La seguridad en la nube es un ciclo

Cómo ´Entra y Purview' forman juntos una arquitectura de protección moderna

Los entornos cloud modernos son hoy estándar, pero están lejos de ser completamente seguros, ya que identidades, aplicaciones y datos deben protegerse por igual.

Aunque la infraestructura y las aplicaciones han sido flexibles y escalables desde hace tiempo, surgen preguntas críticas de seguridad:

• ¿Quién tiene permitido hacer qué?
• ¿Quién protege la información sensible y cómo?
• ¿Cómo se mantiene la protección cuando roles, procesos y ubicaciones de almacenamiento cambian constantemente?

Muchas organizaciones dependen de soluciones individuales o medidas reactivas. Sin embargo, en entornos cloud modernos, la protección de identidades y de datos ya no puede considerarse por separado. Lo que se necesita es un enfoque arquitectónico integrado que trate identidades de usuario y flujos de datos como parte de un ciclo común de seguridad.

Con Entra y Purview, Microsoft ofrece dos servicios especializados que, combinados, pueden formar la base de una arquitectura de seguridad moderna:

• Microsoft Entra combina la gestión de identidades y accesos, incluyendo control basado en roles, controles de acceso, autenticación multifactor (MFA) y acceso condicional.
• Microsoft Purview proporciona mecanismos de protección para datos estructurados y no estructurados, incluyendo clasificación, prevención de pérdida de datos (DLP), políticas basadas en roles y evaluaciones de cumplimiento.

Cuando se combinan correctamente, esto genera flujos de seguridad consistentes:

¿Quién puede acceder a qué? ¿Cómo se clasifican los datos? ¿Qué medidas de protección se aplican cuando la información se comparte o se mueve? ¿Cómo puede todo el proceso ser monitoreado y ajustado de forma continua?

Por qué la arquitectura de seguridad necesita ser replanteada hoy

Los requisitos de seguridad de IT han cambiado de manera fundamental en los últimos años. Los modelos tradicionales basados en perímetros, es decir, arquitecturas de seguridad que asumen que todo lo que está dentro de la red corporativa es confiable, ya no funcionan en un mundo moderno basado en la nube.

Existen muchas razones para esto: la transformación digital obliga a las empresas a operar de manera más rápida, flexible y conectada. Los empleados trabajan en movilidad, en modalidades híbridas o remotas. Los datos ya no se almacenan de manera centralizada en los servidores propios de la empresa, sino que se distribuyen en aplicaciones SaaS, servicios en la nube y plataformas de colaboración.

Al mismo tiempo, los requisitos se incrementan debido a normativas legales como el Reglamento General de Protección de Datos (GDPR), regulaciones sectoriales de cumplimiento y estándares internacionales como ISO 27001 y NIS2.

Por ejemplo, en muchas empresas los empleados utilizan Microsoft 365, Teams, SharePoint, OneDrive u otros servicios similares, donde identidades y datos ya no se gestionan en un centro de datos tradicional. Esto genera nuevos riesgos de shadow IT:

• ¿Quién tiene acceso a qué carpetas?
• ¿Se está compartiendo información sensible accidentalmente con terceros?
• ¿Cómo se puede controlar esto cuando los permisos se asignan de manera dinámica, por ejemplo mediante grupos de Teams, estructuras de datos autogestionadas o procesos automatizados?

Esta situación muestra que las organizaciones necesitan un modelo de seguridad dinámico, que se adapte a las prácticas reales de trabajo y trate identidades y datos como objetivos de protección igualmente importantes. Solo considerando ambos aspectos de manera integrada se pueden minimizar eficazmente los riesgos y cumplir con los requisitos normativos.

Microsoft Entra: identidad como primera línea de defensa

Microsoft Entra constituye la base para una gestión segura de identidades y accesos. Con funcionalidades como single sign-on (SSO), autenticación multifactor (MFA), acceso condicional y gestión de identidades privilegiadas (PIM), los riesgos se pueden mitigar desde etapas tempranas. Entra ayuda a definir claramente quién puede acceder a qué recursos y bajo qué condiciones.

Microsoft Purview: protección y gobernanza de datos en el flujo de información

Purview complementa la protección de identidades con protección del contenido. La información sensible puede detectarse y clasificarse de forma automática o manual, y protegerse incluso en correos electrónicos, documentos o almacenamiento en la nube (incluidos proveedores externos).

Las políticas de prevención de pérdida de datos (DLP), la clasificación de datos y los informes de cumplimiento permiten un control de extremo a extremo, con condiciones dinámicas de acceso a la información.

Seguridad como ciclo: integración estratégica de Entra y Purview

Cuando Entra se combina con Purview, se crea un ciclo de seguridad:

• La identidad determina si y cómo se pueden usar los datos.
• Purview verifica y protege automáticamente la información.

Esto permite controlar los flujos de datos sin obstaculizar los procesos de trabajo. El modelo es escalable, personalizable y auditable, ideal para industrias reguladas.

En la práctica: implementación en bancos y empresas industriales

En industrias reguladas, los requisitos de protección de datos, trazabilidad y control de accesos son especialmente altos. Por ello, los beneficios de vincular estratégicamente Entra y Purview son significativos.

Ejemplo: sector financiero

En bancos y aseguradoras, documentos confidenciales como informes anuales, auditorías o planes internos requieren reglas estrictas de acceso.

Entra asegura que solo personas autorizadas (auditores internos, asistentes ejecutivos o directivos) tengan acceso temporal.

Purview monitoriza automáticamente que la información no sea compartida, copiada o almacenada de forma no autorizada.

• Ventaja clave: los permisos y medidas de protección se ajustan dinámicamente. Si cambian los roles, las políticas DLP y los permisos se aplican automáticamente, sin necesidad de ajustes manuales. Esto genera una lógica de seguridad que crece junto con los procesos organizativos.

Ejemplo: industria manufacturera

Las empresas con desarrollo de productos propio deben proteger diseños, códigos fuente o documentación técnica, especialmente al colaborar con socios externos.

Entra separa claramente los roles: el equipo interno tiene acceso completo, mientras los proveedores externos solo pueden acceder a áreas definidas.

Purview clasifica automáticamente el contenido relevante (por ejemplo, “confidencial” o “interno”) y aplica políticas DLP para evitar fugas a través de correo o compartición en la nube.

En proyectos con alta relevancia de tiempo al mercado, esta protección evita fugas de información prematuras y asegura trazabilidad auditada para la gerencia o el departamento legal.

• Ambos ejemplos muestran que la combinación de Entra y Purview ofrece mucho más que funciones de seguridad: genera confianza en los procesos, reduce riesgos operativos y facilita el cumplimiento normativo. El modelo de seguridad se percibe no como una restricción rígida, sino como una parte viva de la creación de valor digital.

Buenas prácticas para tu organización

Una arquitectura de seguridad holística con Entra y Purview no se construye de la noche a la mañana, sino gradualmente. Estas buenas prácticas ayudan a empezar y garantizar robustez a largo plazo:

• Considerar identidad y protección de datos conjuntamente: Enfocarse solo en uno de los dos aspectos deja riesgos críticos fuera de la vista.
• Entender la arquitectura de seguridad como un proceso continuo: Roles cambian, se agregan nuevas herramientas y evolucionan los requisitos legales. Programa revisiones periódicas y adapta las medidas de protección dinámicamente.
• Definir modelos de gobernanza y flujos de protección desde el inicio: Establece cómo se clasifica la información, quién puede procesarla y cómo se protege. Usa Purview para convertir esto en políticas técnicas aplicables.
• Automatizar para minimizar errores manuales: Permisos manuales o decisiones ad hoc son propensos a errores. Usa funciones de Entra como grupos dinámicos, permisos con fecha de expiración o flujos de trabajo automáticos.
• Combinar Entra y Purview de manera focalizada y expandir progresivamente: Comienza con un área concreta (por ejemplo, datos financieros sensibles o proyectos externos) y expande modularmente con reglas DLP adicionales, políticas de acceso condicional o modelos de clasificación.

Estos cinco principios permiten construir una arquitectura de seguridad que funcione hoy y siga siendo escalable, conforme y trazable mañana.

Conclusión

La seguridad en la nube no termina con la tecnología; comienza con una comprensión bien pensada de la arquitectura.

Como solución nativamente integrada, Microsoft Entra y Purview ofrecen los bloques centrales: protección de identidades y datos, de manera integrada, escalable y práctica.