Copilot, ¿qué es? ¿Cómo desplegarlo de forma segura?

Microsoft Copilot es una nueva característica integrada en varias aplicaciones de Microsoft 365, como Word, Excel, PowerPoint y Teams. Su finalidad, generación de contenido, sugerencias y realización de tareas automatizadas con las indicaciones y datos disponibles. Sin embargo, las preocupaciones de seguridad y privacidad pueden impedir que las empresas lo implementen. En este post te sugerimos una serie de pasos de cara a la preparación de la organización para Copilot antes y después de la implementación.

¿Qué es Microsoft Copilot?

Microsoft Copilot, lanzado a finales de 2023, es una herramienta de productividad impulsada por IA que se compone dos elementos distintos:

  1. Everyday AI companion: Integrado en los navegadores Microsoft Edge y Chrome, Copilot opera como asistente digital, proporcionando soporte en tiempo real para la navegación web y las tareas en línea. Por ejemplo: resumir el contenido de la página web, sugerir información relevante durante las búsquedas o redactar correos electrónicos dentro de las interfaces web, entre otros.
  2. Microsoft 365 Copilot: Se incrusta/ Embebido en aplicaciones de Microsoft 365 como Word, Excel, PowerPoint y Outlook. Ofrece apoyo al usuario con tareas como:
  • Generación creativa: Sugerir estilos de escritura, esquemas o elementos visuales para presentaciones y documentos.
  • Incrementar la eficiencia: Automatizar tareas repetitivas, resumir datos complejos o encontrar información relevante en correos electrónicos y documentos.
  • Mejora de habilidades: Proporcionar orientación contextual y retroalimentación para mejorar las habilidades de escritura, presentación y análisis de datos.

Copilot todavía está en desarrollo, y promete incrementar la productividad individual y del equipo en diversas tareas y flujos de trabajo. Se integra con las herramientas existentes de Microsoft y su tiene su foco en la asistencia al usuario que buscan aprovechar la IA en su trabajo diario.

Cómo funciona Microsoft Copilot

Copilot hereda los permisos de usuario existentes en el acceso a los datos, lo que puede facilitar al resto de usuarios acceder a información confidencial a la que no deberían. En segundo lugar, Copilot facilita la creación de nuevos contenidos que pueden contener información sensible.

Las directrices de Microsoft explican cómo usar Copilot dentro del ámbito de los permisos y directivas existentes. Sin embargo, esto puede no ser suficiente para evitar la exposición de los datos y los datos confidenciales pueden terminar en lugares como recursos compartidos personales de OneDrive o ser accesibles para usuarios no autorizados. Para desplegar Copilot de forma segura, las organizaciones deben tomar medidas específicas antes y después del despliegue que minimicen los riesgos relacionados con la exposición de datos y el acceso no autorizado

Antes de Copilot: Pasos para implementar Copilot de forma segura y eficaz

Las empresas y organismos públicos que deseen desplegar Copilot para Microsoft 365 deben tener al menos 300 licencias E3 o E5 en su organización. Aunque Microsoft sugiere actualizar a Windows 11 para mejorar la experiencia del usuario, Copilot también está disponible en Windows 10. Una vez confirmada la elegibilidad, los administradores pueden comenzar el proceso de instalación y configuración. A continuación, se muestran siete pasos clave para ayudarte a implementar Copilot:

Las empresas y organismos públicos que deseen desplegar Copilot para Microsoft 365 deben tener al menos 300 licencias E3 o E5 en su organización. Aunque Microsoft sugiere actualizar a Windows 11 para mejorar la experiencia del usuario, Copilot también está disponible en Windows 10. Una vez confirmada la elegibilidad, los administradores pueden comenzar el proceso de instalación y configuración. A continuación, se muestran siete pasos clave para ayudarte a implementar Copilot:

Paso 1: Identificar los activos críticos

Es muy probable que ya hayas hecho este ejercicio, por si acaso repasamos brevemente. Identificaremos todos los activos de datos, su ubicación, nivel de sensibilidad, los controles de acceso asociados y patrones de uso. Esto implica el análisis de todas las identidades, cuentas, archivos, carpetas, permisos de sitio, vínculos compartidos y etiquetas de confidencialidad.

Paso 2. Administrar y gestionar las etiquetas de confidencialidad.

Una clasificación automática del dato sensible con etiquetas básicas o inexactas puede dar lugar a un etiquetado excesivo, provocando excesivas restricciones y por tanto fricción con el usuario. Por otro lado, confiar únicamente en los usuarios para etiquetar el dato sensible no es la mejor idea, ya que la mayoría de los datos permanecen sin etiquetar, lo que hace que los controles sean inútiles para esos datos.

Paso 3: Revisar el acceso a los recursos críticos

Utiliza una solución de seguridad de datos que pueda identificar de manera eficiente la ubicación de los datos críticos, determinar quién tiene acceso a ellos, realizar un seguimiento del uso y la propiedad, y evitar que personas no autorizadas accedan a ellos o los expongan a través de Copilot. En el caso de los datos altamente sensibles, como la propiedad intelectual o información personal sobre clientes o pacientes, es esencial evaluar cuidadosamente el nivel de acceso y asegurarse de que es adecuado.

Paso 4: Automatiza la gestión de riesgos

Puede utilizar la automatización para gestionar la gestión de riesgos y el acceso obsoleto, lo que agiliza los esfuerzos de cumplimiento. Una solución integral de seguridad de datos ayudará a eliminar enlaces y permisos obsoletos y riesgosos, al tiempo que eliminará el acceso que comprometa los datos confidenciales. Configure las automatizaciones una vez y déjelas ejecutar, lo que garantiza el cumplimiento de las políticas sin una amplia intervención manual. Esto también puede incluir el tratamiento de las solicitudes de aprobación y la realización de acciones programadas.

Paso 5: Aprovechar las características de seguridad de Purview

Una vez correctamente clasificados los datos y resueltos los riegos más apremiantes, se pueden activar las medidas que ofrece Microsoft Purview: control de acceso, cifrado, etc.

Después de Copilot: Pasos para mantener sus datos seguros

Una vez que haya implementado Copilot, hay pasos específicos que puede seguir para asegurarse de que cualquier comportamiento malintencionado o arriesgado se identifique y corrija rápidamente.

Paso 1: Monitorización del acceso a datos confidenciales

Para reducir el tiempo de detección y respuesta ante cualquier amenaza a los datos confidenciales, es vital monitorizar cómo se utilizan todos los datos. Copilot facilita la búsqueda y el acceso a información confidencial, así como la supervisión de todas las modificaciones de datos/objetos, eventos de autenticación, creación de vínculos, etc. Cuando un usuario accede inesperadamente a una gran cantidad de información confidencial que no ha visto previamente o cuando un dispositivo o una cuenta se ve comprometida por un actor malintencionado, necesitará una solución que entregue notificaciones en tiempo real que facilite una respuesta rápida.

Paso 2: Automatizar las políticas para el control de permisos.

Los usuarios crean constantemente nuevos datos, colaboran entre distintos equipos y por tanto introducen posibles vulnerabilidades. Para proteger eficazmente la información confidencial, es esencial implementar herramientas que identifiquen y aborden continuamente las posibles brechas de seguridad. Una plataforma de seguridad de datos es ideal para supervisar el acceso de los usuarios, detectará los datos críticos expuestos y analizará los patrones de uso, lo que le permitirá mantener estrictos protocolos de seguridad de datos. Esta monitorización continua conserva las medidas de seguridad establecidas antes de implementar Copilot, lo que le permite utilizarlo de forma segura y productiva a lo largo del tiempo.

Con el potencial de los LLM (Large Language Models) y la IA generativa, Microsoft Copilot puede mejorar la productividad y aumentar el valor del contenido generado a lo largo del tiempo. Sin embargo, una implementación incorrecta puede conducir a la exposición de datos confidenciales, lo que resulta en una posible pérdida y uso indebido de datos.

Desde MICROMOUSE te recomendamos nuestra plataforma de seguridad de datos de Lepide. Lepide DSP proporciona visibilidad sobre quién tiene acceso a tus datos confidenciales y cómo se comparten. También cuenta con un módulo de clasificación de datos que descubre y clasifica automáticamente los datos confidenciales, etiquetando los archivos adecuadamente para una mejor protección.

¿Todavía no conoces Lepide DSP? ¿Habalamos de CIBERSEGURIDAD?