Cómo OneDrive protege tus datos
Los ingenieros de Microsoft administran OneDrive mediante una consola de Windows PowerShell que requiere autenticación de dos factores. Realizamos las tareas del día a día ejecutando flujos de trabajo para poder responder rápidamente a nuevas situaciones. Ningún ingeniero tiene acceso permanente al servicio. Cuando los ingenieros necesitan acceso, deben solicitarlo. La elegibilidad se comprueba, y si el acceso del ingeniero se aprueba, es sólo por un tiempo limitado.
Además, OneDrive y Office 365, invierte fuertemente en sistemas, procesos y personal para reducir la probabilidad de violación de datos personales y para detectar y mitigar rápidamente las consecuencias de la violación si se produce. Algunas de nuestras inversiones en este espacio incluyen:
Sistemas de control de acceso: OneDrive y Office 365 mantienen una política de «acceso cero», lo que significa que los ingenieros no tienen acceso al servicio a menos que se conceda explícitamente en respuesta a un incidente específico que requiera elevar el acceso. Siempre que se concede el acceso se hace bajo el principio de mínimo privilegio: el permiso concedido para una solicitud específica sólo permite un conjunto mínimo de acciones necesarias para atender esa solicitud. Para ello, OneDrive y Office 365 mantienen una estricta separación entre los «roles de elevación», y cada rol sólo permite realizar ciertas acciones predefinidas. La función «Acceso a los datos del cliente» se distingue de otras funciones que se utilizan más habitualmente para administrar el servicio y es la que más se examina antes de su aprobación. En conjunto, estas inversiones en el control de acceso reducen en gran medida la probabilidad de que un ingeniero de OneDrive u Office 365 acceda indebidamente a los datos de los clientes.
Sistemas de supervisión de la seguridad y automatización: OneDrive y Office 365 mantienen sólidos sistemas de supervisión de la seguridad en tiempo real. Entre otras cuestiones, estos sistemas lanzan alertas por intentos de acceso ilícito a los datos de los clientes, o por intentos de transferencia ilícita de datos fuera de nuestro servicio. En relación con los puntos sobre el control de acceso mencionados anteriormente, nuestros sistemas de supervisión de la seguridad mantienen registros detallados de las solicitudes de elevación que se realizan y de las acciones realizadas para una determinada solicitud de elevación. OneDrive y Office 365 también mantienen inversiones de resolución automática que actúan automáticamente para mitigar las amenazas en respuesta a los problemas que detectamos, y equipos dedicados para responder a las alertas que no se pueden resolver automáticamente. Para validar nuestros sistemas de supervisión de la seguridad, OneDrive y Office 365 realizan regularmente ejercicios de equipo rojo en los que un equipo interno de pruebas de penetración simula el comportamiento de los atacantes contra el entorno real. Estos ejercicios conducen a mejoras regulares de nuestras capacidades de supervisión y respuesta de seguridad.
Personal y procesos: Además de la automatización descrita anteriormente, OneDrive y Office 365 mantienen procesos y equipos responsables tanto de educar a la organización en general sobre los procesos de privacidad y gestión de incidentes, como de ejecutar esos procesos durante una violación. Por ejemplo, se mantiene un Procedimiento Operativo Estándar (POE) detallado sobre la violación de la privacidad y se comparte con los equipos de toda la organización. Este SOP describe en detalle las funciones y responsabilidades tanto de los equipos individuales dentro de OneDrive y Office 365 como de los equipos centralizados de respuesta a incidentes de seguridad. Abarca tanto lo que los equipos deben hacer para mejorar su propia postura de seguridad (realizar revisiones de seguridad, integrarse con los sistemas centrales de supervisión de la seguridad y otras prácticas recomendadas), como lo que los equipos tendrían que hacer en caso de una infracción real (escalar rápidamente a la respuesta a incidentes, mantener y proporcionar fuentes de datos específicas que se utilizarán para acelerar el proceso de respuesta). Los equipos también reciben formación periódica sobre la clasificación de los datos y los procedimientos correctos de manipulación y almacenamiento de los datos personales.
La principal conclusión es que OneDrive y Office 365, tanto para los planes de los consumidores como de las empresas, invierten fuertemente en la reducción de la probabilidad y las consecuencias de la violación de los datos personales que afectan a nuestros clientes. Si se produce una violación de datos personales, nos comprometemos a notificar rápidamente a nuestros clientes una vez que se confirme dicha violación.