Usar el Administrador de cumplimiento para cumplir los requisitos normativos y de protección de datos al usar los Servicios en la nube de Microsoft

El Administrador de cumplimiento no está disponible en Office 365 ofrecido por 21Vianet, Office 365 Germany, Office 365 U.S. Government Community High (GCC High) ni Office 365 Department of Defense.

Administrador de cumplimiento, una herramienta de evaluación de riesgos basada en flujos de trabajo en el Portal de confianza del servicio de Microsoft, le permite realizar un seguimiento, asignar y comprobar las actividades de cumplimiento reglamentario de su organización relacionadas con los Servicios profesionales de Microsoft y los Servicios en la nube de Microsoft, como Microsoft Office 365, Microsoft Dynamics 365 y Microsoft Azure. Administrador de cumplimiento:

  • Combina la información detallada que proporciona Microsoft a auditores y organismos reguladores como parte de diversas auditorías de terceros sobre los servicios en la nube de Microsoft conforme a varias normas (por ejemplo, ISO 27001, ISO 27018 y NIST), así como la información que Microsoft recopila de forma interna para el cumplimiento de los reglamentos (como HIPAA y el Reglamento general de protección de datos de la UE, o RGPD), con una autoevaluación del cumplimiento de su organización en relación con estas normas y reglamentos.

  • Le permite asignar, supervisar y registrar las actividades de evaluación y cumplimiento. Esto puede ayudar a su organización a superar barreras de equipo para alcanzar sus objetivos de cumplimiento.

  • Proporciona una Puntuación de cumplimiento para que pueda supervisar su progreso y priorizar los controles de auditoría que le ayudarán a reducir los riesgos a los que se ve expuesta su organización.

  • Le proporciona un repositorio seguro en el que puede cargar y administrar pruebas y otros medios probatorios relacionados con sus actividades de cumplimiento.

  • Genera informes detallados en Microsoft Excel que documentan las actividades de cumplimiento realizadas por Microsoft y su organización. Puede facilitar estos informes a auditores, organismos reguladores y otras partes interesadas en el cumplimiento.

Importante: El Administrador de cumplimiento es un panel que contiene un resumen de su nivel de cumplimiento y protección de datos, así como recomendaciones para mejorar ambos elementos. Las acciones de cliente incluidas en el Administrador de cumplimiento son recomendaciones. Cada organización tiene que valorar la eficacia de estas recomendaciones en el respectivo entorno normativo antes de implementarlas. Las recomendaciones incluidas en el Administrador de cumplimiento no deberán interpretarse como una garantía de cumplimiento.

Contenido

Temas conceptuales   

Usar la búsqueda

Soporte de localización

Evaluaciones en el Administrador de cumplimiento

Permisos y acceso basado en roles

Introducción a la puntuación de cumplimiento

Metodología de Puntuación de cumplimiento

Agrupar evaluaciones

Funciones administrativas   

Asignar roles del Administrador de cumplimiento a usuarios

Configuración de privacidad del usuario

Uso del Administrador de cumplimiento   

Obtener acceso al Administrador de cumplimiento

Uso del panel del Administrador de cumplimiento

Ver acciones

Agregar una evaluación

Copiar información de evaluaciones existentes

Ver evaluaciones

Administrar el proceso de evaluación

Administrar los elementos de acción

Exportar información de una evaluación

Archivar una evaluación

Registro de cambios de controles administrados por el cliente   

Registro de cambios

Temas conceptuales

El Administrador de cumplimiento es una herramienta de evaluación de riesgos basada en flujos de trabajo que le permite administrar el cumplimiento reglamentario dentro del modelo de responsabilidad compartida de la nube. El Administrador de cumplimiento le ofrece una vista del panel de normativas, reglamentos y evaluaciones que contienen detalles sobre la implementación de controles de Microsoft, resultados de pruebas, una guía de implementación de control de cliente y un seguimiento que su organización puede usar. El Administrador de cumplimiento proporciona definiciones de controles de evaluación de certificaciones, una guía sobre cómo implementar y probar controles, puntuaciones de controles ponderadas según riesgos, administración de acceso basado en roles y un flujo de trabajo de asignación de acciones de control local para realizar un seguimiento de la implementación de controles, el estado de las pruebas y la administración de evidencias. El Administrador de cumplimiento optimiza la carga de trabajo de cumplimiento al permitir que los clientes puedan agrupar evaluaciones de forma lógica y aplicar pruebas de control de evaluación a controles idénticos o relacionados, lo que reduce la duplicación de esfuerzos que, de otra forma, podrían ser necesarios para satisfacer requisitos de control idénticos en distintas certificaciones.

Portal de confianza del servicio: Campo de entrada de búsqueda

Haga clic en la lupa de la esquina superior derecha de la página para expandir el campo de entrada de la búsqueda, escriba los términos que quiera buscar y presione Entrar.  Aparecerá el control de búsqueda, con el término de búsqueda en el campo de entrada del panel de búsqueda, y los resultados de búsqueda aparecerán debajo.

De forma predeterminada, la búsqueda devuelve resultados de documentos y le permite usar las listas desplegables "Filtrar por" para restringir la lista de documentos mostrados y agregar o quitar resultados de la búsqueda en la vista. Puede usar varios atributos de filtro a la vez para restringir el tipo de documentos devueltos a servicios de la nube, categorías de cumplimiento, procedimientos de seguridad, regiones del mundo o sectores específicos. Haga clic en el vínculo con el nombre del documento para descargarlo.

Portal de confianza del servicio: Búsqueda en Documentos con el filtro aplicado

Haga clic en el vínculo Administrador de cumplimiento para mostrar los resultados de búsqueda para los controles de evaluación del Administrador de cumplimiento. En la lista de resultados de búsqueda, se muestra la fecha en la que se creó la evaluación, el nombre de la agrupación de evaluaciones, el servicio en la nube aplicable y si los controles están administrados por Microsoft o por el cliente.

Portal de confianza del servicio: Búsqueda en los controles del Administrador de cumplimiento

Nota: Los informes y documentos del Portal de confianza de servicios están disponibles para su descarga durante al menos doce meses tras su publicación o hasta que esté disponible una nueva versión del documento.

Volver al principio

El Portal de confianza de servicios le permite ver el contenido de la página en diferentes idiomas.  Para cambiar el idioma de la página, solo tiene que hacer clic en el icono de globo terráqueo de la esquina inferior izquierda de la página y seleccionar el idioma que quiera. 

Portal de confianza del servicio: Opciones de contenido localizado

Volver al principio

El componente principal del Administrador de cumplimiento es una evaluación. Una evaluación es una combinación de un servicio de Microsoft y una norma de certificación o un reglamento de protección de datos (por ejemplo, ISO 27001:2013 y el RGPD). Las evaluaciones le ayudarán a comparar su posición ante el cumplimiento y la protección de datos de su organización con la norma del sector elegido para el servicio en la nube de Microsoft seleccionado. Las evaluaciones se completan con la implementación de los controles que se correspondan con la norma de certificación evaluada.

La estructura de una evaluación se basa en la responsabilidad que se comparte entre Microsoft y su organización para evaluar los riesgos de seguridad y cumplimiento en la nube, así como para implementar las medidas de seguridad de protección de datos especificadas en un estándar de cumplimiento, un estándar de protección de datos, un reglamento o una ley.

Una evaluación está formada por distintos componentes:

Servicios dentro del ámbito Cada evaluación se aplica en un conjunto específico de Servicios de Microsoft, cuya lista se muestra en la sección Servicios dentro del ámbito.

Controles administrados por Microsoft    Por cada servicio en la nube, Microsoft implementa y administra un conjunto de controles como parte del cumplimiento de Microsoft de diferentes normas y reglamentos. Estos controles se organizan en familias, según la estructura de la certificación o del reglamento correspondiente de la evaluación. Por cada control administrado por Microsoft, el Administrador de cumplimiento facilita información sobre cómo Microsoft implementó el control, además de cómo y cuándo un auditor externo independiente realizó pruebas de dicha implementación y la validó.

Este es un ejemplo de tres controles administrados por Microsoft de la familia de controles Seguridad de una evaluación de Office 365 y el RGPD.

Detalles de los controles administrados por Microsoft en el Administrador de cumplimiento
  1. Especifica la siguiente información de la certificación o del reglamento que se asigna al control administrado por Microsoft.

    • Id. de control   Número de artículo o sección de la certificación o del reglamento que se asigna al control.

    • Título   Título de la certificación o del reglamento correspondiente.

    • Id. de artículo   Este campo solo se incluye para evaluaciones del RGPD, ya que especifica el número de artículo del RGPD correspondiente.

    • Descripción   Texto de la norma o reglamento que se corresponde con el control administrado por Microsoft seleccionado.

  2. La Puntuación de cumplimiento, que indica el nivel de riesgo (debido a un error de control o un incumplimiento) asociado a cada control administrado por Microsoft. Vea Introducción a la Puntuación de cumplimiento para obtener más información. Tenga en cuenta que las puntuaciones de cumplimiento van del 1 al 10 y están codificadas por colores. El color amarillo indica controles de riesgo bajo; el naranja, riesgo medio; y el rojo significa controles de riesgo alto.

  3. Información sobre el estado de implementación de un control, así como cuándo se realizó una prueba, quién la llevó a cabo y el resultado.

  4. Puede hacer clic en Más en cualquier control para ver más información. Por ejemplo, detalles sobre la implementación del control por parte de Microsoft, así como de qué manera un auditor externo independiente realizó pruebas y validó la implementación.

Controles administrados por el cliente    Esta colección de controles son los que administra su organización. Su organización es responsable de implementar estos controles como parte de su proceso de cumplimiento de un estándar o reglamento determinado. Los controles administrados por el cliente también se organizan en familias para la certificación o el reglamento correspondiente. Use los controles administrados por el cliente para implementar las acciones recomendadas que le sugiera Microsoft como parte de las actividades de cumplimiento. Su organización puede usar las instrucciones facilitadas y las acciones de cliente recomendadas en cada control administrado por el cliente para administrar la implementación y el proceso de evaluación de dicho control.

Los controles administrados por el cliente en las evaluaciones también cuentan con una funcionalidad de administración del flujo de trabajo integrada que puede usar para administrar y supervisar el progreso de su organización para completar la evaluación. Por ejemplo, un responsable de cumplimiento normativo de su organización puede asignar un elemento de acción a un administrador de TI que tenga la responsabilidad y los permisos necesarios para realizar las acciones que se recomiendan para el control. Tras completar dicha tarea, el administrador de TI puede cargar pruebas de sus tareas de implementación (por ejemplo, capturas de pantalla de las opciones de la configuración o ajustes de directiva) y, luego, volver asignar el elemento de acción al responsable de cumplimento normativo para que este evalúe la prueba recopilada, pruebe la implementación del control y registre la fecha de implementación y los resultados de la prueba en el Administrador de cumplimiento. Para obtener más información, vea la sección Administrar el proceso de evaluación del artículo.

Volver al principio

De forma predeterminada, todos los miembros de su organización con una cuenta de Office 365 o Azure AD tienen acceso a Administrador de cumplimiento y pueden realizar cualquier acción en Administrador de cumplimiento. Para cambiar los permisos predeterminados al modelo de control de acceso basado en roles, como mínimo tiene que agregar un usuario a cada rol de Administrador de cumplimiento (vea las instrucciones siguientes). Después de agregar un usuario a un rol, se quitarán los permisos para realizar las acciones asignadas a ese rol del conjunto predeterminado de permisos disponible para todos los usuarios, y solo los usuarios a los que se aprovisione ese rol podrán obtener acceso a Administrador de cumplimiento y realizar las acciones permitidas por ese rol.

Después de implementar el acceso basado en roles, cualquier usuario que no esté asignado a un rol definido del Administrador de cumplimiento tendrá acceso de invitado.

Nota: Para implementar por completo el control de acceso basado en roles para administrar quién puede obtener acceso y realizar acciones en Administrador de cumplimiento, necesita agregar un usuario a cada rol para cambiar los permisos predeterminados. Por ejemplo, si agrega un usuario al rol que permite administrar las evaluaciones, solo los miembros de dicho rol podrán hacerlo. De forma similar, si no agrega ningún usuario al rol que permite leer los datos de las evaluaciones, todos los usuarios de su organización podrán obtener acceso al Administrador de cumplimiento y leer los datos de cualquier evaluación.

En la tabla siguiente se describen los permisos del Administrador de cumplimiento, así como las acciones que pueden realizar los usuarios que los tengan. En la tabla también se indica el rol asignado a cada permiso.

Lector de Administrador de cumplimiento

Colaborador de Administrador de cumplimiento

Evaluador de Administrador de cumplimiento

Supervisor de Administrador de cumplimiento

Administrador del portal

Leer datos      Los usuarios pueden leer los datos, pero no editarlos.

Marca de verificación

Marca de verificación

Marca de verificación

Marca de verificación

Marca de verificación

Editar datos      Los usuarios pueden editar todos los campos, excepto Resultado de la prueba y Fecha de la prueba.

Marca de verificación

Marca de verificación

Marca de verificación

Marca de verificación

Editar los resultados de la prueba      Los usuarios pueden editar los campos Resultado de la prueba y Fecha de la prueba.

Marca de verificación

Marca de verificación

Marca de verificación

Administrar evaluaciones      Los usuarios pueden crear, archivar y eliminar las evaluaciones.

Marca de verificación

Marca de verificación

Administrar usuarios       Los usuarios pueden agregar a otras personas de su organización a los roles de Lector, Colaborador, Evaluador y Supervisor. Solo los usuarios con el rol de Administrador global en su organización pueden agregar o quitar usuarios en el rol de Administrador del portal.

Marca de verificación

Acceso de invitado

Después de configurar el acceso del Administrador de cumplimiento, cualquier usuario que no tenga aprovisionado un rol tendrá de forma predeterminada el rol Acceso de invitado (que es la misma experiencia que obtienen las cuentas aprovisionadas que no pertenecen a organizaciones, como cuentas Microsoft personales).  Los usuarios con acceso de invitado no tienen acceso total a las características del Administrador de cumplimiento y no pueden ver los datos de evaluación de cumplimiento de la organización, aunque pueden usar el Administrador de cumplimiento para ver los informes de evaluación de cumplimiento de Microsoft y los documentos de confianza del servicio.  Para obtener una ilustración de lo que es accesible y lo que no, vea las imágenes siguientes, donde las características accesibles tienen un contorno azul y las características inaccesibles tienen un contorno rojo.

Panel del Administrador de cumplimiento: Experiencia de acceso de invitado

Administrador de cumplimiento: Gráficos de acceso de invitado

Volver al principio

En el panel, en el Administrador de cumplimiento se muestra la puntuación total para las evaluaciones de Office 365 en la esquina superior derecha del icono. Esta es la puntuación de cumplimiento total general de la evaluación, y es la suma de todos los puntos recibidos por cada evaluación de control marcada como Implementada y Probada en una evaluación. Al agregar una evaluación, verá que la Puntuación de cumplimiento ya va camino de completarse, porque ya se aplican los controles administrados por Microsoft y probados por terceros independientes.

Panel del Administrador de cumplimiento: Puntuación de cumplimiento total

Los puntos restantes provienen de la evaluación correcta de controles de cliente, de la implementación y las pruebas de los controles administrados por el cliente, cada uno con un valor específico que contribuye a la puntuación de cumplimiento global.  

Todas las evaluaciones presentan una puntuación de cumplimiento basada en riesgos para ayudarle a evaluar el nivel de riesgo (debido a un error de control o un incumplimiento) asociado a cada control (tanto los controles administrados por Microsoft como por el cliente) en una evaluación.  Se asigna una cantidad de puntos posibles (denominada clasificación de gravedad) a todos los controles administrados por el cliente, con una escala de 1 a 10, donde se asignan más puntos a los controles asociados a un mayor factor de riesgo si el control produce errores, mientras que se asignan menos puntos a los controles con riesgo bajo.

Por ejemplo, el control de evaluación Administración del acceso de usuarios que se muestra abajo tiene una clasificación de riesgo de gravedad muy alta, y se muestra con un valor asignado de 10.

Administrador de cumplimiento: Gravedad alta de control de evaluación (puntuación de 10)

 En comparación, el control de evaluación Copia de seguridad de la información que se muestra abajo tiene una clasificación de riesgo de gravedad más baja, y se muestra con un valor asignado de 3.

Administrador de cumplimiento: Gravedad baja de control de evaluación (puntuación de 3)

El Administrador de cumplimiento asigna una clasificación de gravedad predeterminada a cada control. Los niveles de riesgo se calculan basándose en los criterios siguientes:

  • Se determina si un control evita incidentes (nivel más alto), detecta incidentes que han ocurrido o corrige el impacto de un incidente (nivel más bajo). En cuanto a los niveles de gravedad, se asigna el máximo número de puntos a un control que evita amenazas y que es obligatorio y, en cambio, se asigna la cantidad mínima de puntos a los controles de detección o corrección (independientemente de si son obligatorios u opcionales).

  • Se determina si un control (después de haberse implementado) es obligatorio y, por lo tanto, los usuarios no pueden ignorarlo (por ejemplo, cuando alguien necesita restablecer su contraseña y tiene que cumplir los requisitos de longitud o de caracteres) u opcional y los usuarios pueden ignorarlo (por ejemplo, las reglas empresariales que obligan a bloquear la pantalla cuando una persona deja su equipo sin supervisión).

  • Controles relacionados con riesgos de integridad, confidencialidad y disponibilidad de los datos, si su origen son amenazas internas o externas, y si estas son malintencionadas o por error. Por ejemplo, se asignan más puntos a aquellos controles que podrían impedir que un atacante externo infrinja la seguridad de la red y obtenga acceso a la información de identificación personal, que a un control que impida que un empleado cause por error una interrupción de la red al configurar de manera incorrecta el enrutador de red.

  • Los riesgos de cada control relacionados con controladores legales y externos, como contratos, reglamentos y compromisos públicos.

Los valores de puntuación de cumplimiento mostrados para el control se aplican en su totalidad en la puntuación de cumplimiento total según si son correctos o incorrectos (si el control se implementa y se completa correctamente la siguiente prueba de evaluación o no; no se realizan créditos parciales para implementaciones parciales).  Solo cuando el Estado de implementación del control se establece en Implementado o en Implementación alternativa, y el Resultado de la prueba se establece en Correcto, se asignarán los puntos agregados a la puntuación de cumplimiento total.  

Lo más importante es que la puntuación de cumplimiento puede ayudarle a identificar los controles que tiene que implementar, porque le indica cuáles tienen un riesgo potencial más alto si se produce un error relacionado con el control.  Además de la priorización basada en riesgos, es importante destacar que, mientras que los controles de evaluación están relacionados con otros controles (ya sea dentro de la misma evaluación u otra evaluación que se encuentre en la misma agrupación de evaluaciones), completar un único control correctamente puede dar como resultado una reducción importante de un esfuerzo basándose en la sincronización de los resultados de pruebas de control.

Por ejemplo, en la imagen siguiente, vemos que la evaluación “Office 365: Evaluación del RGPD” se completó actualmente al 46 %, con 51 de 111 evaluaciones de control completadas para una puntuación de cumplimiento total de 289, de un total de 600 posibles.

Administrador de cumplimiento: Resumen de la evaluación

En la evaluación, el control del RGPD 7.5.5 está relacionado con otros 5 controles (7.4.1, 7.4.3, 7.4.4, 7.4.8 y 7.4.9), cada uno de ellos con una puntuación de clasificación de riesgos de gravedad moderada a alta de 6 u 8.  Con el filtro de evaluación, seleccionamos todos estos controles, haciéndolos visibles en la vista de evaluación, y podemos ver que ninguno de ellos se evaluó.    

Administrador de cumplimiento: Vista evaluación (controles de filtro, ninguno evaluado) Como esos seis controles están relacionados, al finalizar cualquiera de ellos, se sincronizarán esos resultados de pruebas en todos los controles relacionados de la evaluación (igual que para cualquier control relacionado de una evaluación que se encuentre en la misma agrupación de evaluaciones). Al finalizar la implementación de las pruebas del control del RGPD 7.5.5, el área de detalle del control se actualiza para mostrar que se evaluaron los seis controles, con un incremento correspondiente en el número de controles evaluados a 57 y un 51 % de evaluaciones completadas, y un cambio en la puntuación de cumplimiento total de +40.

Vista de evaluación del Administrador de cumplimiento: Resultados de control sincronizados

Este cuadro de diálogo de confirmación de actualización se mostrará si va a cambiar el estado de la implementación de un control relacionado para que afecte al resto de los controles relacionados.

Evaluación del Administrador de cumplimiento: Cuadro de diálogo de confirmación de actualización de controles relacionados

Nota: Actualmente, solo en las evaluaciones para servicios en la nube de Office 365 se incluye una puntuación de cumplimiento. En las evaluaciones de Azure y Dynamics, se muestra un estado de evaluación.

Volver al principio

La Puntuación de cumplimiento, como la Puntuación segura de Microsoft, es similar a otros sistemas de puntuación basados en el comportamiento. La actividad de su organización puede aumentar la Puntuación de cumplimiento realizando actividades relacionadas con la seguridad, la privacidad y la protección de datos.

Nota: La Puntuación de cumplimiento no expresa una medición de cumplimiento organizativo absoluta con cualquier estándar o reglamento determinado. Expresa el grado en el que se han adoptado controles, lo cual puede reducir los riesgos de los datos personales y de la privacidad individual. Ningún servicio puede garantizar que cumple con un estándar o regulación y la Puntuación de cumplimiento no debe interpretarse como una garantía de forma alguna.

Las evaluaciones en el Administrador de cumplimiento se basan en el modelo de responsabilidad compartida para la informática en la nube. En el modelo de responsabilidad compartida, Microsoft y cada cliente comparten la responsabilidad de la protección de datos del cliente cuando los datos se almacenan en la nube.

Como se muestra en la Evaluación de RGPD de Office 365 a continuación, Microsoft y los clientes son responsables de realizar diferentes acciones que están diseñadas para cumplir los requisitos del reglamento o estándar que se evaluará. Para racionalizar y comprender las acciones necesarias en una variedad de estándares y reglamentos, el Administrador de cumplimiento trata todos los estándares y reglamentos como si fuesen marcos de control. Por tanto, las acciones realizadas por Microsoft y por clientes para cada evaluación implican la implementación y la validación de los distintos controles.

Administrador de cumplimiento: Evaluación de RGPD

El flujo de trabajo básico para una acción típica es el siguiente:

  1. El responsable de cumplimiento, riesgos, privacidad o protección de datos de una organización asigna a alguien de la organización la tarea de implementar un control. Esa persona puede ser:

    1. un propietario de una directiva de empresa;

    2. un implementador de TI; u

    3. otra persona de la organización responsable de realizar la tarea.

  2. Esa persona realiza las tareas necesarias para implementar el control, carga evidencias de la implementación en el Administrador de cumplimiento y marca los controles vinculados a la acción como implementados. Una vez que se hayan realizado estas tareas, asigna la acción a un asesor para que la valide. Los asesores pueden ser:

    1. asesores internos que realizan la validación de controles en una organización; o

    2. asesores externos que examinan, comprueban y certifican el cumplimiento, como las organizaciones independientes de terceros que auditan los servicios en la nube de Microsoft.

  3. El Asesor valida el control, examina la evidencia y marca los controles como evaluados y los resultados de la evaluación (por ejemplo, superada).

Una vez que se han evaluado los controles asociados con una evaluación, esta se considera completada.

Cada evaluación en el Administrador de cumplimiento viene precargada con información que proporciona detalles sobre las acciones realizadas por Microsoft para satisfacer los requisitos de los controles de los que Microsoft es responsable. Esta información incluye detalles sobre cómo Microsoft ha implementado los controles y cómo y cuándo un auditor de terceros evaluó y comprobó la implementación de Microsoft. Por este motivo, los controles administrados de Microsoft para cada evaluación se marcan como evaluados y la Puntuación de cumplimiento lo refleja.

Cada evaluación incluye una Puntuación de cumplimiento total que se basa en el modelo de responsabilidad compartida. La implementación y pruebas de controles para Office 365 de Microsoft contribuye a una parte de los puntos totales posibles asociados con la evaluación RGPD. Cuando el cliente implemente y compruebe cada una de las acciones de cliente, la Puntuación de cumplimiento para la evaluación aumentará con el valor asignado al control.

Metodología de puntuación basada en riesgos

El Administrador de cumplimiento usa una metodología de puntuación basada en riesgos con una escala de 1-10 que asigna un valor superior a los controles que representan un mayor riesgo en caso de que el control falle o no sea compatible. El sistema de puntuación que usa la Puntuación de cumplimiento se basa en varios factores clave, como:

  1. La esencia del control;

  2. El nivel de riesgo del control en función de los tipos de amenazas; y

  3. Los controladores externos para el control.

Administrador de cumplimiento: Metodología de puntuación de cumplimiento

Esencia del control

La esencia del control se basa en si el control es obligatorio o discrecional y si es preventivo, detectivo o correctivo.

Obligatorio o discrecional

Los controles obligatorios son controles que no se pueden evitar deliberadamente o por accidente. Un ejemplo de un control común obligatorio es una directiva de contraseñas de gestión centralizada que establece requisitos de longitud, complejidad y expiración de la contraseña. Los usuarios tienen que cumplir con estos requisitos para obtener acceso al sistema.

Los controles discrecionales dependen de que los usuarios comprendan la directiva y actúen en consecuencia. Por ejemplo, una directiva que requiere que los usuarios bloqueen el equipo cuando lo abandonen es un control discrecional porque depende del usuario.

Detectivo, preventivo o correctivo

Los controles preventivos son aquellos que evitan riesgos específicos. Por ejemplo, proteger la información en reposo con cifrado es un control preventivo contra ataques, vulneraciones, etc. La separación de tareas es un control preventivo para administrar los conflictos de intereses y protegerse contra el fraude.

Los controles detectivos son los que supervisan los sistemas para identificar condiciones irregulares o comportamientos que representan riesgos o que pueden usarse para detectar intrusiones o determinar si se ha producido una vulneración. La auditoría de acceso del sistema y la auditoría de acciones administrativas con privilegios son tipos de controles de supervisión detectivos. Las auditorías de cumplimiento normativo son un tipo de control que se usa para buscar problemas en el proceso.

Controles correctivos son los que intentan mantener los efectos negativos de un incidente de seguridad en un valor mínimo, realizar acciones correctivas para reducir el efecto inmediato y revertir el daño, si es posible. La respuesta a incidentes de privacidad es un control correctivo para limitar el daño y restaurar los sistemas a un estado operativo después de una infracción.

Evaluar cada control con estos factores permite determinar la esencia del control y le asigna un valor en relación con el riesgo que representa.

Amenaza

Obligatorio

Discrecional

Preventivo

Riesgo alto

Riesgo medio

Detectivo

Riesgo medio

Riesgo bajo

Correctivo

Riesgo medio

Riesgo bajo

Amenaza se refiere a todo lo que supone un riesgo para el estándar de seguridad fundamental aceptado universalmente que se conoce como la tríada CIA de los datos: Confidencialidad, integridad y disponibilidad:

  • Confidencialidad significa que solo partes autorizadas de confianza pueden leer y comprender la información.

  • Integridad significa que partes no autorizadas no han modificado o destruido la información.

  • Disponibilidad significa que puede obtenerse fácilmente información con un alto nivel de calidad del servicio.

Se considera que un error de cualquiera de estas características implica la puesta en peligro del conjunto del sistema. Las amenazas pueden proceder de fuentes internas y externas, y el objetivo de un actor pude ser accidental o malintencionado. Estos factores son estimados en una matriz de amenazas que asigna niveles de amenaza Alto, Moderado o Bajo a cada combinación de escenarios.

Interna

Externa

Malintencionado

Accidental

Malintencionado

Accidental

Confidencialidad

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Integridad

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Disponibilidad

(A, M o B)

(A, M o B)

(A, M o B)

(A, M o B)

Controladores externos

Contratos

Reglamentos

Compromisos públicos

(A, M o B)

(A, M o B)

(A, M o B)

Factores externos como regulaciones aplicables, contratos y compromisos públicos pueden influir en controles diseñados para proteger datos y evitar infracciones de datos, y a cada uno de estos factores se asignan valores de riesgo Alto, Moderado o Bajo.

El número estimado de repeticiones de estos valores de riesgo Alto, Moderado o Bajo en los 15 escenarios de riesgo posibles representados en CIA/Amenazas y legal/Controladores externos se combina para proporcionar una ponderación de riesgo, que considera la probabilidad y el número de las repeticiones de los riesgos en un determinado valor como importantes y se tiene en cuenta al calcular la clasificación de la gravedad del control.

Según la clasificación de gravedad del control, se asigna al control el valor de puntuación de cumplimiento, un número entre el 1 (bajo) y el 10 (alto), agrupados en las siguientes categorías de riesgo:

Nivel de riesgo

Valor del control

Bajo

1-3

Moderado

6

Alto

8

Severo

10

Al dar prioridad a los controles de evaluación con los valores más altos de puntuación de cumplimiento, la organización se concentrará en los elementos de mayor riesgo y recibirá comentarios positivos proporcionalmente superiores en forma de más puntos agregados a la puntuación de cumplimiento total para la evaluación de cada control de evaluación completado.

Resumen

La Puntuación de cumplimiento es un componente principal de la forma en que el Administrador de cumplimiento ayuda a las organizaciones a comprender y administrar el cumplimiento. La Puntuación de cumplimiento para una evaluación es una expresión del cumplimiento de una compañía con un determinado estándar o reglamento como un número, en la que, cuanto mayor sea la puntuación (hasta el número máximo de puntos asignado para la evaluación), mejor será la posición de cumplimiento de la compañía. Para poder priorizar sus acciones, es crucial que las organizaciones comprendan la metodología de puntuación de cumplimiento en la que se asignan valores de seguridad de riesgo entre 1 y 10 (bajo a alto) a los controles de evaluación, y cómo las evaluaciones de controles completadas suman a la puntuación de cumplimiento total.

Volver al principio

Al crear una evaluación, se le pide que cree un grupo al que asignarla o que la asigne a un grupo existente. Los grupos le permiten organizar lógicamente las evaluaciones, así como compartir información común y tareas de flujo de trabajo entre las evaluaciones que tienen los mismos controles administrados por cliente (o relacionados).

Por ejemplo, puede agrupar las evaluaciones por año, equipos, departamentos o agencias dentro de su organización. Estos son algunos ejemplos de grupos y de las evaluaciones que pueden incluir.

  • Evaluaciones del RGPD: 2018

    • Office 365 + RGPD

    • Azure + RGPD

    • Dynamics + RGPD

  • Evaluaciones de Azure: 2018

    • Azure + RGPD

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

  • Evaluaciones de privacidad y seguridad de datos

    • Office 365 + ISO 27001:2013

    • Office 365 + ISO 27018:2014

    • Azure + ISO 27001:2013

    • Azure + ISO 27018:2014

Sugerencia: Es recomendable que establezca una estrategia de agrupación para su organización antes de empezar a agregar nuevas evaluaciones.

Estos son los requisitos para agrupar evaluaciones:

  • Los nombres de grupo (también denominados Identificadores de grupo) deben ser únicos en su organización.

  • Los grupos pueden contener evaluaciones para la misma certificación o el mismo reglamento, pero cada grupo solo puede tener una evaluación para cada pareja específica de certificación y servicio en la nube. Por ejemplo, un grupo no puede contener dos evaluaciones para Office 365 y el RGPD. De manera similar, un grupo puede contener varias evaluaciones para el mismo servicio en la nube, siempre y cuando la certificación o el reglamento correspondiente sea diferente en cada una de ellas.

Después de agregar una evaluación a una agrupación de evaluaciones, la agrupación no se puede modificar. Puede cambiar el nombre del grupo de evaluaciones, lo que cambiará el nombre de la agrupación de evaluaciones de todas las evaluaciones asociadas con ese grupo. Puede crear una evaluación y un grupo de evaluaciones, y copiar la información de una evaluación existente, lo que creará un duplicado de esa evaluación y otro grupo de evaluaciones. Al archivar una evaluación, se rompe la relación entre esa evaluación y el grupo de evaluaciones; las actualizaciones posteriores en otras evaluaciones relacionadas ya no se reflejarán en la evaluación archivada.

Como se explicó anteriormente, una de las ventajas más importantes de los grupos es cuando dos evaluaciones distintas del mismo grupo comparten un control administrado por el cliente (y, por lo tanto, las acciones de cliente son las mismas para cada control); de esta forma, al completar los detalles de la implementación, la información de pruebas y el estado del control de una evaluación se sincronizará con el mismo control de cualquier otra evaluación del grupo. Es decir, si las evaluaciones comparten un control y están en el mismo grupo, solo tendrá que administrar el proceso de evaluación de un control. Los resultados para dicho control se sincronizarán automáticamente con otras evaluaciones. Por ejemplo, ISO 27001 e ISO 27018 tienen un control relacionado con directivas de contraseña. Si el estado de la prueba del control se establece en “Correcto” en una evaluación, el control se actualizará (y se marcará como “Correcto”) en la otra, siempre que las dos evaluaciones pertenezcan al mismo grupo de evaluaciones.

Tomemos como ejemplo estos dos controles de evaluación relacionados, cada uno vinculado con el cifrado de datos en redes públicas, el control 6.10.1.2 en la evaluación del RGPD de Office 365, y el control SC-13 en la evaluación Office 365 - NIST 800-53. Son controles de evaluación relacionados, en dos evaluaciones distintas, ambas en el grupo predeterminado; inicialmente, ninguna evaluación completó evaluaciones de control de cliente, ya que estas dos evaluaciones se muestran en el panel del Administrador de cumplimiento.

Panel del Administrador de cumplimiento: Evaluaciones agrupadas (antes)

Al hacer clic en la evaluación “Office 365: Evaluación del RGPD” con los controles de filtro para ver el control del RGPD 6.10.1.2, vemos que el control NIST 800-53 SC-13 se muestra como un control relacionado.

Evaluación del Administrador de cumplimiento: Controles compartidos

 Aquí se muestra la finalización de la implementación en las pruebas del control del RGPD 6.10.1.2. 

Evaluación del Administrador de cumplimiento: Control del RGPD 6.10.1.2 (correcto)

Al navegar al control relacionado en la evaluación agrupada, vemos que NIST 800-53 SC-13 también se marcó como completado con la misma fecha y hora, sin ninguna otra implementación ni prueba.

Evaluación del Administrador de cumplimiento: NIST 800-53 SC(13) completado

De nuevo en el panel, vemos que cada evaluación tiene una evaluación de control completada, y que la puntuación de cumplimiento total de cada evaluación se incrementó en 8 (el valor de puntuación de cumplimiento de ese control compartido).

Panel del Administrador de cumplimiento: Sincronización de progreso de evaluación agrupada

Volver al principio

Funciones administrativas

Hay funciones administrativas específicas que solo están disponibles en la cuenta de administrador de espacios empresariales, y solo serán visibles al iniciar sesión como administrador global.

Nota: Los administradores pueden conceder el permiso Acceso a documentos restringidos de la lista desplegable para que los usuarios obtengan acceso a documentos restringidos que Microsoft comparte en el Portal de confianza de servicios. La característica Documentos restringidos no está disponible, pero lo estará próximamente.

Cada rol del Administrador de cumplimiento tiene permisos ligeramente distintos. Para ver los permisos asignados a cada rol, comprobar los usuarios que se encuentran en cada rol y agregar o quitar usuarios de ese rol con el Portal de confianza del servicio, seleccione el elemento de menú Administrador y, después, haga clic en Configuración.

Menú de administración de STP: Opciones seleccionadas

Para agregar o quitar usuarios de los roles del Administrador de cumplimiento.

  1. Vaya a https://servicetrust.microsoft.com.

  2. Inicie sesión con su cuenta de administrador global de Azure Active Directory.

  3. En la barra de menús superior del Portal de confianza del servicio, haga clic en Administrador y, después, seleccione Configuración.

  4. En la lista desplegable Seleccionar rol, haga clic en el rol que quiera administrar.

  5. Los usuarios agregados a cada rol se muestran en la página Seleccionar rol.

  6. Para agregar usuarios a este rol, haga clic en Agregar. En el cuadro de diálogo Agregar usuarios, haga clic en el campo del usuario. Puede desplazarse por la lista de usuarios disponibles, o bien puede empezar a escribir el nombre de usuario para filtrar la lista basándose en el término de búsqueda. Haga clic en el nombre de usuario para agregar esa cuenta a la lista Agregar usuarios que se aprovisionarán con ese rol. Si prefiere agregar varios usuarios de forma simultánea, empiece a escribir el nombre de usuario para filtrar la lista y, después, haga clic en los usuarios para agregarlos a la lista. Haga clic en Guardar para aprovisionar el rol seleccionado a estos usuarios.

    Administrador de cumplimiento: Aprovisionar roles (agregar usuarios)

  7. Para quitar usuarios de este rol, seleccione los usuarios y haga clic en Eliminar.

    Administrador de cumplimiento: Aprovisionar roles (quitar usuario)

Volver al principio

Determinados reglamentos requieren que puedan eliminarse los datos del historial del usuario. Para habilitar esta opción, el Administrador de cumplimiento proporciona las funciones Configuración de privacidad del usuario, que permiten a los administradores:

Administrador de cumplimiento: Funciones de configuración de privacidad del usuario

Buscar una cuenta de usuario

Para buscar una cuenta de usuario:

  1. Especifique la dirección de correo electrónico del usuario escribiendo el alias (la información a la izquierda del símbolo @) y elija el nombre de dominio haciendo clic en la lista de sufijos de dominios a la derecha.  Si este es un espacio empresarial con varios dominios registrados, puede volver a comprobar el sufijo de nombre de dominio de dirección de correo electrónico para asegurarse de que es correcto.

  2. Cuando haya escrito correctamente el nombre de usuario, haga clic en el botón Buscar.    

  3. Si no se encuentra la cuenta de usuario, se mostrará el mensaje de error "Usuario no encontrado" en la página.  Revise la información de dirección de correo electrónico del usuario, realice las correcciones necesarias y haga clic en Buscar para volver a intentarlo.

  4. Si se encuentra la cuenta de usuario, el texto del botón cambiará de Buscar a Borrar, lo que indica que la cuenta de usuario devuelta es el contexto de funcionamiento de las funciones adicionales que se mostrarán a continuación y que ejecutar esas funciones se aplicará a esa cuenta de usuario.

  5. Para borrar los resultados de búsqueda y buscar un usuario distinto, haga clic en el botón Borrar.

Exportar el informe de historial de datos de la cuenta

Una vez que se haya identificado la cuenta de usuario, puede que desee generar un informe de las dependencias que se encuentran vinculadas a esta cuenta.  Esta información le permitirá reasignar los elementos de acción abiertos o garantizar el acceso a evidencias cargadas anteriormente.  

Para generar y exportar el informe:   

  1. Haga clic en Exportar para generar y descargar un informe de los elementos de acción de control de Administrador de cumplimiento asignados a la cuenta de usuario devuelta, así como la lista de documentos que ha cargado el usuario.  Si no hay acciones asignadas ni documentos cargados, un mensaje de error indicará "No hay datos para este usuario".

  2. El informe se descarga en el fondo de la ventana del explorador activa: si no ve un mensaje emergente de descarga deberá comprobar el historial de descargas del explorador.

  3. Abra el documento para revisar los datos del informe.

Nota: No es un informe de historial que conserva y muestra los cambios de estado al historial de asignación de elementos de acción.  El informe generado es una instantánea de los elementos de acción de control asignados en el momento en que se ejecuta el informe (fecha y marca de tiempo escritas el informe).  Por ejemplo, cualquier reasignación de elementos de acción siguiente tendrá como resultado una instantánea de datos del informe diferente si este informe se genera de nuevo para el mismo usuario. 

Reasignar elementos de acción

Esta función permite a una organización quitar dependencias activas o pendientes en la cuenta de usuario reasignando la propiedad de todos los elementos de acción (que incluyen los elementos de acción activos y completados) de la cuenta de usuario devuelta a un nuevo usuario seleccionado a continuación.  Esta acción no cambia el historial de carga de documentos de la cuenta de usuario devuelta. 

Para reasignar los elementos de acción a otro usuario:   

  1. Haga clic en el cuadro de entrada para buscar y seleccionar otro usuario dentro de la organización a quien deben asignarse los elementos de acción del usuario devuelto.

  2. Seleccione Reemplazar para reasignar todos los elementos de acción de control del usuario devuelto al usuario recién seleccionado.

  3. Aparecerá un cuadro de diálogo de confirmación que indica "Esto reasignará todos los elementos de acción de control del usuario actual al usuario seleccionado.  Esta acción no se puede deshacer.  ¿Seguro que desea continuar?"

  4. Para continuar haga clic en Aceptar, en caso contrario, haga clic en Cancelar.

Nota: Todos los elementos de acción (tanto activos como completados) se asignarán al usuario recién seleccionado.  Sin embargo, esta acción no afecta al historial de carga de documentos; los documentos cargados por el usuario asignado previamente seguirán mostrando la fecha y hora y el nombre del usuario asignado previamente.  

El cambio del historial de carga de documentos para quitar el usuario asignado previamente deberá realizarse de forma manual.  En ese caso, el administrador tendrá que:

1)      Abrir el informe exportado descargado anteriormente.

2)      Identificar y navegar al elemento de acción de control que desee.

3)      Hacer clic en Administrar documentos para ir al repositorio de evidencias para dicho control.

4)      Descargar el documento.

5)      Eliminar el documento en el repositorio de evidencia.

6)      Volver a cargar el documento.  El documento pasará a tener una nueva fecha y hora de carga, y un nuevo nombre de usuario que lo ha cargado.  

Eliminar historial de datos del usuario

Esto establece el control de elementos de acción en "no asignado" en todos los elementos de acción asignados al usuario devuelto.  También se establece el valor cargado en "Usuario eliminado" para los documentos cargados por el usuario devuelto

Para eliminar los elementos de acciones de la cuenta de usuario o el historial de cargas de documentos:   

  1. Haga clic en el botón Eliminar.

  2. Aparecerá un cuadro de diálogo de confirmación, que indica "Se quitarán todas las tareas de elemento de acción de control y el historial de carga de documentos para el usuario seleccionado.  Esta acción no se puede deshacer.  ¿Seguro que desea continuar?"

  3. Para continuar, haga clic en Aceptar; en caso contrario, haga clic en Cancelar.

Volver al principio

Uso del Administrador de cumplimiento

El panel del Administrador de cumplimiento le proporciona las herramientas necesarias para asignar, realizar un seguimiento y registrar las actividades relacionadas con la evaluación y el cumplimiento. Además, puede ayudar a su organización a superar barreras de equipo para alcanzar sus objetivos de cumplimiento.

Panel del Administrador de cumplimiento: Menú superior (menú de administración actualizado)

Volver al principio

Puede obtener acceso al Administrador de cumplimiento desde el Portal de confianza del servicio. Cualquier usuario con una cuenta Microsoft o una cuenta de organización de Azure Active Directory puede obtener acceso a Administrador de cumplimiento.

Administrador de cumplimiento: Obtener acceso al Administrador de cumplimiento desde el menú de STP

  1. Vaya a https://servicetrust.microsoft.com.

  2. Inicie sesión con su cuenta de usuario de Azure Active Directory o Azure AD.

  3. En el Portal de confianza del servicio, haga clic en Administrador de cumplimiento.

  4. Cuando se muestre el acuerdo de confidencialidad, léalo y, después, haga clic en Aceptar para continuar. Solo tendrá que hacerlo una vez y, después, se mostrará el panel del Administrador de cumplimiento.

  5. Para empezar, agregamos las siguientes evaluaciones de forma predeterminada:

    Evaluaciones predeterminadas en el Administrador de cumplimiento
  6. Haga clic en Icono de Ayuda en el Administrador de cumplimiento Ayuda para realizar un breve paseo de Administrador de cumplimiento.

Volver al principio

El Administrador de cumplimiento proporciona una vista útil de todas las acciones de evaluaciones de control asignadas, lo que le permite realizar acciones en estas de forma rápida y sencilla. Para ver todas las acciones o seleccionar las acciones que se correspondan con una certificación específica, haga clic en la pestaña asociada con esa evaluación.  Por ejemplo, en la imagen siguiente, se seleccionó la pestaña RGPD, donde se muestran controles relacionados con la evaluación del RGPD.

Administrador de cumplimiento: Lista de acciones con varias pestañas (RGPD seleccionado)

Para ver sus acciones

  1. Vaya al panel del Administrador de cumplimiento.

  2. Haga clic en el vínculo Acciones; la página se actualizará para mostrar las acciones asignadas a su usuario.

  3. De forma predeterminada, se muestran todas las acciones. Si tiene acciones en varias certificaciones, los nombres de las certificaciones se mostrarán en pestañas en la parte superior del control de evaluación. Para ver las acciones de una certificación específica, haga clic en esa pestaña.

Volver al principio

Para agregar una evaluación para el Administrador de cumplimiento:

  1. En el panel del Administrador de cumplimiento, haga clic en Icono Agregar Agregar evaluación.

  2. En la ventana Agregar una evaluación, puede crear un nuevo grupo para agregar la evaluación o agregarla a uno existente (el integrado se denomina "Grupo inicial"). En función de la opción que elija, escriba un nombre para el grupo nuevo o seleccione uno existente en la lista desplegable. Para obtener más información, vea Agrupar evaluaciones.

    Si crea un grupo, también podrá copiar la información de un grupo existente en la nueva evaluación. De esta forma, la información que se agregó en los campos “Detalles de la implementación”, “Plan de pruebas” y “Respuesta de la administración” de los controles administrados por el cliente de evaluaciones del primer grupo se copiarán en los mismos controles administrados por el cliente (o los relacionados) de la nueva evaluación. Si agrega una evaluación nueva a un grupo existente, la información común de las evaluaciones de ese grupo se copiará en la nueva. Para obtener más información, vea Copiar la información de evaluaciones existentes.

  3. Haga clic en Siguiente y realice este procedimiento:

    • Elija un servicio en la nube de Microsoft de la lista desplegable Seleccionar un producto para evaluar el cumplimiento.

    • Elija una certificación para evaluar el servicio en la nube seleccionado en la lista desplegable Seleccionar una certificación.

  4. Haga clic en Agregar al panel para crear la evaluación; la evaluación se agregará al panel del Administrador de cumplimiento como un nuevo icono al final de la lista de iconos existentes.

    En el icono de evaluación del panel de Administrador de cumplimiento, se muestra la agrupación de evaluaciones, el nombre de la evaluación (creado automáticamente como una combinación del nombre del servicio y la certificación seleccionada), la fecha en que se creó y cuándo se modificó por última vez, la puntuación de cumplimiento total (que es la suma de todos los valores de riesgo de control asignados que se implementaron, comprobaron y completaron correctamente) y los indicadores de progreso en la parte inferior, donde se muestra el número de controles evaluados.

  5. Haga clic en el nombre de la evaluación para abrirla y ver los detalles.

  6. Haga clic en el menú Acciones para ver las acciones asignadas, cambiar el nombre del grupo de evaluaciones, exportar el informe de evaluación o archivar la evaluación.

Administrador de cumplimiento: Icono de evaluación

Volver al principio

Como se explicó anteriormente, al crear un grupo de evaluaciones, puede copiar la información de las evaluaciones de un grupo existente a la nueva evaluación en el grupo nuevo. De esta forma, puede aplicar el trabajo de pruebas y evaluación ya completado en los mismos controles administrados por el cliente de la nueva evaluación. Por ejemplo, si tiene un grupo para todas las evaluaciones relacionadas con el RGPD en su organización, puede copiar la información común de tareas de evaluación existentes al agregar una nueva evaluación al grupo.

Puede copiar la siguiente información del cliente a una evaluación nueva:

  • Usuarios de la evaluación. Un usuario de evaluación es la persona a la que se ha asignado el control.

  • Estado, Fecha de la prueba y Resultado de la prueba.

  • Detalles de la implementación e información del plan de pruebas.

Asimismo, se sincroniza la información de controles administrados por el cliente compartidos en el mismo grupo de evaluación. También se sincroniza la información de controles administrados por el cliente relacionados en la misma evaluación.

Volver al principio

  1. Busque el icono de evaluación que se corresponda con la evaluación que quiera ver y, después, haga clic en el nombre de la evaluación para abrirla y ver los controles administrados por el cliente y por Microsoft asociados con la evaluación, además de una lista de los servicios en la nube que están dentro del ámbito de la evaluación. Este es un ejemplo de la evaluación para Office 365 y el RGPD.

    Vista de evaluación del Administrador de cumplimiento: Pantalla completa con globos

    1. En esta sección, se muestra la información de resumen de la evaluación, incluido el nombre de la agrupación de evaluaciones, el producto, el nombre de la evaluación y el número de controles de evaluación.

    2. En esta sección, se muestran los controles del filtro de evaluación. Para obtener una explicación más detallada de cómo usar los controles del filtro de evaluación, vea la sección Administrar el proceso de evaluación.

    3. En esta sección se muestran los servicios en la nube individuales que están dentro del ámbito de la evaluación.

    4. Esta sección contiene los controles administrados por Microsoft. Los controles relacionados se organizan en familias. Haga clic en una familia para expandirla y mostrar los controles individuales.

    5. Esta sección contiene los controles administrados por el cliente, que también se organizan en familias. Haga clic en una familia para expandirla y mostrar los controles individuales.

    6. Muestra el número total de controles de la familia y cuántos de ellos se han evaluado. Una funcionalidad principal del Administrador de cumplimiento es el seguimiento del progreso de su organización en la evaluación de los controles administrados por el cliente. Para obtener más información, vea la sección Introducción a la Puntuación de cumplimiento.

Volver al principio

Inicialmente, el creador de una evaluación es su único usuario. Para cada control administrado por el cliente, puede asignar un elemento de acción a una persona de su organización. De esta manera, dicha persona se convierte en un usuario de evaluación que puede realizar las acciones de cliente recomendadas, así como recopilar y cargar las pruebas. Al asignar un elemento de acción, puede enviar un correo electrónico a esa persona con información sobre las acciones de cliente recomendadas y la prioridad del elemento de acción. La notificación por correo electrónico incluye un vínculo al panel Elementos de acción, en el que se enumeran todos los elementos de acción asignados a ese usuario.

Esta es una lista de las tareas que puede realizar con las características de flujo de trabajo del Administrador de cumplimiento.

Flujo de trabajo de evaluación del Administrador de cumplimiento con globos
  1. Usar las opciones de filtro para encontrar controles de evaluación específicos    El Administrador de cumplimiento proporciona Opciones de filtro, que le ofrece criterios de selección altamente específicos para mostrar controles de evaluación, lo que le permitirá identificar de forma precisa las áreas específicas de sus esfuerzos de cumplimiento.  

    Haga clic en el icono de embudo de la parte derecha de la página para mostrar u ocultar los controles de Opciones de filtro. Estos controles le permiten especificar criterios de filtro, y en la parte inferior solo se mostrarán los controles de evaluación que se correspondan con esos criterios. Controles de filtro de evaluaciones del Administrador de cumplimiento

    • Artículos: filtra el nombre del artículo y devuelve los controles de evaluación asociados con ese artículo. Por ejemplo, al escribir “Artículo (5)”, se muestra una lista de selección de artículos cuyo nombre contiene esa cadena (es decir, artículo (5)(1)(a), artículo (5)(1)(b), artículo (5)(1)(c), etc.). Al seleccionar el artículo (5)(1)(c), se mostrarán los controles asociados con el artículo (5)(1)(c). Este es un campo de selección múltiple que usa un operador “O” con varios valores (por ejemplo, si selecciona el artículo (5)(1)(a) y, después, agrega el artículo (5)(1)(c), el filtro mostrará los controles asociados con el artículo (5)(1)(a) o con el artículo (5)(1)(c)).

      Vista de evaluación del Administrador de cumplimiento: Filtro en el nombre del artículo

    • Controles: devuelve la lista de controles cuyos nombres coinciden con el filtro (por ejemplo, al escribir “7.3”, se muestra una lista de selección de elementos, como 7.3.1, 7.3.4, 7.3.5, etc.). Este es un campo de selección múltiple que usa un operador “O” con varios valores (por ejemplo, si selecciona 7.3.1 y, después, agrega 7.3.4, el filtro mostrará los controles asociados con 7.3.1 o con 7.3.4).

      Vista Evaluación del Administrador de cumplimiento: Selección múltiple de control de filtro

    • Usuarios asignados: devuelve la lista de controles asignados al usuario seleccionado.

    • Estado: devuelve la vista de controles con el estado seleccionado.

    • Resultado de la prueba: devuelve la lista de controles con el resultado de la prueba seleccionado.

    Al aplicar condiciones de filtro, la vista de controles disponibles cambiará para corresponderse con las condiciones de filtro.  Expanda las secciones de familia de controles para mostrar los detalles de cada control en la parte inferior.  

    Vista de evaluación del Administrador de cumplimiento: filtro de resultados de artículos

  2. Si, después de seleccionar los filtros que prefiera, no se muestra ningún resultado, quiere decir que ningún control se corresponde con las condiciones de filtro especificadas. Por ejemplo, si selecciona un usuario asignado específico y, después, elige un nombre de control que se corresponde con el control asignado a ese usuario, no se mostrará ninguna evaluación en la página inferior.

  3. Asignar un elemento de acción a un usuario     Puede asignar un elemento de acción a una persona para implementar los requisitos de una certificación o un reglamento, así como para probar, comprobar y documentar los requisitos de implementación de su organización. Al asignar un elemento de acción, puede enviar un correo electrónico a esa persona con información sobre las acciones de cliente recomendadas y la prioridad del elemento de acción. También puede cancelar la asignación o volver a asignar un elemento de acción a otra persona.

  4. Administrar documentos    Los controles administrados por el cliente también cuentan con una ubicación para administrar documentos relacionados con la realización de tareas de implementación, así como para realizar tareas de validación y pruebas. Cualquier persona que tenga permisos para editar datos en el Administrador de cumplimiento puede cargar documentos haciendo clic en Administrar documentos. Cuando se hayan cargado documentos, podrá hacer clic en Administrar documentos para ver y descargar los archivos.

  5. Proporcionar detalles de implementación y pruebas    Cada control administrado por el cliente tiene un campo editable en el que los usuarios pueden agregar detalles sobre la implementación para documentar los pasos que ha seguido su organización con el fin de cumplir los requisitos de la certificación o del reglamento, así como para validar y documentar cómo su organización cumple dichos requisitos.

  6. Establecer el estado    Establezca el estado de cada elemento como parte del proceso de evaluación. Los valores de estado disponibles son Implementado, Implementación alternativa, Planeado y No está en el ámbito.

  7. Escribir la fecha y el resultado de la prueba    La persona con el rol Evaluador del Administrador de cumplimiento puede comprobar si se realizan las pruebas adecuadas, así como revisar los detalles de la implementación, el plan de pruebas, los resultados de pruebas y cualquier evidencia cargada y, después, establecer los valores de “Fecha de la prueba” y “Resultado de la prueba”. Los valores disponibles para el resultado de la prueba son Correcto, Error: riesgo bajo, Error: riesgo medio y Error: riesgo alto.

Volver al principio

Las personas involucradas en el proceso de evaluación de la organización pueden usar el Administrador de cumplimiento para revisar los controles administrados por el cliente de todas las evaluaciones en las que son usuarios. Cuando un usuario inicia sesión en Administrador de cumplimiento y abre el panel Elementos de acción, ve una lista de los que tiene asignados. Según el rol de Administrador de cumplimiento asignado al usuario, este podrá proporcionar detalles sobre la prueba o la implementación, actualizar el estado o asignar elementos de acción.

Como los controles de certificación suele implementarlos una persona y otra los comprueba, la acción de control se puede asignar de forma inicial a una persona para su implementación y, después de completarlo, esa persona puede reasignar la acción de control a la siguiente persona para las pruebas de control y la carga de evidencias. Esta asignación o reasignación de acciones de control la puede realizar cualquier usuario que tenga un rol de Administrador de cumplimiento con permisos suficientes, lo que permite la administración centralizada de asignaciones de control, o bien el enrutamiento descentralizado de acciones de control, desde el implementador al evaluador, según corresponda.

Para asignar una acción

  1. En el panel del Administrador de cumplimiento, busque el icono de evaluación de la evaluación con la que quiera trabajar y, después, haga clic en el nombre de la evaluación para ir a la página de detalles de la evaluación.

  2. Puede hacer clic en el botón Filtrar y usar los controles de filtro para buscar el control de evaluación específico que quiera asignar, o bien

  3. Vaya a la sección Controles administrados por el cliente, expanda la familia de controles y desplácese por la lista de controles hasta que encuentre el control de evaluación que quiera asignar.

  4. En la columna Usuario asignado, haga clic en el botón azul Asignar.

  5. En el cuadro de diálogo Asignar acción, haga clic en el campo Asignar a para rellenar la lista de usuarios a los que se puede asignar la acción. Puede desplazarse por la lista para encontrar el usuario de destino, o bien empiece a escribir en el campo para buscar el nombre de usuario.

  6. Haga clic en el usuario para asignarle esta acción.

  7. Para enviar una notificación por correo electrónico al usuario para notificarle, asegúrese de que esté activada la casilla Enviar notificación por correo electrónico.

  8. Escriba las notas que quiera mostrar al usuario y, después, haga clic en Asignar.

  9. El usuario recibirá una notificación de su asignación de acciones y las notas que proporcione.

Las notas asociadas a la acción persistirán en la sección de notas, que estará disponible la próxima vez que se asigne la acción. Estas notas no son de solo lectura: la persona que asigne la acción las puede editar, reemplazar o quitar.

Volver al principio

Puede exportar una evaluación a un archivo de Excel para que las partes interesadas de cumplimiento lo revisen, o bien para facilitarlo a auditores y organismos reguladores. Este informe de evaluación es una instantánea de la evaluación en la fecha y hora en que se creó el informe, y contiene los detalles de los controles administrados por Microsoft y por el cliente para esa evaluación, incluido el estado de la implementación de controles, la fecha de pruebas de control y los resultados de pruebas, y proporciona vínculos a los documentos de evidencias cargados. Le recomendamos que exporte el informe de evaluación antes de archivar una evaluación, ya que en las evaluaciones archivadas no se conservan los vínculos a los documentos cargados.

Para exportar un informe de evaluación

  1. En el panel del Administrador de cumplimiento, haga clic en el vínculo Acciones del icono de la evaluación que quiera exportar y, después, seleccione Exportar a Excel, o bien

  2. Al ver la página de detalles de la evaluación, haga clic en el botón Exportar a Excel, que se encuentra en la esquina superior derecha de la página, encima de la puntuación de cumplimiento de la evaluación.

El informe de evaluación se descargará en la sesión del explorador. Si no ve de un mensaje emergente para informarle de esto, compruebe la carpeta de descargas del explorador.

Volver al principio

Después de completar una evaluación, puede archivarla si ya no la necesita para fines de cumplimiento. Al archivar una evaluación, se quita del panel de evaluaciones.

Nota: Después de archivar una evaluación, no se puede recuperar ni restaurar en un estado de progreso de lectura y escritura.  Tenga en cuenta que, en las evaluaciones archivadas, no se conservan los vínculos a los documentos de evidencias cargados, por lo que es muy recomendable que realice una exportación de la evaluación antes de archivarla, ya que el informe de evaluación exportado contendrá vínculos a los documentos de evidencias, lo que le permitirá seguir obteniendo acceso a estos.

Para archivar una evaluación

  1. En el icono de panel de la evaluación que quiera archivar, haga clic en el botón Acciones.

  2. Seleccione Archivar evaluación.

  3. Se mostrará el cuadro de diálogo Archivar evaluaciones, donde se le pedirá que confirme si quiere archivar la evaluación.

  4. Para continuar con el archivado, haga clic en Archivar, o bien seleccione Cancelar.

Para ver las evaluaciones archivadas

  1. En el panel del Administrador de cumplimiento, active la casilla Mostrar archivados.

  2. Las evaluaciones archivadas se mostrarán en una nueva sección visible debajo del resto de las evaluaciones activas, debajo de una barra denominada Evaluaciones archivadas.

  3. Haga clic en el nombre de la evaluación que quiera visualizar.

  4. Al visualizar una evaluación archivada, ninguno de los controles que se pueden editar normalmente (por ejemplo, Implementación, Resultados de pruebas, etc.) estarán activos, y no se mostrará el botón Documentos administrados.

Volver al principio

Registro de cambios de controles administrados por el cliente

Administrador de cumplimiento está diseñado para actualizarse periódicamente y mantenerse al día de los cambios que se produzcan en los requisitos normativos de nuestros servicios en la nube. Estas actualizaciones incluyen los cambios en controles administrados por el cliente. Se proporciona un registro de cambios que le ayudará a comprender el impacto de estos cambios, incluidos los detalles sobre el contenido que se haya agregado o modificado, así como una guía sobre cómo afectan los cambios a las evaluaciones existentes. En general, hay dos tipos de cambios:

  • Un cambio importante es un cambio significativo en una acción de cliente, como la adición o retirada de un control o de pasos numerados específicos, o bien un cambio en las directrices de responsabilidades, recomendaciones o evidencias. En el caso de cambios principales, le recomendamos que vuelva a evaluar la implementación o evaluación del control afectado.

  • Un cambio secundario es un cambio poco significativo en una acción de cliente, como corregir un error de escritura o problemas de formato, o bien actualizar o corregir hipervínculos. En el caso de cambios secundarios, normalmente no es necesario volver a evaluar el control; pero le recomendamos que revise la acción de cliente actualizada.

 

Controles administrados por el cliente de Office 365: Registro de cambios de julio de 2018

Controles afectados

Cambiar la descripción y la recomendación

Id. de control

Evaluación

Tipo de cambio

Descripción del cambio

Acciones recomendadas para clientes

45 CFR § 164.308(a)(7)(ii)(A)

Office 365: HIPAA

Principal

Agregado el control HITECH a la evaluación HIPAA para Office 365.

Revise el control agregado y las acciones de cliente recomendadas.

45 CFR § 164.312(a)(6)(ii)

Office 365: HIPAA

Principal

Agregado el control HITECH a la evaluación HIPAA para Office 365.

Revise el control agregado y las acciones de cliente recomendadas.

45 CFR § 164.312(c)(1)

Office 365: HIPAA

Principal

Agregado el control HITECH a la evaluación HIPAA para Office 365.

Revise el control agregado y las acciones de cliente recomendadas.

45 CFR  § 164.316(b)(2)(iii)

Office 365: HIPAA

Principal

Agregado el control HITECH a la evaluación HIPAA para Office 365.

Revise el control agregado y las acciones de cliente recomendadas.

 

Controles administrados por el cliente de Office 365: Registro de cambios de abil de 2018

Controles afectados

Cambiar la descripción y la recomendación

RGPD

HIPAA

ISO 27001

ISO 27018

NIST 800-53

NIST 800-171

Tipo de cambio

Descripción de cambio

Acciones recomendadas para clientes

6.13.2

C.16.1.1

Principal

Numerado anteriormente como 6.12.1.1.

Se agregaron detalles a las recomendaciones.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

3.1.6

Principal

Se agregaron pasos a las directrices, como la auditoría y búsqueda de registros de auditoría.

Revise las recomendaciones actualizadas en las acciones de cliente.

6.8.2

A.10.2

Principal

Numerado anteriormente como 6.7.2.9.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

6.6.4

45 CFR § 164.312 (a) (2) (i)


45 CFR § 164.312 (d)

A.9.4.2

IA-2

3.5.1

Principal

Numerado anteriormente como 6.5.2.3.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

6.13.1

45 CFR § 164.308 (a) (1) (i)

A.16.1

C.16.1

IR-4(a)

3.6.1

Principal

Numerado anteriormente como 6.12.1.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

6.7

Principal

Numerado anteriormente como 6.6.1.1.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

6.6.5

A.10.8

IA-3

3.5.2

Principal

Numerado anteriormente como 6.5.4.2.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

6.15.1

Principal

Numerado anteriormente como 6.14.1.3.

Guía actualizada con recomendaciones y acciones adicionales.

Vuelva a evaluar el control: revise la guía actualizada en las acciones de cliente y siga los pasos recomendados para implementar y evaluar el control.

AC-2 (h) (2)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

AC-2 (7) (b)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

AC-2 (h) (1)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

45 CFR § 164.308 (a) (5) (ii) (C)

AC-2 (g)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

AC-2 (12)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

45 CFR § 164.312 (b)

A.12.4.3

AU-2 (d)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

AC-2 (4)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

3.1.7

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

A.16.1.7

C.12.4.2, parte 2

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

AC-2 (h) (3)

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

A.12.4.2

Secundario

Se agregó el vínculo a la hoja Habilitar auditoría.

No es necesario realizar ninguna acción.

A.7.2.8

Secundario

Se agregaron vínculos a la hoja Búsqueda de contenido y al portal de DSR.

No es necesario realizar ninguna acción.

45 CFR § 164.308 (a) (3) (ii) (C)

Secundario

Se agregaron vínculos a la hoja “Habilitar auditoría” y a los temas de soporte técnico del rol de administrador de Office 365.

No es necesario realizar ninguna acción.

5.2.1

Secundario

Numerado anteriormente como 5.2.2.

Se explicaron con detalle las responsabilidades del cliente en las directrices.

Revise las recomendaciones actualizadas en las acciones de cliente.

6.11.1

45 CFR § 164.312 (e) (2) (ii)

A.10.1.1
A.10.1.2
A.18.1.5

C.10.1.1

SC-13

3.13.11

Secundario

Numerado anteriormente como 6.10.1.2.

Se corrigió un error de escritura.

No es necesario realizar ninguna acción.

7.5.1

Secundario

Numerado anteriormente como A.7.4.1.

Se corrigió un error de escritura.

No es necesario realizar ninguna acción.

A.8.2.3

3.1.3

Secundario

Se quitó una frase adicional innecesaria.

No es necesario realizar ninguna acción.

45 CFR § 164.308 (a) (4) (i)

A.6.1.2

AC-5(a)

3.1.2
3.1.4

Secundario

Guía actualizada con recomendaciones y acciones adicionales.

Revise las recomendaciones actualizadas en las acciones de cliente.

45 CFR § 164.308 (a) (7) (ii) (E)

RA-2(a)

Secundario

Se actualizó el vínculo del tema de ayuda del servicio de importación para usar el vínculo de referencia.

No es necesario realizar ninguna acción.

 

Referencia de cambio de id. de control de evaluación del RGPD: registro de cambios de febrero de 2018

Id. de control anterior (versión preliminar de noviembre de 2017)

Nuevo id. de control (versión GA de febrero de 2018)

5.2.2

5.2.1

5.2.3

5.2.2

5.2.4

5.2.3

6.1.1.1

6.2

6.10.1.2

6.11.1

6.10.2.5

6.11.2

6.11.1.2

6.12

6.12.1

6.13.1

6.12.1.1

6.13.2

6.12.1.5

6.13.3

6.14.1.3

6.15.1

6.14.2.1

6.15.2

6.14.2.3

6.15.3

6.2.1.1

6.3

6.3.2.2

6.4

6.4.3.1

6.5.2

6.4.3.2

6.8.1

6.4.3.3

6.5.3

6.5.2

6.6.1

6.5.2.1

6.6.2

6.5.2.2

6.6.3

6.5.2.3

6.6.4

6.5.4.2

6.6.5

6.6.1.1

6.7

6.7.2.7

6.8.1

6.7.2.9

6.8.2

6.8.1.4

6.9.1

6.8.4.1

6.9.3

6.8.4.2

6.9.4

6.9.2.1

6.10.1

6.9.2.3

6.10.2

A.7.1.1

7.2.1

A.7.1.2

7.2.2

A.7.1.3

7.2.3

A.7.1.4

7.2.4

A.7.1.5

7.2.5

A.7.1.6

7.2.6

A.7.1.7

7.2.7

A.7.2.1

7.3.1

A.7.2.10

7.3.9

A.7.2.11

7.3.10

A.7.2.2

7.3.2

A.7.2.3

7.3.3

A.7.2.4

7.3.4

A.7.2.5

7.3.5

A.7.2.6

7.3.6

A.7.2.7

7.3.7

A.7.2.8

7.3.8

A.7.3.1

7.4.1

A.7.3.10

7.4.10

A.7.3.2

7.4.2

A.7.3.3

7.4.3

A.7.3.4

7.4.4

A.7.3.5

7.4.5

A.7.3.6

7.4.6

A.7.3.7

7.4.7

A.7.3.8

7.4.8

A.7.3.9

7.4.9

A.7.4.1

7.5.1

A.7.4.2

7.5.2

A.7.4.3

7.5.3

A.7.4.4

7.5.4

A.7.4.5

7.5.5

B.8.1.1

8.2.1

B.8.1.2

8.2.2

B.8.1.3

8.2.3

B.8.1.4

8.2.4

B.8.1.5

8.2.5

B.8.1.6

8.2.6

B.8.2.1

8.3.1

B.8.3.1

8.4.1

B.8.3.2

8.4.2

B.8.3.3

8.4.3

B.8.4.1

8.5.1

B.8.4.2

8.5.2

B.8.4.3

8.5.4

B.8.4.4

8.5.5

B.8.4.5

8.5.3

B.8.4.6

8.5.6

B.8.4.7

8.5.7

B.8.4.8

8.5.8

Volver al principio

Vea también

Ampliar sus conocimientos de Office
Explorar los cursos
Obtener nuevas características primero
Únase a los participantes de Office Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×