas del score. |
| Customer Key: soberanía criptográfica | Customer Key es la capacidad de Microsoft Purview que permite a la organización proveer sus propias claves de cifrado para proteger los datos en reposo en los servicios de M365, en reemplazo de las claves de servicio gestionadas por Microsoft. Las claves se almacenan en Azure Key Vault, bajo una suscripción de Azure propiedad y control total de la organización. Customer Key aplica sobre Exchange Online (buzones), SharePoint Online y OneDrive (archivos), Microsoft Teams (mensajes y archivos de Teams) y el servicio de etiquetado de información (etiquetas de confidencialidad con cifrado RMS). El mecanismo técnico es un modelo de cifrado jerárquico donde la clave del cliente, almacenada en Key Vault, cifra la clave de disponibilidad del servicio, que a su vez cifra la clave de cifrado de datos. La consecuencia operacional más significativa de Customer Key es la revocación: si la organización revoca el acceso de Microsoft a las claves en Key Vault (eliminando las claves o revocando los permisos de acceso del servicio M365), los datos protegidos con Customer Key se vuelven técnicamente inaccesibles incluso para Microsoft. Este mecanismo tiene implicaciones directas en escenarios de terminación de contrato con Microsoft, fusiones y adquisiciones, respuesta a órdenes judiciales de jurisdicciones extranjeras o situaciones donde la organización necesita garantizar que puede revocar el acceso de Microsoft a sus datos de forma irrevocable. |
| Customer Lockbox: control del acceso de soporte | Customer Lockbox aborda el riesgo del acceso potencial de ingenieros de soporte de Microsoft a los datos del tenant durante la resolución de un incidente de servicio. Sin Customer Lockbox, Microsoft puede acceder a los datos del tenant bajo los términos del acuerdo de servicio cuando es necesario para resolver un problema técnico, con controles internos pero sin aprobación explícita del cliente. Con Customer Lockbox activado, cuando el soporte de Microsoft necesita acceder a datos del tenant para resolver un incidente, el proceso requiere: (1) el ingeniero de soporte de Microsoft genera una solicitud de acceso justificada, (2) la solicitud es aprobada internamente en Microsoft por un nivel de gestión apropiado, (3) se envía una notificación al administrador global designado del cliente con los detalles del acceso solicitado (qué datos, durante cuánto tiempo y con qué propósito), (4) el administrador del cliente dispone de un período de tiempo configurado (12 horas por defecto) para aprobar o rechazar la solicitud y (5) si no hay respuesta en el período configurado, la solicitud expira sin que el acceso sea otorgado. Todo el proceso, incluida la solicitud, la aprobación interna de Microsoft, la notificación al cliente, la decisión del cliente y el resultado, queda registrado en el log de Audit Premium de forma inmutable. |
| Privileged Access Management (PAM) | PAM en M365 complementa a Entra ID Privileged Identity Management (PIM) para el plano de administración específico de M365. Mientras PIM gestiona la elevación de roles de Azure AD (por ejemplo, Global Administrator, Exchange Administrator) mediante activación temporal con justificación, PAM opera a un nivel de granularidad inferior y gestiona el acceso a tareas administrativas específicas dentro de M365, independientemente del rol que el usuario tenga asignado. El principio técnico es eliminar el standing access, es decir, la capacidad de un administrador de ejecutar tareas privilegiadas en cualquier momento sin una solicitud adicional. Con PAM configurado, incluso un Exchange Administrator no puede ejecutar tareas como acceder al buzón de un usuario específico o exportar datos de eDiscovery sin enviar una solicitud JIT (Just in Time) que especifica la tarea exacta a realizar, el alcance (usuario, recurso o colección involucrada), la justificación de negocio y la duración del acceso solicitado. La solicitud se aprueba mediante un flujo configurado, que puede requerir aprobación de un segundo administrador, de Legal o de Compliance, o ser automática bajo ciertas condiciones. El acceso se otorga por el tiempo solicitado y expira automáticamente. Toda la cadena, desde la solicitud y la justificación hasta la aprobación, el acceso otorgado, las acciones realizadas y la expiración, queda registrada en Audit Premium. |
| Advanced Message Encryption | Advanced Message Encryption extiende las capacidades básicas de Message Encryption de M365, usadas para cifrar correos dirigidos a destinatarios externos, con tres capacidades adicionales: branding corporativo en el portal de mensajes cifrados que el destinatario externo usa para leer el mensaje (logo, colores y texto personalizado en lugar del portal genérico de Microsoft), revocación de mensajes ya enviados (el remitente o el administrador puede revocar el acceso a un mensaje cifrado después de enviado, de modo que el destinatario ya no pueda abrir el portal de lectura) y caducidad del mensaje (el acceso al mensaje se revoca automáticamente después de la fecha configurada). Estas capacidades son relevantes cuando los correos contienen información sensible con vigencia temporal, como propuestas comerciales, términos de negociación o información de due diligence, o cuando la organización necesita mantener control sobre el contenido después de que ha salido del perímetro del tenant. |
Nivel 3: Notas de soporte
Customer Key y gestión de claves
Customer Key es una decisión arquitectónica con consecuencias operacionales de largo alcance que no debe tomarse sin evaluar la madurez del proceso de gestión de claves de la organización. Los riesgos operacionales específicos incluyen la pérdida accidental de claves en Key Vault, que resultaría en pérdida permanente de acceso a todos los datos protegidos, la revocación involuntaria de permisos de acceso del servicio M365 a Key Vault, con el mismo resultado, y la complejidad de los procesos de recuperación ante desastres cuando el cifrado está bajo control del cliente.
Microsoft recomienda tener dos Key Vaults independientes en regiones de Azure distintas como medida de resiliencia, con políticas de copia de seguridad y procesos de recuperación probados periódicamente. Para organizaciones que no tienen un proceso maduro de gestión de claves criptográficas, la recomendación estándar es implementar primero Microsoft Managed Keys (configuración por defecto) o Customer Managed Keys (CMK), donde Microsoft gestiona las claves en Key Vault bajo los permisos de la organización pero sin la opción de revocación de Customer Key, y migrar a Customer Key en una segunda fase cuando el proceso de gestión de claves esté establecido.
Compliance Manager e integración con Secure Score
Compliance Manager incluye una funcionalidad de integración con Microsoft Secure Score. Las acciones de mejora de Secure Score que son relevantes para el cumplimiento normativo aparecen como acciones recomendadas en las evaluaciones de Compliance Manager, lo que crea un puente entre la postura de seguridad técnica (Secure Score) y el cumplimiento regulatorio (Compliance Score). Esta integración es especialmente útil para CISOs que necesitan justificar inversiones en controles técnicos de seguridad en términos de reducción del riesgo normativo.
Conexiones con otros bloques de la arquitectura
El Compliance Score de Compliance Manager refleja el estado de implementación de controles distribuidos en bloques anteriores: la clasificación de información del Bloque 3/11, el enforcement de DLP del Bloque 4/11, la supervisión de IRM del Bloque 5/11 y los controles forenses del Bloque 7/11 contribuyen todos al score.
Customer Key interactúa directamente con la infraestructura de cifrado de Information Protection descrita en el Bloque 3/11. PAM se integra como control de acceso privilegiado dentro del modelo de Zero Trust desarrollado en el Bloque 10/11, reforzando el principio de mínimo privilegio en la administración del entorno M365.