SharePoint
Buscar en este sitio
AE

EMASA · Sitio Datos Sensibles

Privado · Solo miembros autorizados · Tenant EMASA.onmicrosoft.com

Repositorio sensible de Datos Médicos – Demo conceptual

Demo no conectada a entorno real
Ejemplo de protección documental sobre Microsoft 365 / SharePoint
🎤 Nota para el ponente: Esta demo simula cómo una carpeta sensible que hoy vive en un file server SMB pasa a un repositorio SharePoint gobernado. Todos los escenarios son simulados en frontend — no hay conexión con un tenant real.

1 Arquitectura resumida

Qué demostramos: sustituir carpeta SMB por repositorio controlado

Usuarios

RF
Rafael Fuentes
Autorizado · Responsable Médico
Permitido
JV
José Vargas
Autorizado · RRHH Salud
Permitido
UI
Usuario Interno Genérico
No autorizado · resto de plantilla
Denegado

Repositorio

Biblioteca SharePoint
· Datos Médicos ·
Tenant M365 EMASA
Sustituye a \\fileserver\RRHH\DatosMedicos (SMB tradicional)

Controles aplicados

Permisos únicos (herencia rota)
MFA / Acceso reforzado
Bloqueo de compartición externa
Protección documental (Purview / IRM)
Auditoría de actividad

2 Biblioteca de documentos

Cada archivo está etiquetado como “Datos médicos” y protegido
Nombre Sensibilidad Acceso Estado Auditoría Modificado
W
Informe_Medico_001.docx
 Datos médicos Solo 2 usuarios Protegido Activa Hace 2 h · RF
X
Historial_Empleado_023.xlsx
 Datos médicos Solo 2 usuarios Protegido Activa Ayer · JV
P
Baja_Laboral_2026.pdf
 Datos médicos Solo 2 usuarios Protegido Activa Hace 3 d · JV
W
Revision_Medica_Confidencial.docx
 Datos médicos Solo 2 usuarios Protegido Activa Hace 5 d · RF

3 Panel de permisos

Aquí se ve el “quién puede qué” de la biblioteca
Herencia de permisos rota — esta biblioteca NO hereda los permisos del sitio. Gestiona sus propios accesos.

Acceso concedido

RF
Rafael Fuentes
rafael.fuentes@emasa.com · Lectura y edición
Permitido
JV
José Vargas
jose.vargas@emasa.com · Lectura y edición
Permitido

Usuarios excluidos

Resto de miembros del sitio
Grupo EMASA Miembros · sin acceso a esta biblioteca
Denegado
Usuarios externos / invitados
Cualquier identidad fuera del tenant EMASA
Denegado

Políticas activas

Bloquear compartición
Impide compartir archivos con externos o generar enlaces anónimos.
Requerir MFA
Exige segundo factor para acceder a la biblioteca (CA policy).
Protección documental (IRM/Purview)
Los documentos descargados siguen cifrados y con restricciones.
Auditoría activa
Todos los eventos se registran en el log de auditoría.
🎤 Qué explicar: Estos interruptores son la traducción visual de políticas reales en M365 (permisos únicos, Conditional Access, etiquetas de sensibilidad y auditoría unificada).

4 Flujos de demo guiados

Pulsa un escenario para simularlo — se registrará en auditoría
Resultado del escenario — Ningún escenario en ejecución —
Pulsa un botón de escenario para simular el flujo.
Verás el resultado aquí y en el panel de auditoría.

5 Panel de auditoría

Cada acción queda registrada — equivalente al log unificado de Purview
0 eventos registrados
Hora Usuario Acción Documento Resultado
Aún no hay eventos. Ejecuta un escenario para poblar el log.

6 Mensaje final para cliente

Cierre claro de la conversación con EMASA

¿Qué aporta este modelo a EMASA?

Una forma más gobernable, auditable y escalable de proteger información médica sensible que una carpeta SMB tradicional.
No es un cifrado transparente de carpeta SMB
No reemplaza funcionalmente a soluciones tipo EFS/cifrado de volumen sobre recursos compartidos SMB.
Alternativa más gobernable y segura en M365
Identidad, permisos, MFA y protección documental integrados de forma nativa.
Control, protección y auditoría
Acceso restringido a 2 usuarios, protección que viaja con el archivo y log unificado de actividad.
Escalable a gobierno del dato
Base para políticas futuras de clasificación, DLP, retención y gobierno con Microsoft Purview.

7 Prerequisitos y licencias para el piloto

Qué necesita EMASA para activar este modelo de forma real

Licenciamiento de los 2 usuarios autorizados

Microsoft 365 E3
Recomendado
Licencia mínima recomendada para Rafael Fuentes y José Vargas.
  • Habilita Sensitivity Labels en SharePoint y OneDrive
  • Incluye Entra ID P1 — base para MFA y Acceso Condicional
  • Azure Information Protection (AIP) P1 incluido
  • Microsoft 365 Apps for enterprise para protección documental
M365 Business Premium
Piloto viable
Alternativa válida para un piloto funcional de este caso, con algunas limitaciones.
Sí incluye
  • SharePoint Online como repositorio dedicado
  • Apps de escritorio de Microsoft 365
  • Azure Information Protection incluido
  • Etiquetas de sensibilidad manuales (Microsoft: Manual Sensitivity Labeling = Yes)
  • MFA y Acceso Condicional (Entra ID P1 incluido)
No incluye (de base)
  • Etiquetado automático o basado en políticas (reservado a E5 / IPG)
  • Etiqueta de sensibilidad por defecto en biblioteca de SharePoint (E5 / Purview Suite / IPG)
  • Extensión automática de permisos a documentos descargados (E5 + SharePoint Advanced Management)
Microsoft 365 E5
Opcional / avanzado
Solo si se requiere coautoría en escritorio sobre documentos cifrados o las capacidades avanzadas no presentes en Business Premium.
  • Co-authoring sobre archivos cifrados (Microsoft marca esta capacidad en E5)
  • AIP P2 + clasificación automática y basada en políticas
  • Etiqueta por defecto en bibliotecas SharePoint
  • Extensión de permisos a documentos descargados (con SharePoint Advanced Mgmt)
  • DLP avanzado, Insider Risk, eDiscovery Premium
No recomendable para estos 2 usuarios críticos
Evitar
Business Standard / F3 dejan fuera capacidades clave del escenario:
  • No incluyen Azure Information Protection
  • No incluyen Microsoft 365 Apps for enterprise
  • La protección documental queda limitada en escritorio

Prerequisitos técnicos del tenant

Activar Azure Rights Management (Azure RMS) en el tenant. Sin RMS no hay cifrado persistente en los documentos.
Habilitar Sensitivity Labels para SharePoint y OneDrive. Imprescindible para aplicar etiquetas a bibliotecas y archivos.
Publicar las políticas de etiquetas a los usuarios afectados (mínimo RF y JV) desde el portal de Microsoft Purview.
Opcional recomendado para el piloto
Etiqueta por defecto en la biblioteca de Datos Médicos, para que todo archivo nuevo herede la protección automáticamente.
Extensión de permisos de SharePoint a documentos descargados, para reforzar la protección fuera del repositorio.
Versión breve · nota al pie
Base recomendada: 2 usuarios con Microsoft 365 E3. Business Premium también permite un piloto funcional con etiquetas manuales, aunque sin etiqueta por defecto en biblioteca, sin etiquetado automático ni extensión de permisos a descargas. E5 solo si se requiere coedición en escritorio sobre archivos cifrados o esas capacidades avanzadas. Tenant con Azure Rights Management activo, Sensitivity Labels habilitadas en SharePoint/OneDrive y políticas publicadas.
EMASA · Demo conceptual de protección documental sobre Microsoft 365 / SharePoint · Simulación frontend · {{YEAR}}