Protección y seguridad de la información en la era Copilot
«Copilot respetará todas las medidas de seguridad que tengas implantadas en tu tenant»
Y con esto se resume todo lo que sigue.
Copilot en las instituciones educativas
Muchas instituciones educativas han adoptado un enfoque colaborativo, lo que ha mejorado sus prácticas de uso compartido. A menudo, los usuarios, por ejemplo, generan enlaces para compartir sus contenidos que son accesibles a cualquiera que obtenga ese enlace por defecto.
Copilot pretende dar la mejor respuesta posible basándose en los datos de que dispone cada usuario. Sin embargo, esto también puede significar que Copilot revele información que el usuario desconocía, por estar fuera de su función, interés o ámbito habituales.
Purview puede ayudarte a conocer mejor los datos de tu organización y garantizar su correcta gobernanza, especialmente en el caso de información sensible. Aquí es donde se necesita una capa adicional de gobernanza para manejar Copilot correctamente.
Copilot siempre respetará los límites, restricciones, etiquetas y políticas que haya establecido para controlar el acceso a cualquier contenido en Microsoft365. Copilot nunca eludirá ni anulará estas medidas.
Cuando hay muchos usuarios en un entorno grande, pueden crear mucho contenido. Este contenido puede necesitar ser regulado o asegurado en algunas situaciones.
Alguna información y contenido son demasiado sensibles para ser compartidos en carpetas o sitios públicos. Deben protegerse a toda costa. Sin embargo, ¿cómo pueden los administradores supervisar y regular la creación de este tipo de contenidos en una institución educativa con miles de usuarios?
Veamos un ejemplo: El departamento de administración puede tener acceso a los números de DNI y pasaporte de los alumnos y quizá de sus padres. Esta información debe protegerse, pero ¿cómo garantizar que las familias no envíen esta información sin protección por correo, o que alguien no escanee y comparta esta información por cualquier motivo?
Las funciones «Tipos de información confidencial» y «Cumplimiento de las comunicaciones» de Microsoft Purview pueden aportar importantes ventajas en este caso.
Tipos de información confidencial
Dentro de Microsoft Purview, en el menú «Clasificación de datos», podemos encontrar la opción «Clasificadores» y, desde ahí, hacemos clic en la pestaña «Tipos de información sensible»
Esta sección contiene muchos modelos predefinidos, como números de tarjetas de crédito, formatos de DNI y pasaporte específicos de cada país, números de la Seguridad Social, etc. También puedes crear tus propios modelos.
Vamos a utilizar el número de DNI español y el número de pasaporte español.
Cumplimiento de la comunicación
«Communication Compliance» es un servicio que ofrece Microsoft Purview como parte de su estrategia de IA responsable. Microsoft siempre tiene como objetivo crear y gestionar soluciones de IA en las que las personas puedan confiar.
La función de cumplimiento de la comunicación de Microsoft Purview ayuda a las organizaciones a identificar y responder a los mensajes que pueden infringir las normas reglamentarias, éticas u organizativas o, como en este caso, información personal que debe protegerse.
Esta herramienta aplica la concordancia de palabras clave y clasificadores de aprendizaje automático para detectar posibles infracciones en mensajes o contenidos a través de diferentes canales de comunicación, como el correo electrónico, Microsoft Teams, Microsoft Copilot y aplicaciones de terceros.
Vamos a ver cómo podemos crear una Política que identifique tanto los números de Pasaporte como los de DNI en nuestro colegio o universidad con sede en España.
Como ilustra la imagen inferior, hay varias políticas para elegir.
Para detectar tanto el DNI español como el número de Pasaporte, elegiremos la opción «Detectar tipos de info sensible» y configuraremos la política en un paso muy sencillo.
Puedes activar la detección OCR en la opción «personalizar política». Esto le ayudará a identificar la información sensible también en imágenes o documentos escaneados.
A partir de ese momento, los administradores recibirán una notificación cada vez que se transmita o comparta información sensible en su entorno y en cualquier formato, desde texto sin formato hasta imágenes adjuntas o pdf, y tendrán la posibilidad de actuar en consecuencia tras la detección.
Cómo actuar en caso de coincidencia de política
Para resolver las incidencias por coincidencia de políticas, puedes elegir entre varias opciones. En primer lugar, selecciona una política en la página Políticas y, a continuación, visita la pestaña Pendiente o la pestaña Resuelto. Estas son algunas de las acciones que puedes realizar:
- Resolver: Al elegir esta opción, puedes cerrar el mensaje y eliminarlo de la cola de Pendientes. También puedes informar de cualquier error en la clasificación del mensaje.
- Power Automate: Esta opción te permite utilizar un flujo predefinido o personalizado para automatizar tareas para el mensaje, como notificar al administrador del usuario que envió el mensaje.
- Etiquetar como: Con esta opción, puedes etiquetar el mensaje como conforme, no conforme o cuestionable en función de las normas de tu organización. También puedes proporcionar comentarios para justificar tu elección.
- Notificar: Con esta opción, puedes utilizar una plantilla de aviso personalizable para enviar un recordatorio por correo electrónico al usuario que escribió el mensaje.
- Escalar: Esta opción te permite solicitar una revisión adicional a otras personas de tu organización que tengan acceso a la conformidad de la comunicación. Puedes seleccionar de una lista de revisores y enviarles una notificación por correo electrónico con un enlace al mensaje
- Escalar para investigación: Esta opción te permite crear un nuevo caso de eDiscovery para el mensaje o un grupo de mensajes. Puedes proporcionar un nombre y notas para el caso y seleccionar el custodio. No se necesitan permisos adicionales para gestionar el caso.
- Eliminar mensaje en Teams: Esta opción te permite bloquear mensajes y contenidos que son inapropiados para los canales y chats de Microsoft Teams. Los mensajes y contenidos bloqueados se sustituyen por un consejo de política que explica por qué se han eliminado y proporciona un enlace para obtener más información. El remitente del mensaje puede seguir viendo el mensaje y el contenido originales, pero los destinatarios no.
Copilot puede incorporarse con seguridad al entorno educativo
Una universidad o escuela produce mucha información, y no es factible garantizar que cada usuario siga las políticas establecidas por la organización.
Siguiendo estos sencillos pasos, podemos obtener una vista global de todo el contenido generado y empezar a recibir alertas y tomar medidas cuando algo no se ajuste a lo establecido.
Por lo tanto, podemos concluir con confianza que las tecnologías de IA como Copilot pueden incorporarse con seguridad a nuestro entorno, ya que nuestro contenido sensible está protegido y contamos con sólidas salvaguardas contra cualquier exposición involuntaria.
Esta información está basada en «Protecting information in the era of Copilots» publicado por Ovi Barceló Hernández (Education Solution Specialist (Modern Workplace) for Western Europe en Microsoft) en LinkedIn.