Esplorare Windows Information Protection
Nelle aziende moderne, l'aumento della collaborazione tra utenti interni ed esterni e la proliferazione di dispositivi di proprietà dei dipendenti, noti come BYOD, ha aumentato il rischio di perdite accidentali o dannose di dati. Questo rischio è cresciuto con l'uso esteso di app per dispositivi mobili, servizi basati sul cloud e social media.
In passato le aziende controllavano l'accesso ai dati assegnando credenziali agli utenti e configurando autorizzazioni ed elenchi di accesso sulle risorse. Tuttavia, poiché il controllo degli accessi utente non impedisce agli utenti autorizzati di condividere accidentalmente file o inviare dati nei messaggi di posta elettronica, sono emersi nuovi sistemi di protezione. Inoltre, la maggior parte delle tecnologie basate sull'autenticazione/autorizzazione per la protezione dipende dalla posizione e quindi in genere funzionano solo mentre i dati si trovano in un ambiente controllato dall'azienda.
Prevenzione della perdita dei dati
Le organizzazioni usano sistemi di prevenzione della perdita dei dati (DLP) per superare le limitazioni dei sistemi basati sull'autenticazione e sull'autorizzazione. Un sistema di prevenzione della perdita dei dati rileva e controlla automaticamente i dati che devono essere protetti e fornisce un modo per proteggerli nonostante la posizione. Un sistema di prevenzione della perdita dei dati richiede:
- Regole che identificano e categorizzano i dati da proteggere.
- Applicazioni software come Microsoft Exchange o Microsoft SharePoint per analizzare i dati e verificare eventuali corrispondenze alle regole.
- Un modo per definire le azioni che le applicazioni devono eseguire quando trovano dati corrispondenti a una regola.
La sfida di un sistema di prevenzione della perdita dei dati sta nel fatto che più regole si creano, più probabilmente i dipendenti avranno la sensazione che il sistema impedisce loro di lavorare e troveranno modi per aggirarlo. Potrebbero ad esempio condividere i dati inviando tramite posta elettronica i collegamenti a un sistema non protetto anziché allegare i file a un sistema di posta elettronica che include la protezione per la prevenzione della perdita dei dati. Nonostante i miglioramenti apportati alla prevenzione della perdita dei dati in Microsoft SharePoint Online e Microsoft Exchange Online, ad esempio consentendo agli utenti di eseguire l'override delle regole, l'esperienza può risultare irritante per gli utenti e interrompere il flusso di lavoro naturale.
Gestione dei Diritti Informativi
Come indicato in precedenza, le aziende devono proteggere i dati dopo che questi sono usciti dall'azienda. Per soddisfare questa esigenza, si usano sistemi basati su Information Rights Management (IRM) per rendere la protezione una parte intrinseca dei documenti. Un dipendente può creare un documento e quindi determinare il livello di protezione da applicargli, ad esempio impedire agli utenti non autorizzati di aprire il documento. In alcuni scenari la protezione può essere applicata automaticamente, in base alle condizioni definite dall'amministratore.
I sistemi Information Rights Management richiedono la configurazione dell'ambiente client e dell'ambiente server. L'app client che apre un documento è responsabile dell'elaborazione delle regole di protezione dopo il controllo con il componente server del sistema per verificare la presenza di aggiornamenti delle autorizzazioni.
Né Information Rights Management né la prevenzione della perdita dei dati sono sufficienti nello scenario in cui un dipendente lascia l'organizzazione con un dispositivo personale o semplicemente decide di non voler più consentire all'organizzazione di gestire il dispositivo personale. In questo caso, l'opzione migliore consiste nell'eliminare i dati dell'organizzazione dal dispositivo personale. I sistemi di protezione implementati nella piattaforma Microsoft 365 consentono di eseguire questa operazione. Questi sistemi permettono di creare regole basate su quali app possono accedere ai dati dell'organizzazione. Consentono inoltre di decidere a quali dati tali app possono accedere.
Azure Rights Management (Azure RMS) estende la protezione per i dati oltre al dispositivo di un utente tramite un sistema Information Rights Management che si integra con Windows Information Protection (WIP), un componente fondamentale di Azure Information Protection. Intune consente di controllare le azioni degli utenti con dati i protetti, anche all'esterno dell'ambiente aziendale.
Inoltre, le app che possono distinguere tra dati aziendali o personali, note come app con riconoscimento dei dati aziendali, consentono di applicare regole di Windows Information Protection (WIP) solo ai dati di proprietà dell'organizzazione, lasciando intatti i dati personali. Ciò significa, ad esempio, che un dipendente può usare in modo sicuro Microsoft Word su un dispositivo personale sia per i documenti aziendali che per quelli personali, senza timore di perdere i dati personali se dovesse lasciare l'organizzazione.