Con la llegada de Microsoft Copilot a los entornos corporativos, el Grupo Telefónica identificó la necesidad de asegurar la información compartida para una adopción responsable y segura. El despliegue de esta herramienta basada en IA Generativa requería asegurar previamente el cumplimiento de los estándares de gobernanza del dato, especialmente considerando la escala global de la organización y la naturaleza sensible de la información manejada.

La arquitectura heredada de compartición de ficheros en Microsoft 365, basada en la delegación total a los usuarios (modelo de “propietario del contenido”), suponía un riesgo elevado en términos de sobre compartición y exposición de información crítica.

La iniciativa combinó auditoría, remediación y despliegue de controles técnicos, requiriendo fuerte colaboración entre las áreas de Seguridad Global, IT Corporativa, Microsoft y las unidades de negocio (OBs).

Puntos relevantes del caso de éxito

Diagnóstico y remediación de la sobrecompartición de datos en Microsoft 365

Se identificaron riesgos de exposición masiva en SharePoint y OneDrive mediante herramientas avanzadas como SAM (SharePoint Advanced Management) y scripts personalizados. Se priorizaron casos críticos, especialmente todas las comparticiones fuera de las políticas actuales de la organización y la información contenida en cuentas de alta dirección y áreas sensibles. Se ejecutó una remediación combinada, manual y automática, que permitió corregir permisos que exponían excesivamente la información como “Everyone” y “Anyone” y mitigar accesos no controlados a información corporativa.

Como resultado se obtuvo un entorno seguro y gobernado para la activación de Microsoft 365 Copilot

Se analizaron más de más de un millón de elementos, eliminando miles de permisos inseguros. Se corrigieron casos de sobre compartición en cuentas clave y áreas sensibles. Se consiguió un entorno preparado, con controles de seguridad, etiquetado y visibilidad del dato. El Grupo Telefónica dispone ahora de un modelo escalable de gobernanza aplicable a futuras iniciativas de IA.

Evolución hacia una gobernanza dinámica del dato

Una vez se lleve a cabo la integración de Copilot, el Grupo Telefónica continuará avanzando en la madurez de su modelo de gobernanza del dato. Se prevé el despliegue global de capacidades de etiquetado automático y de políticas DLP para Endpoint, así como la revisión continua del modelo de clasificación. El ecosistema se mantendrá bajo control mediante auditorías recurrentes y mecanismos de seguimiento técnico y organizativo.

Activación de controles de protección y preparación del entorno para Copilot

Con los riesgos mitigados, se proporcionó la capacitación y el licenciamiento para implantar soluciones de protección de la información incluidas en Microsoft 365 E5 como DLP y Purview. Un etiquetado común, automático y adaptado al funcionamiento de Copilot garantiza que acceda únicamente a información correctamente protegida, bajo criterios de trazabilidad y mínima exposición.

Coordinación, automatización y foco en el dato

El éxito del proyecto se basa en una aproximación estructurada con casos de uso definidos y priorizados por nivel de criticidad. La automatización desempeñó un papel clave en la remediación masiva de riesgos, permitiendo actuar de forma ágil y controlada sobre grandes volúmenes de datos. Asimismo, la adopción de soluciones, como Purview, junto con una estrategia clara de formación y concienciación, consolidó un modelo de gobernanza del dato preparado para soportar las exigencias del uso corporativo de Inteligencia Artificial Generativa.