Explorar Windows Information Protection

Completado

En las empresas modernas, el aumento de la colaboración entre usuarios internos y externos y la proliferación de dispositivos propiedad de los empleados, conocidos como BYOD, ha aumentado el riesgo de fuga de datos accidental o maliciosa. Este riesgo ha aumentado con el uso extendido de las aplicaciones móviles, los servicios basados en la nube y las redes sociales.

De forma habitual, las empresas han controlado el acceso a los datos asignando credenciales a los usuarios y configurando permisos y listas de acceso a los recursos. Sin embargo, el control de acceso de los usuarios no impide que los usuarios autorizados compartan accidentalmente archivos o envíen datos por correo electrónico. Lo que ha dado lugar a nuevos sistemas de protección. Además, la mayoría de las tecnologías basadas en la autenticación/autorización para la protección dependen de la ubicación, lo que significa que normalmente sólo funcionan mientras los datos están en un entorno controlado por la empresa.

Prevención de pérdida de datos

Las organizaciones utilizan sistemas de prevención de pérdida de datos (DLP) para superar las limitaciones de los sistemas basados en la autenticación y la autorización. Un sistema de DLP detecta y controla automáticamente los datos que deben ser protegidos y proporciona una manera de proteger los datos a pesar de la ubicación. Un sistema DLP requiere:

• Reglas que identifican y clasifican los datos que necesitan protección.
• Aplicaciones de software como Microsoft Exchange o Microsoft SharePoint para analizar los datos y ver si coinciden con las reglas.
• Una forma de definir qué acciones deben llevar a cabo las aplicaciones cuando encuentran datos que coinciden con una norma.

El reto de un sistema DLP es que cuantas más reglas se creen, más probable será que los trabajadores sientan que el sistema les impide realizar su trabajo, y encontrarán formas de eludir el sistema Por ejemplo, podrían simplemente compartir datos enviando por correo electrónico vínculos a un sistema desprotegido en lugar de adjuntar archivos a un sistema de correo electrónico que contenga protección DLP. A pesar de las mejoras introducidas en la DLP de Microsoft SharePoint Online y Microsoft Exchange Online, como la posibilidad de permitir al usuario anular las reglas, la experiencia puede resultar irritante para los usuarios e interrumpir su flujo de trabajo natural.

Information Rights Management

Como hemos dicho antes, las empresas necesitan proteger los datos una vez hayan salido de la compañía. Para responder a esta necesidad, se utilizan sistemas basados en la administración de los derechos de la información (IRM) para hacer de la protección una parte inherente a los documentos. Un empleado puede crear un documento y luego determinar el nivel de protección que debe aplicarse al documento, como por ejemplo impedir que usuarios que no estén autorizados puedan abrir el documento. En algunos escenarios, la protección también puede aplicarse automáticamente, basándose en las condiciones que el administrador defina.

Los sistemas de IRM requieren la configuración de entornos de cliente y servidor. La aplicación del cliente que abre un documento es responsable de procesar las reglas de protección después de comprobar con el componente servidor del sistema las actualizaciones de autorización.

Ni el IRM ni la DLP son suficientes si un empleado llegase a dejar la organización con un dispositivo personal, o simplemente decida que ya no quiere permitir que la organización administre el dispositivo personal. La mejor opción, en este caso, es borrar los datos de la organización del dispositivo personal. Los sistemas de protección implementados en la plataforma Microsoft 365, permiten que esto pueda hacerse. Estos sistemas permiten crear reglas basadas en qué aplicaciones pueden acceder a los datos de la organización. También le permite decidir a qué datos pueden acceder esas aplicaciones.

Azure Rights Management (Azure RMS), como parte clave de Azure Information Protection, proporciona un sistema de IRM que funciona con WIP para ampliar la protección luego de que los datos salgan del dispositivo del usuario. Al trabajar con Azure Information Protection, Intune puede controlar las acciones que los usuarios realizan con los datos protegidos, incluso fuera del entorno de la organización.

Además, las aplicaciones que pueden distinguir entre los datos de la organización y los personales, conocidas como aplicaciones habilitadas, permiten aplicar las reglas WIP sólo a los datos propiedad de la organización, dejando intactos los datos personales. Esto significa, por ejemplo, que un empleado puede utilizar de forma segura Microsoft Word en un dispositivo personal tanto para los documentos de la empresa como para los personales, sin temor a perder sus datos personales cuando deje la organización.