Windows Information Protection
Nelle aziende moderne, l'aumento della collaborazione tra utenti interni ed esterni e la proliferazione di dispositivi di proprietà dei dipendenti, noti come BYOD, hanno aumentato il rischio di perdita accidentale o dannosa di dati. Questo rischio è aumentato con l'uso esteso di app per dispositivi mobili, servizi basati sul cloud e social media.
Tradizionalmente, le aziende hanno controllato l'accesso ai dati assegnando le credenziali agli utenti e configurando le autorizzazioni e gli elenchi di accesso nelle risorse. Tuttavia, il controllo degli accessi degli utenti non impedisce agli utenti autorizzati di condividere accidentalmente file o inviare dati nei messaggi di posta elettronica, il che ha portato a nuovi sistemi di protezione. Inoltre, la maggior parte delle tecnologie basate su autenticazione/autorizzazione per la protezione dipende dalla posizione, il che significa che in genere funzionano solo mentre i dati si trovano in un ambiente controllato dall'azienda.
Prevenzione della perdita dei dati
Le organizzazioni usano sistemi di Prevenzione della perdita dei dati (DLP) per superare le limitazioni dei sistemi basati su autenticazione e autorizzazione. Un sistema DLP rileva e controlla automaticamente i dati che devono essere protetti e offre un modo per proteggere i dati nonostante la posizione. Un sistema DLP richiede:
- Regole che identificano e classificano i dati che richiedono protezione.
- Le applicazioni software come Microsoft Exchange o Microsoft SharePoint per analizzare i dati per verificare se corrispondono alle regole.
- Un modo per definire le azioni che le applicazioni devono eseguire quando trovano dati corrispondenti a una regola.
La sfida di un sistema DLP è che più regole si creano, più è probabile che i lavoratori sentiranno che il sistema impedisce loro di svolgere il lavoro e troveranno il modo di ignorare il sistema. Ad esempio, potrebbero semplicemente condividere dati inviando collegamenti tramite posta elettronica a un sistema non protetto invece di allegare file a un sistema di posta elettronica che contiene la protezione DLP. Nonostante i miglioramenti apportati alla Prevenzione della perdita dei dati in Microsoft SharePoint Online e Microsoft Exchange Online, ad esempio la possibilità di consentire a un utente di ignorare le regole, l'esperienza può essere stridente per gli utenti e interrompere il flusso di lavoro naturale.
Information Rights Management
Come abbiamo detto in precedenza, le aziende devono proteggere i dati dopo che lasciano l'azienda. Per soddisfare questa esigenza, i sistemi basati su Information Rights Management (IRM) vengono usati per rendere la protezione una parte intrinseca dei documenti. Un dipendente può creare un documento e quindi determinare il livello di protezione da applicare al documento, ad esempio impedire agli utenti non autorizzati di aprire il documento. In alcuni scenari è anche possibile applicare automaticamente la protezione, in base alle condizioni definite dall'amministratore.
I sistemi IRM richiedono la configurazione di ambienti client e server. L’app client che apre un documento è responsabile dell'elaborazione delle regole di protezione dopo il controllo con il componente server del sistema per verificare la disponibilità di aggiornamenti delle autorizzazioni.
Né IRM né DLP sono sufficienti nello scenario in cui un dipendente lascia l'organizzazione con un dispositivo personale o semplicemente decide che non vuole più consentire all'organizzazione di gestire il dispositivo personale. L'opzione migliore, in questo caso, consiste nell'eliminare i dati dell'organizzazione dal dispositivo personale. I sistemi di protezione implementati nella piattaforma Microsoft 365 consentono di eseguire questa operazione. Questi sistemi consentono di creare regole in base alle quali le app possono accedere ai dati dell'organizzazione. Viene consentito anche di decidere a quali dati possono accedere tali app.
Azure Rights Management (Azure RMS), come parte fondamentale di Azure Information Protection, fornisce un sistema IRM che funziona con WIP per estendere la protezione dopo che i dati lasciano il dispositivo di un utente. Lavorando con Azure Information Protection, Intune può controllare le azioni eseguite dagli utenti con dati protetti, anche all'esterno dell'ambiente aziendale.
Inoltre, le app che possono indicare la differenza tra i dati aziendali o personali, note come app con riconoscimento dei dati, consentono di applicare regole WIP solo ai dati di proprietà dell'organizzazione, lasciando intatti i dati personali. Ciò significa, ad esempio, che un dipendente può usare in modo sicuro Microsoft Word su un dispositivo personale per documenti aziendali e personali, senza timore di perdere i dati personali quando egli lascia l'organizzazione.