El pecado original que Copilot hizo evidente

 

Antes de Copilot, el oversharing en SharePoint era ese problema que todos sabíamos que teníamos pero que nadie quería abrir. “Le pongo Everyone al sitio mientras lo configuro y luego lo limpio”. Y nadie lo limpiaba. Pasaban tres años.

 

Copilot llegó y rompió la complicidad colectiva.

Los datos que más he citado este año vienen de un reporte de Concentric: 16% de los datos críticos de negocio están sobre-compartidos, con un promedio de 802 mil archivos en riesgo por organización. Yo en mi tenant medí algo parecido: 14% en una primera pasada. Ese 14% incluía nóminas, contratos con clientes, una carpeta entera de la junta directiva accesible a “Everyone except external users”. Que es básicamente “todo el mundo de la empresa”.

 

¿Por qué Copilot lo hace evidente? Porque acelera el descubrimiento. Antes, esos archivos solo aparecían si alguien sabía buscar el nombre exacto. Copilot, con prompt y contexto, los superficie. “Resúmeme lo que sepamos de la compensación del C-suite”. Y boom, te aparece un PDF de la junta que estaba mal compartido desde 2022.

Microsoft ha intentado dar herramientas. La principal es Restricted SharePoint Search, que ayuda a limitar qué sitios entran al pool de búsqueda de Copilot. Pero hay que leer la letra chica: Microsoft mismo dice que no es un control de seguridad. Es un control de visibilidad temporal. No cambia permisos. Y si un usuario entró al sitio recientemente o le compartieron un enlace por Teams, el sitio aparece igual. Restringir la búsqueda es ganar tiempo, no resolver el problema.

 

La solución de fondo es arreglar permisos. Lo cual nadie quiere oír.

 

Lo que me funcionó

Empecé por las “joyas de la corona” — conté con el dueño de cada función qué cinco repositorios le quitarían el sueño si se filtraran. Quince personas, setenta y cinco repositorios. Ahí concentré el primer esfuerzo. No traté de arreglar todo SharePoint en un trimestre porque no se puede.

Después usé SharePoint Advanced Management (SAM, viene incluido con Copilot) para la evaluación masiva. El reporte inicial es brutalmente honesto. Te enseña sitios inactivos con miembros que ya no están. Sitios con permisos heredados rotos. Sitios donde “Everyone” tiene Edit. Para varios equipos, esa visibilidad fue suficiente para que se pusieran a limpiar sin pelearse conmigo.

Después puse políticas defensivas: nada nuevo se crea con “Everyone except external” como permiso por defecto. Forzamos labels de sensibilidad en plantillas. Auditamos creaciones nuevas semanalmente.

 

Lo que no funcionó: tratar de “limpiar todo” con un script. Cada sitio tiene un dueño y una historia. Los scripts son útiles para encontrar problemas, no para resolverlos.

Lo que tampoco funcionó: meterle miedo a la gente con ejemplos hipotéticos. Lo que sí funcionó fue mostrar a un VP, en su pantalla, que su asistente podía hacer un prompt en Copilot y obtener información de su salario que no debería ver. Diez minutos. Esa demo aceleró tres meses de cleanup.

Mi conclusión a estas alturas: Copilot no creó el problema de oversharing. Lo aireó. Y eso es bueno, aunque duela.

Si yo te diera un solo consejo para tu siguiente reunión interna sobre este tema, sería este: deja de hablar de “permisos” y empieza a hablar de “dueño accountable de cada repositorio”. Cuando hay un nombre y apellido al lado de cada sitio, las cosas se mueven. Cuando es “el equipo de IT”, se quedan dormidas.

 

Restricted SharePoint Search no es lo que crees

 

Hay una pequeña batalla que doy cada mes con alguien nuevo que llega al equipo: “ya activamos Restricted SharePoint Search, así que el tema de oversharing está controlado”. No.

Tengo que escribir esto porque me pasa con demasiada frecuencia.

Restricted SharePoint Search hace una cosa muy concreta: limita qué sitios entran al pool que Copilot consulta y que aparece en búsqueda corporativa. Es un control de discoverability. Útil. No discuto que sea útil. Lo uso. Lo recomiendo.

 

Lo que no es

No es un control de seguridad. Microsoft mismo lo dice en la documentación oficial, en negritas. No cambia permisos. Si el archivo existía y el usuario tenía acceso antes, sigue teniendo acceso después.

No garantiza que un sitio fuera del allowed list no aparezca. Si el usuario tocó el sitio en los últimos N días, si se lo compartieron por Teams, si se lo enviaron por Outlook, ese sitio puede entrar al contexto igual. Microsoft lo documenta también, pero con menos negritas.

No es solución permanente. Microsoft lo presenta explícitamente como un parche temporal mientras arreglas permisos. La traducción del marketing al ingeniero es: úsalo mientras limpias, no como sustituto del cleanup.

Cómo lo usé en el rollout

Cuando hice el rollout de Copilot el año pasado, lo activé en día uno. Eso me dio algo de aire mientras montábamos el programa de remediación. Le metí 200 sitios al allowed list — los que sabíamos que estaban limpios y eran útiles. El resto quedaba excluido del pool por defecto.

Resultado bueno: la calidad de las respuestas de Copilot bajó al inicio. Era predecible — limitaste su contexto. Algunos usuarios protestaron. “Copilot ya no encuentra mis documentos”. Tuvimos que explicar que era temporal. Gestión del cambio que no se puede saltar.

Resultado malo: los falsos positivos de seguridad de algunos managers explotaron. “Yo le pregunté X y me sacó un PDF de un sitio que pensaba que estaba bloqueado”. Investigamos. Sí, el sitio estaba bloqueado en el allowed list. Pero el manager lo había abierto la semana anterior porque alguien le compartió un link. Copilot lo trajo del cache de actividad reciente del usuario.

Microsoft no está mintiendo cuando documenta esa limitación. Pero la mayoría de equipos no la entienden hasta que la viven.

Después de seis meses de cleanup serio (con SAM, Purview, y mucho café), pude empezar a quitar sitios del exclude. Hoy uso Restricted SharePoint Search con una lista mucho más permisiva, porque ya no necesito el dique. Tengo permisos correctos.

La trampa para nuevos usuarios

Se ve fácil de configurar. Lo activas, metes una lista, y parece que terminaste. Y por seis meses, todo parece estar bien. Hasta que un auditor te pregunta cómo garantizas el control. Y le tienes que decir, mirando al suelo, que no es un control de seguridad. Es un freno suave.

Mi recomendación práctica: trátalo como herramienta táctica de transición. Día 1 lo activas con allowed list pequeña. A medida que limpias permisos, expandes la lista. A los 12 meses, idealmente, ya no la necesitas, o la usas solo para áreas con compliance específico. Es un puente, no la torre.

Y, por favor, no le digas a tu C-suite que “tienes oversharing controlado” si tu única defensa es Restricted SharePoint Search. Porque cuando alguien encuentre el archivo equivocado y suba la queja, el reporte forense va a doler.