6 Min. de lectura<\/p>\n
Un empleado escribe una pregunta inofensiva en Microsoft 365 Copilot y, de repente, en los resultados aparece la lista de salarios de la direcci\u00f3n. No ha habido ning\u00fan hackeo. Copilot simplemente encontr\u00f3 lo que ya estaba mal compartido. Es exactamente aqu\u00ed donde fracasan la mayor\u00eda de los despliegues: en la gobernanza, no en la t\u00e9cnica.<\/strong><\/p>\n Relacionado:<\/span>API Security: el punto ciego detr\u00e1s de cada integraci\u00f3n<\/a> \/<\/span> La vulnerabilidad que solo la IA encontr\u00f3<\/a><\/p>\n \u00bfQu\u00e9 es el oversharing?<\/strong> El oversharing designa archivos y carpetas que est\u00e1n compartidos con m\u00e1s personas de las necesarias, por ejemplo con toda la empresa en lugar de con un equipo. Mientras nadie busque activamente, esto rara vez llama la atenci\u00f3n. Un asistente de IA busca de forma sistem\u00e1tica.<\/p>\n Microsoft 365 Copilot accede a los mismos datos, permisos y directivas que ya rigen en el tenant. Hereda el entorno exactamente tal como est\u00e1. Donde los permisos han crecido durante a\u00f1os sin que nadie los haya ordenado, el asistente expone estas brechas en segundos, en lugar de mantenerlas ocultas tras rutas de carpetas anidadas.<\/p>\n Lo \u00fanico nuevo es la velocidad. Lo que antes requer\u00eda una b\u00fasqueda manual, Copilot lo entrega con una sola pregunta.<\/p>\n Microsoft Purview es la herramienta adecuada, pero no funciona sola. Aplica las reglas de protecci\u00f3n de forma fiable sobre los datos que ya est\u00e1n clasificados y etiquetados con etiquetas de confidencialidad. El contenido sin etiquetar solo queda cubierto si los an\u00e1lisis y la clasificaci\u00f3n autom\u00e1tica est\u00e1n configurados. El trabajo real reside en esa clasificaci\u00f3n; la herramienta se encarga despu\u00e9s de aplicarla.<\/p>\n Por eso Microsoft recomienda un enfoque combinado. SharePoint Advanced Management ayuda a revisar y ordenar el inventario de sitios. Purview asigna etiquetas de confidencialidad, realiza evaluaciones de riesgo de datos y ofrece medidas contra el uso compartido excesivo a gran escala. Por encima de todo esto, DSPM for AI act\u00faa como punto de entrada para hacer visible y controlable el uso de la IA en la organizaci\u00f3n.<\/p>\n \u00bfQu\u00e9 es DSPM for AI?<\/strong> Data Security Posture Management para IA es el panel de control de Microsoft para identificar qu\u00e9 aplicaciones de IA acceden a qu\u00e9 datos y para aplicar sobre ellos reglas de seguridad y cumplimiento normativo.<\/p>\n El error m\u00e1s costoso es empezar deprisa. Quien activa Copilot antes de que los permisos est\u00e9n bien configurados traslada la limpieza al entorno en producci\u00f3n, donde cada resultado puede convertirse en una fuga de datos potencial. El orden sensato es: primero revisar el inventario, despu\u00e9s clasificar, luego hacer la evaluaci\u00f3n de riesgos y, por \u00faltimo, activar Copilot.<\/p>\n Eso requiere tiempo de preparaci\u00f3n, y ah\u00ed es precisamente donde suele fallar. Un despliegue que internamente se ha vendido como una victoria r\u00e1pida de productividad no encaja bien con el anuncio de que antes hay semanas de higiene de datos por delante. Aun as\u00ed, es la opci\u00f3n m\u00e1s econ\u00f3mica. Una fuga de datos tras el lanzamiento cuesta m\u00e1s que cualquier retraso previo.<\/p>\n En 2026, Copilot est\u00e1 pasando en muchas organizaciones del piloto al uso habitual. Los despliegues que se estancan rara vez lo hacen por falta de licencias o funcionalidades. Lo que les falta es la base de permisos y clasificaci\u00f3n sobre la que el asistente podr\u00eda trabajar de forma segura.<\/p>\n Copilot no a\u00f1ade una nueva vulnerabilidad, sino que pone al descubierto las existentes. El asistente solo accede a los datos que el usuario correspondiente ya tiene permiso para ver. El riesgo surge por los permisos demasiado amplios que antes nadie hab\u00eda detectado.<\/p>\n Purview es un componente central, pero no una protecci\u00f3n completa. Solo aplica reglas sobre los datos clasificados. Para el contenido sin etiquetar y los permisos mal configurados, se necesita adem\u00e1s SharePoint Advanced Management y una evaluaci\u00f3n rigurosa del riesgo de datos.<\/p>\n El uso compartido excesivo hace referencia a archivos y sitios que est\u00e1n compartidos m\u00e1s ampliamente de lo necesario, a menudo con toda la organizaci\u00f3n. Un asistente de IA hace que estos permisos sean aprovechables mediante una simple b\u00fasqueda y, con ello, visibles.<\/p>\n Un aplazamiento generalizado es la reacci\u00f3n equivocada. Lo razonable es un piloto limitado en un \u00e1rea ordenada, mientras en paralelo se clasifica el resto del inventario. La higiene de datos es la que marca el ritmo.<\/p>\n Lo m\u00e1s sensato es una interacci\u00f3n entre seguridad inform\u00e1tica, protecci\u00f3n de datos y los propietarios de los datos en los departamentos especializados. La clasificaci\u00f3n solo la conoce el departamento especializado; la seguridad se encarga de hacerla cumplir. Una propiedad clara evita que el trabajo quede sin atender.<\/p>\n Recomendaciones de la redacci\u00f3n<\/p>\nLo m\u00e1s importante en resumen<\/h2>\n
\n
Qu\u00e9 sale mal en la primera b\u00fasqueda<\/h2>\n
Por qu\u00e9 Purview solo no es suficiente<\/h2>\n
\n\n
\n \nPaso previo al despliegue<\/th>\n Herramienta<\/th>\n Qu\u00e9 ocurre si no se hace<\/th>\n<\/tr>\n<\/thead>\n \n Ordenar el inventario de sitios<\/strong><\/td>\n SharePoint Advanced Management<\/td>\n Copilot busca en cada carpeta olvidada<\/td>\n<\/tr>\n \n Clasificar los datos<\/strong><\/td>\n Etiquetas de confidencialidad de Purview<\/td>\n el contenido sensible queda desprotegido<\/td>\n<\/tr>\n \n Hacer visibles los accesos de la IA<\/strong><\/td>\n DSPM for AI<\/td>\n nadie sabe qu\u00e9 lee la IA<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n El orden que salva el despliegue<\/h2>\n
Preguntas frecuentes<\/h2>\n
\u00bfHace Copilot mis datos menos seguros?<\/h3>\n
\u00bfEs suficiente Microsoft Purview para proteger Copilot?<\/h3>\n
\u00bfQu\u00e9 es el uso compartido excesivo en el contexto de Microsoft 365?<\/h3>\n
\u00bfDeber\u00edamos por tanto posponer Copilot?<\/h3>\n
\u00bfQui\u00e9n deber\u00eda asumir la responsabilidad de la preparaci\u00f3n?<\/h3>\n