presentación de la auditoria de office 365 y microsoft
TRANSCRIPT
![Page 1: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/1.jpg)
MICROSOFT (Microsoft España)Diciembre de 2015
Presentación de la Auditoria de Office 365 y Microsoft
Azure frente al Esquema Nacional de Seguridad
![Page 2: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/2.jpg)
Pág. 2
ÍNDICE DE CONTENIDOS
• La importancia de Microsoft en la Administración
• Compromiso Microsoft con la Administración
• Objetivo y alcance del proyecto ENS en Microsoft
• Enfoque y Metodología
• Estado Actual
• Factores Clave
• Conclusiones
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
![Page 3: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/3.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
La importancia de Microsoft en la Administración
Pág. 3
Tal es la relevancia de Microsoft que el Centro Criptológico Nacional ha desarrollado:
Guías específicas de cumplimiento del ENS (serie “800”) para sistemas Microsoft (CCN-STIC-850A, CCN-
STIC-851A, CCN-STIC-859, CCN-STIC-860, CCN-STIC-870A, CCN-STIC-870B, CCN-STIC-850B y CCN-STIC-
851B).
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
![Page 4: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/4.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Compromiso Microsoft con la Administración
Pág. 4
Microsoft, consciente de la importancia del Esquema Nacional de Seguridad colabora con la Administración
desarrollando numerosas iniciativas como:
Compartición del código fuente de sistemas operativos y aplicaciones con el CCN/CNI.
La publicación del Manual de cumplimiento del Reglamento del ENS y LOPD con tecnología Microsoft.
La resolución de declaración de adecuación para las transferencias internacionales de datos en la nube.
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
![Page 5: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/5.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Objetivo y alcance del proyecto ENS en Microsoft
Pág. 5
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
Microsoft, con el propósito de posicionarse como un proveedor de referencia en el
cumplimiento del ENS ha iniciado un proyecto de revisión de sus servicios.1
De esta manera, Microsoft quiere presentarse como un modelo de transparencia, siendo un
proveedor que aplica las exigencias de auditoría del ENS para las administraciones públicas.2
Este proyecto cuenta tanto con el apoyo y soporte de los responsables nacionales e
internacionales de Microsoft.4
El enfoque de la revisión consistirá en una evaluación en dos fases:
Fase 1: Evaluación documental previa con el fin de revisar aspectos procedimentales.
Fase 2: Evaluación operativa para revisar que la operativa del servicio es conforme al ENS.
5
Para ello ha contratado los servicios de la BDO, Firma independiente reconocida por sus
trabajos de auditoría en el Esquema Nacional de Seguridad.3
![Page 6: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/6.jpg)
Pág. 6
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Enfoque y Metodología
A continuación se presenta el enfoque metodológico, utilizado para cubrir los objetivos y el alcance
determinados para el presente Proyecto de la revisión documental de cumplimiento del ENS:
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
![Page 7: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/7.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Estado Actual
Pág. 7
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
Actualmente se ha realizado la revisión documental del servicio O365 y se dispone de un
estado avanzado de la revisión del servicio AZURE.1
Microsoft ha desarrollado los documentos “System Security Plan” (SSP) específicos para los
diferentes servicios:
• Microsoft Office 365
• AZURE
2
Los SSP presentan el alineamiento del marco de control de la seguridad de cada servicio
con el Esquema Nacional de Seguridad.3
Como resultado de la revisión se ha concluido que a nivel documental no se han
identificado aspectos de incumplimiento.5
Partiendo de estos documentos se procede a la solicitud de información adicional
complementaria en aquellos requisitos en los que se requiera un detalle adicional.4
![Page 8: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/8.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Factores Clave
Pág. 8
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
Enfoque del Esquema Nacional de Seguridad como una necesidad regulatoria
y una oportunidad de incrementar la seguridad.1
Apoyo de responsables de Microsoft:
• A nivel local
“Chief Technology Officer”, “Enterprise Strategy Consultant”, “Corporate,
External & legal Affairs”, “Microsoft Corporation Office 365 Business Group”,
“Solutions Technology Unit”.
• A nivel internacional
“Senior Program Manager” e “International Regulatory Compliance”.
2
Conocimiento de la operativa, estructura y responsables a nivel nacional e internacional.3
Conocimiento de los servicios concretos ofertados al cliente.4
![Page 9: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/9.jpg)
MICROSOFT Y EL ESQUEMA NACIONAL DE SEGURIDAD
Conclusiones
Pág. 9
Presentación de la Auditoria de Office 365 y Microsoft Azure frente al Esquema Nacional de Seguridad
Se ha identificado que requisitos del ENS son de aplicación a los servicios de Microsoft.1
Se han identificado los controles internos de la Compañía que permiten cumplir con el ENS.2
Se han identificado las configuraciones específicas a establecer cuando se ofrecen servicios
a la Administración.3
Se ha aportado visibilidad a las áreas internacionales de Microsoft de las exigencias
regulatorias españolas y los controles necesarios para su cumplimiento.4
Se ha conseguido la implicación de equipos internacionales de Microsoft en las tareas de
cumplimiento del ENS.5
![Page 11: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/11.jpg)
![Page 12: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/12.jpg)
¿Que es Microsoft AAD?
Una solución de identidad y acceso para empleados, partners y clientes.
Combina servicios de directorio, gobernanza de la identidad ygestión de acceso a las aplicaciones y plataforma basada en estándarespara desarrolladores.
![Page 13: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/13.jpg)
Un mundo repleto de dispositivos y aplicaciones SaaS
![Page 14: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/14.jpg)
Acceso Seguro a cualquier aplicación desde cualquier sitio
Localización
Estado del dispositivo
Pertenencia a grupo
Autoservicio
Informes y auditoria
Segundo factor de autenticacíón
Single Sign On
![Page 15: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/15.jpg)
![Page 16: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/16.jpg)
![Page 17: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/17.jpg)
Seguridad Office 365
Controles cliente
Auditorías externas
Seguridad con Office 365
18
24 Hour
Monitored
Physical
Hardware
Isolated
Customer Data
Secure NetworkEncrypted Data
Automated
operations
Microsoft
security best
practices
![Page 18: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/18.jpg)
![Page 19: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/19.jpg)
Cifrado avanzado
100101011010100011011011
![Page 20: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/20.jpg)
Cifrado en almacenamiento
![Page 21: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/21.jpg)
Gestión de las claves por parte del cliente
A partir de 2016
Azure Storage for SPO
![Page 22: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/22.jpg)
Información siempre protegida
Información siempre protegida
Información siempre protegida
Información
puede enviarse
protegida o
hacerlo en
tránsito usando
reglas
![Page 23: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/23.jpg)
![Page 24: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/24.jpg)
![Page 25: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/25.jpg)
OPERANDO A GRAN ESCALA
Operaciones automáticas
Muy pocas operaciones requieren intervención humana
Y solo un pequeño subconjuntode éstas requieren acceso a datos de cliente
![Page 26: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/26.jpg)
100101011010100011
Customer Lockbox
![Page 27: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/27.jpg)
![Page 28: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/28.jpg)
![Page 29: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/29.jpg)
API de actividad
![Page 30: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/30.jpg)
![Page 31: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/31.jpg)
![Page 32: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/32.jpg)
![Page 33: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/33.jpg)
Windows
Apps
Virtual Secure Mode (VSM)
Lo
cal Secu
rity
A
uth
Serv
ice
Vir
tual TP
M
Hyp
er-
Vis
or
Co
de
Inte
gri
ty
User
Mode
(Ring 3)
Kernel
Mode
(Ring 0)
User
Mode
(Ring 3)
Kernel
Mode
(Ring 0)
![Page 34: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/34.jpg)
Isolated User
Mode (IUM)
Virtual Secure
Mode (VSM)
LSASSLSAIso
![Page 35: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/35.jpg)
![Page 36: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/36.jpg)
![Page 37: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/37.jpg)
![Page 38: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/38.jpg)
IDP
Active Directory
Azure AD
Microsoft Account
1
Usuario2
Windows10
3Internet 4
4Intranet
![Page 39: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/39.jpg)
![Page 40: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/40.jpg)
ROM/Fuses Bootloaders Native UEFIWindows
OS Loader
Windows Kernel and
Drivers
3rd Party Drivers
User mode code (apps, etc.)
KMCIUEFI Secure Boot UMCIPlatform Secure Boot AppLocker
![Page 41: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/41.jpg)
![Page 42: Presentación de la Auditoria de Office 365 y Microsoft](https://reader036.vdocuments.site/reader036/viewer/2022081701/62e15b80969d6b7643209a39/html5/thumbnails/42.jpg)