¿Qué es la supervisión del cumplimiento? Una guía completa sobre la supervisión del cumplimiento para Microsoft Teams

Garantizar el cumplimiento de la normativa en herramientas de colaboración como Microsoft Teams ya no es un "nice-to-have". Con el aumento del trabajo a distancia y las multas por mantenimiento inadecuado de registros en estas herramientas que superan los 1.700 millones de dólares desde 2021, garantizar el cumplimiento en este conjunto de datos es ahora un aspecto crítico de la gobernanza organizativa. Siga leyendo para explorar los entresijos de la supervisión del cumplimiento en Microsoft Teams y por qué es indispensable para las empresas modernas.

¿Qué es la supervisión del cumplimiento?

La supervisión del cumplimiento implica el seguimiento y la aplicación del cumplimiento de los requisitos normativos dentro de las herramientas y la tecnología de una organización. Normalmente, un equipo de cumplimiento se encarga de garantizar que todas las actividades se ajustan a los requisitos legales e internos. Sus responsabilidades van desde supervisar la privacidad de los datos y mitigar las sanciones reglamentarias hasta conceder permisos o hacer cumplir las políticas internas de uso aceptable.

La supervisión del cumplimiento es algo más que una casilla de verificación para satisfacer a los organismos reguladores. Es un proceso proactivo que garantiza el buen funcionamiento y la integridad de las operaciones en toda la empresa. Si se realiza correctamente, la supervisión del cumplimiento desempeña un papel importante en el mantenimiento de la confianza, la seguridad y la responsabilidad.

El aumento de la popularidad de Microsoft Teams hace que la gestión adecuada de sus datos no estructurados sea un componente vital en la postura de riesgo de cumplimiento de cualquier organización moderna.

¿Por qué es esencial la supervisión del cumplimiento?

Las normativas de cumplimiento exigen que las empresas gestionen de forma proactiva el riesgo y la seguridad dentro del lugar de trabajo digital. Esto significa establecer políticas y procedimientos que rijan la manipulación, el almacenamiento y la transmisión de datos sensibles. Eso puede incluir los datos financieros regulados por la SEC o la FINRA, la información sanitaria protegida (PHI) regida por la HIPAA, o la información de identificación personal (PII) y los datos de la industria de tarjetas de pago (PCI) manejados en alguna capacidad por todas las empresas.

Además de satisfacer a los reguladores, la supervisión del cumplimiento aporta una serie de beneficios adicionales a la empresa:

• Privacidad y protección de datos - La supervisión del cumplimiento salvaguarda los datos sensibles y protege la privacidad individual, algo crucial para mantener la confianza con los clientes y las partes interesadas.
• Reducción del riesgo para la ciberseguridad - Al supervisar activamente el cumplimiento, las empresas pueden identificar y remediar los posibles riesgos para la ciberseguridad, evitando accesos no autorizados y violaciones de datos.
• Mitigación de multas y sanciones - La supervisión del cumplimiento actúa como un escudo contra las infracciones legales y reglamentarias, ayudando a las empresas a evitar cuantiosas multas y consecuencias legales.
• Mejora de la cultura de la empresa - Una cultura de cumplimiento fomenta la transparencia, el comportamiento ético y el sentido de la responsabilidad entre los empleados, lo que contribuye a crear un entorno de trabajo positivo y productivo.

Sin embargo, ya no basta con crear una regla. Las empresas también deben ser capaces de demostrar un cumplimiento continuo de la normativa. Demostrar una negativa en conjuntos de datos procedentes de herramientas como el chat de Teams, donde incluso los administradores del espacio de trabajo pueden carecer de visibilidad total, es el reto que deben superar los líderes de cumplimiento de hoy en día.

Preguntas frecuentes sobre el control del cumplimiento

¿Supone Microsoft Teams riesgos para el cumplimiento normativo?

Aunque Teams mejora la colaboración, un uso inadecuado puede plantear riesgos de cumplimiento si los empleados comparten información sensible o restringida. Cargar el archivo equivocado en un chat de grupo, por ejemplo, podría comprometer los datos que contiene. La aplicación de la supervisión del cumplimiento ayuda a mitigar estos riesgos.

¿Se puede supervisar el cumplimiento de Microsoft Teams?

Sí, Microsoft Teams se puede supervisar para garantizar el cumplimiento de la normativa, y es aconsejable que las organizaciones apliquen medidas de supervisión para garantizar el cumplimiento de la normativa. La supervisión del cumplimiento para el chat de Teams puede lograrse a través de las herramientas con licencia E3/E5 de Microsoft, o a través de proveedores externos que pueden proporcionar soluciones más granulares y rentables.

¿Cuáles son las ventajas del registro de conformidad de los equipos?

El registro de conformidad de los equipos proporciona un registro seguro y rastreable de las comunicaciones, ayudando en las auditorías y garantizando la responsabilidad. La grabación de las reuniones de los equipos puede respaldar los requisitos de cumplimiento normativo de organismos como la SEC o la FINRA y apoyar el mantenimiento de registros internos.

¿Qué herramientas puedo utilizar para el cumplimiento de Microsoft Teams?

Existen herramientas disponibles dentro de la suite de Microsoft que permiten a las organizaciones supervisar Teams.

Centro de administración de Microsoft Teams

El Centro de administración de Teams cuenta con un panel centralizado en el que los administradores pueden supervisar métricas importantes como miembros, propietarios, invitados, clasificaciones de usuarios de Teams, estado del equipo, chats de grupo, chats privados, canales de Teams, salas de Teams y reuniones. Los informes de uso destacan el uso de aplicaciones y dispositivos de Teams, las audioconferencias y videoconferencias, los eventos en directo, las citas virtuales, las notificaciones por SMS y mucho más.

Informe de uso de los equipos

Se trata de un informe integrado en el Centro de administración de Teams. Proporciona una visión de cómo los usuarios aprovechan Teams, incluidas las métricas de actividad de los empleados, como el número de usuarios por tipo de dispositivo, el recuento de usuarios por tipo de actividad y el recuento de actividades.

Análisis de uso de Microsoft 365

Esta herramienta también supervisa los datos de uso de Microsoft Teams, así como las métricas de rendimiento, las alarmas y el estado del servicio de Microsoft Teams. Los administradores pueden detectar tendencias de adopción que pueden equivaler a problemas de rendimiento.

Portal de cumplimiento de Microsoft Purview

Este portal puede utilizarse para supervisar Microsoft Teams con fines de seguridad y cumplimiento. Purview recopila datos de los custodios de todo el ecosistema de Microsoft 365 como herramienta principal de eDiscovery más que de supervisión del cumplimiento.

Registro de auditoría

El registro de auditoría registra informes globales de actividad de administradores y usuarios, lo que permite a los administradores de los equipos supervisar las acciones y los cambios realizados e identificar posibles incumplimientos y violaciones de las políticas internas.

Aplicaciones de terceros

Las soluciones de terceros, como Mimecast Aware, ofrecen funciones avanzadas de supervisión para Teams, como análisis de uso, supervisión del rendimiento, disponibilidad de recursos, análisis de seguridad y paneles personalizables. Estas plataformas pueden hacer que la supervisión del cumplimiento funcione en Teams y otras plataformas que las organizaciones utilizan para colaborar.

¿Qué normas de cumplimiento utiliza Microsoft Teams?

Microsoft Teams admite y se adhiere a varias normas de cumplimiento para garantizar un entorno de colaboración seguro y conforme a las normas.

Normas de cumplimiento para los equipos

Microsoft Teams es compatible con muchas normas de cumplimiento, entre ellas:

• HIPAA
• ISO 27001
• ISO 27018
• SSAE16
• SOC 1 y SOC 2

Las organizaciones pueden gestionar aún más su gobierno de datos utilizando Microsoft Purview (anteriormente Azure Purview, disponible con una licencia activa de Microsoft 365 por un coste adicional). Con Purview, los responsables de cumplimiento pueden comprender mejor cómo se mueven los datos por su organización, dónde existen riesgos y desplegar controles que apliquen las mejores prácticas y el uso aceptable.

Retos de cumplimiento al utilizar Teams

A pesar de sus numerosas ventajas, el uso de Microsoft Teams para la colaboración plantea retos únicos relacionados con el cumplimiento de la normativa:

• Almacenamiento de archivos complejo y capacidad de búsqueda: los archivos vinculados dentro de los chats de Teams pueden ser difíciles de localizar dentro del complejo entorno de canales públicos y privados y mensajes directos y ubicaciones de almacenamiento basadas en la nube como SharePoint, OneDrive y OneNote, lo que dificulta la comprensión de dónde residen los datos sensibles o regulados.
• Uso compartido de datos confidenciales: que los empleados compartan datos confidenciales en los equipos es un hecho indiscutible y un quebradero de cabeza para la seguridad de la información, ya que afecta a la búsqueda y el descubrimiento electrónico, el análisis forense interno y la evaluación temprana de casos, la gestión del conocimiento y la prevención de la pérdida de datos, además del cumplimiento normativo.
• Exfiltración y modificación de mensajes: los equipos pueden ofrecer a los empleados una solución atractiva para eludir los controles y puntos de verificación tradicionales, por ejemplo, compartiendo contenidos restringidos y eliminando el mensaje para ocultar las pruebas de haberlo hecho. Este flujo de datos no estructurados, en constante cambio y en tiempo real, requiere un nuevo enfoque para que los equipos de cumplimiento puedan gestionar
• Brechas de cumplimiento de terceros: los equipos ofrecen miles de integraciones con aplicaciones y herramientas personalizadas y de terceros, cada una de las cuales crea una puerta trasera potencial a través de la cual se pueden comprometer los datos.

Pasos para reducir los riesgos de cumplimiento en los equipos

Para mitigar los riesgos de cumplimiento asociados a los equipos, las organizaciones pueden tomar algunas medidas sencillas pero eficaces, entre ellas:

• Creación de políticas claras de uso aceptable para los equipos
• Formar regularmente a los empleados sobre los riesgos de cumplimiento y las mejores prácticas
• Establecer periodos de conservación adecuados para todos los datos de los Equipos
• Utilizar herramientas de supervisión para rastrear la actividad de los equipos y garantizar su cumplimiento

Las herramientas de colaboración como Microsoft Teams proporcionan nuevas y potentes formas de que los empleados trabajen juntos para alcanzar los objetivos empresariales y acelerar los flujos de trabajo, pero la naturaleza charlatana e informal del trabajo colaborativo puede hacer que sea más tentador eludir las normas. Nuestros estudios demuestran que los empleados están mucho más dispuestos a compartir información confidencial, como números de tarjetas de crédito, en herramientas de colaboración que en sistemas heredados como el correo electrónico.

Educar a los empleados sobre los riesgos inherentes a estos comportamientos, y proporcionar canales seguros donde los empleados puedan intercambiar información sensible de la empresa, es esencial para mitigar este peligro en los equipos. Emparejar la educación y la formación rutinarias de los empleados con una herramienta como Aware, que puede supervisar el cumplimiento y corregir a los empleados en tiempo real, puede apoyar aún más el cumplimiento y la seguridad de los datos para Microsoft Teams.

Habilite la supervisión del cumplimiento para Microsoft Teams con Mimecast Aware

Mimecast Aware ayuda a las organizaciones a mejorar su postura de riesgo y simplificar la mitigación de los incidentes de cumplimiento con soluciones de cumplimiento habilitadas para IA/aprendizaje automático que ofrecen notificaciones en tiempo real cada vez que se comparte información confidencial. Basta con conectar la plataforma Aware a Teams y a otras plataformas de colaboración mediante API nativas y webhooks para iniciar inmediatamente la supervisión del cumplimiento sin que ello afecte a la experiencia del usuario final.

Las soluciones de cumplimiento de Mimecast se han creado para los equipos de cumplimiento, con capacidad para supervisar, investigar y gobernar su entorno de Microsoft Teams. No se trata sólo de eDiscovery hecho para trabajar por el cumplimiento, sino de un servicio de cumplimiento que ayuda a las organizaciones a gestionar de forma proactiva la supervisión de datos y la infoseguridad.

• Ingeste datos en tiempo real para detectar rápidamente los incumplimientos y contener los problemas de datos confidenciales en cuanto se produzcan con la función Señal de Aware.
• Investigue las comunicaciones de riesgo con la búsqueda exhaustiva y la capacidad de elaboración de informes detallados de Aware.
• Controle los datos con precisión mediante la gobernanza granular de la información y almacénelos en un archivo inmutable que permita realizar búsquedas federadas de conformidad con los requisitos normativos.

Con Mimecast Aware, los responsables del cumplimiento pueden definir fácilmente el uso aceptable en múltiples herramientas de colaboración y crear políticas y automatizaciones granulares que impongan, eduquen y mejoren el cumplimiento en toda la pila tecnológica de colaboración desde una única plataforma centralizada.

• Una organización sanitaria recurrió a Aware en busca de una solución integral de colaboración de datos y cumplimiento de la HIPAA para gestionar y reducir el intercambio inadecuado de datos por parte de trabajadores remotos a través de herramientas de colaboración durante la pandemia mundial. Pudieron limitar las posibles infracciones de la HIPAA y, en última instancia, reducir el riesgo de exposición de la privacidad de los pacientes y las ramificaciones legales.
• Una empresa europea de bebidas descubrió un posible intercambio de información de identificación personal (IIP) y violaciones de la política interna en sus herramientas de colaboración. Aware les ayudó a señalar estos mensajes en su contexto para revisar y abordar las infracciones e implantar políticas de uso aceptable y herramientas de gestión de datos.

Algunas de las funciones que ofrece Aware incluyen flujos de trabajo basados en reglas que cumplen con las normativas de cumplimiento más comunes, como HIPAA, HITRUST, FINRA, PCI y GDPR, CCPA/CPRA. Además, Aware apoya el cumplimiento de las políticas internas con una supervisión diseñada para detectar datos específicos de la empresa, códigos, contraseñas y mucho más.