Marco de seguridad de la información de ENISA

Acerca del marco de seguridad de la información de ENISA

La Agencia Europea de Seguridad de las Redes y de la Información (ENISA) es una agencia especializada en redes e información. Trabaja en estrecha colaboración con los Estados miembros de la Unión Europea y el sector privado para proporcionar asesoría y recomendaciones sobre prácticas adecuadas de ciberseguridad. Además, ENISA respalda el desarrollo y la aplicación de la política y la legislación de la UE en relación a la seguridad de la información nacional.

El marco de seguridad de la Información (IAF) es un conjunto de criterios que pueden ser revisados por las organizaciones con los proveedores de los servicios en la nube para asegurarse de que los datos de los clientes son protegidos de manera adecuada. El IAF tiene por objeto ayudar a las organizaciones a evaluar el riesgo de adoptar servicios en la nube, comparar de mejor manera las ofertas de los diferentes servicios en la nube y disminuir la carga del control sobre los proveedores de servicios en la nube.

Microsoft y el IAF de ENISA

El Marco de Seguridad de la Información de ENISA se basa en los amplios tipos de controles de la ISO/IEC 27001, la norma internacional de gestión de la seguridad de la información, y la matriz de controles en la nube (CCM) v3.0.1 de la Cloud Security Alliance (CSA). La CCM
es un marco de controles que abarca los principios fundamentales de seguridad en 16 dominios para ayudar a los clientes de la nube a evaluar el riesgo global de seguridad de un proveedor de servicios en la nube (CSP).

Microsoft presentó un informe para la autoevaluación de CSA STAR, que documentaba el cumplimiento de Microsoft Azure con la CCM de CSA. (Microsoft también publica un cuestionario completo sobre la iniciativa de evaluaciones por consenso (CAIQ) para Azure). Esa autoevaluación
de cumplimiento se adapta a el IAF de ENISA.

El cumplimiento de Azure se encuentra listado en el registro de CSA STAR, un registro gratuito de acceso público donde los CSP publican las evaluaciones relacionadas con CSA. Allí, Azure también mantiene las certificaciones formales de CSA STAR y su atestación.

Ya que estos informes de autoevaluación se encuentran disponibles públicamente, los clientes de Azure mejoran la visibilidad de las prácticas de seguridad de Microsoft y pueden comparar varios CSP con la misma línea base.

Servicios y plataformas en la nube dentro de Microsoft

  • Azure
  • Office 365

IAF de ENISA, Azure y Dynamics 365

Para más información sobre el cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta de Azure del IAF de ENISA.

IAF de ENISA y Office 365

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Microsoft Entra ID, Azure Information Protection, Bookings, Compliance Manager, Delve, Exchange Online, Exchange Online Protection, Forms, Kaizala, Microsoft Analytics, Microsoft Booking, Microsoft Defender para Office 365, Microsoft Graph, Microsoft Teams, Microsoft To-Do for Web, MyAnalytics, Cumplimiento avanzado de Office 365 complemento, Office 365 Cloud App Security, Office 365 Groups, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive para la Empresa, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Empresarial, StaffHub, Stream, Sway, Viva Engage

Recursos