El documento presenta información sobre cómo asegurar el cumplimiento normativo de Microsoft Teams en una organización. Explica que el gobierno de TI establece las reglas de operación, mientras que el cumplimiento de TI valida que se cumplan dichas reglas. Luego, detalla los pasos para implementar escenarios de gobierno y cumplimiento en Teams, incluyendo análisis, diseño, implementación y evaluación de políticas. Finalmente, ofrece ejemplos de políticas que se podrían aplicar para roles, organización, seguridad y protección de información
6. Agenda
• ¿Qué son el Gobierno y Cumplimiento de TI?
• ¿Qué elementos Gobernabilidad y cumplimiento puedo usar
para gestionar Microsoft Teams?
• ¿Cómo hago para gobernar el uso de Microsoft Teams?
• Análisis y Diseño de Políticas de gobierno de IT para
Microsoft Teams
• Implementación de Políticas de gobierno de IT para
Microsoft Teams
• Auditorías y Reportes de Cumplimiento para Microsoft Teams
7. ¿Qué son el gobierno de TI y
Cumplimiento de TI?
Es decir el gobierno de TI es el reglamento de Operación y el Cumplimiento es quien
valida que se cumplieran las reglas durante la operación
Cumplimiento de TI Gobierno de TI
El gobierno de TI, es el conjunto
de reglas de operación que
establece cada Departamento de
TI
El cumplimiento de TI
corresponde al proceso de
validar que todas las reglas de
operación se llevan a cabo.
8. Ahora bien existen diferentes formas de
establecer escenarios de gobierno y de revisión o
cumplimiento y cada organización tiene todo el
derecho de establecer sus reglas y formas de
revisión; sin embargo ya existen normativas
realizadas por organizaciones que se dedican a
realizar esto, algunas veces a estas prácticas les
llaman “Mejores Prácticas” de la industria o bien
“Marcos de Referencia”.
Entre los más comunes encontramos a los
siguientes:
• ITIL
• Cobit
• ISO 27001
• MOF
¿Qué son el gobierno de TI y
Cumplimiento de TI?
9. Dependiendo de las exigencias de
cada organización, se hace uso de
una o varios “Marcos de Referencia”
ya que cada uno hace énfasis en
ciertos temas que el otro no abarca
totalmente y/o en algunos casos
cuando estos son complementarios.
En este sentido muchas veces para
implementar una regla para
gobernar se hacen uso de diferentes
normativas y por ende múltiples
elementos de control
¿Qué son el gobierno de TI y
Cumplimiento de TI?
Cobit
ITIL
ISO 27001
¿Qué
hacer?
¿Como
hacer?
¿A quien Aplicar?
10. ¿Qué elementos Gobernabilidad y
cumplimiento puedo usar para gestionar
Microsoft Teams?
Si bien ya hablamos que existen diferentes marcos de referencia, Microsoft Teams ya está subscrito a
algunos de ellos, es decir puedes aplicar fácilmente escenarios de control y gobierno como los siguientes:
• Gestión de Roles y Responsabilidades
• Gestión de Organización y Estructura
• Seguridad y Control
• Proceso de Altas, Bajas y Cambios
• Control de Prevención de Perdidas de Información
• Retención de Información
• Gestión de Características del producto
11. ¿Cómo hago para gobernar el uso de
Microsoft Teams?
Analizar
DiseñarImplementación
Evaluación
Haciendo un plan para implementar escenarios de gobierno que nos
hagan sentido conforme a nuestros marcos de referencia o lo que
cada industria requiere.
El plan de implementación deberá dividirse en 4 elementos de un
ciclo:
Analizar: Identificar que elementos debemos tener o controlar dentro
de nuestra organización
Diseñar: Definir las políticas de control, seguridad y operación
Implementar: Aplicar las políticas a los grupos de trabajo y/o habilitar
las políticas a nivel general
Evaluar: Validar de manera recurrente nuestro estatus quo
12. Análisis de las políticas de gobierno para MS Teams
Para poder iniciar con el análisis de las políticas que podemos implementar debemos tener claro los siguientes
elementos:
• Roles y Responsabilidades
• ¿Quién define el nombre de los Teams?
• ¿Quién puede crear nuevos Teams?
• ¿Quién define las estructuras de los Teams?
• ¿Quién monitorea el uso, seguridad y cumplimiento?
• ¿Cómo se determina el ciclo de vida de un Team?
• ¿Quién define los controles de seguridad?
• ¿Cómo se autenticarán al Team?
• Organización y Estructura
• ¿Cómo ocuparemos Teams? Por proyecto, por área de Negocio, por Dirección Operativa
• ¿Qué tipo de Canales deberán tener cada Team?
• ¿Quién deberá estar en cada Team?
• ¿Qué aplicaciones y/o servicios estarán dentro de cada Team?
• ¿Personal externo a la organización acceden al Team?
13. Diseño de las políticas de gobierno para MS Teams
Para poder iniciar con el Diseño de las políticas que podemos implementar debemos tener claro los siguientes
elementos:
• Seguridad y Control
• Acceso
• ¿Desde donde pueden acceder a Teams?
• ¿Es necesario habilitar doble autenticación?
• ¿Tendrán acceso limitado los externos?
• ¿Tendrán acceso limitado los internos?
• Prevención de Pérdida de Información
• ¿Qué tipo de información es confidencial?
• ¿Qué elementos deberán ser confidenciales y no compartirse fuera de la organización?
• ¿Qué elementos deberán ser confidenciales entre Departamentos dentro de la organización?
• ¿Qué hacer cuando se intente compartir información confidencial?
• Protección de Información
• ¿Podrá usarse la información fuera de Teams?
• ¿Los usuarios podrán descargar la información y subirla a otro Team?
• ¿Qué aplicaciones o servicios podrán copiar/imprimir la información dentro de Teams?
14. Implementación de Políticas de gobierno de IT para
Microsoft Teams
Habiendo ya identificado las necesidades de nuestra organización, es hora de implementar las políticas, para
fines prácticos vamos a definir unas políticas generales de la siguiente manera:
Roles y Responsabilidades
• Experto de colaboración
• Define los características habilitadas para los Teams
• Define la nomenclatura de los teams
• Implementa reglas de seguridad
• Dueño del Team
• Define los miembros de cada team
Organización y estructura
• Los teams se crearán por proyecto
• Los teams deberán tener 5 canales (General, Project
Management, Comunicaciones, Documentación, QA)
• Los teams tendrán acceso a Planner
Seguridad y Control
• Acceso
• Doble factor de autenticación para Clientes
• Permisos para externos limitado
• Permisos para internos define el Dueño del Team
• Prevención de Perdida de datos
• No será posible compartir # de Cedula/ Seguro
Social con nadie dentro de teams
• No se podrá compartir información de tarjetas de
crédito
• Protección de Información
• No se podrá descargar información de Teams
• No se podrá copiar información fuera de Teams
16. Evaluación de Cumplimiento de las políticas
Para la evaluación de las políticas es importante identificar tres escenarios:
Cumplimiento del Proveedor de servicios (Microsoft)
https://aka.ms/serviceTrust
Cumplimiento del uso del servicio conforme a una normativa
https://aka.ms/ComplianceManager
Cumplimiento de las políticas diseñadas por cada organización
Revisión de Dashboards dentro de Protection.office.com
Data Governance Dashboard
Reports Dashboard
DLP Dashboard
GDPR Dashboard
eDiscovery & Advanced eDiscovery