Clasifica y protege los datos de tu empresa con Azure Information Protection
By J.M Castillo, Post
Office 365 no es solo correo. Es mucho más. Constituye una solución para ganar en productividad y reducir costes, aumentando por tanto la rentabilidad y facilitando el trabajo diario. Office 365 también es seguridad de la información, y uno de sus muchos componentes es Azure Information Protection. Este producto aparentemente desconocido nos ayuda a proteger nuestra información esté donde esté y con independencia de como haya llegado a cualquier lugar.
Las empresas se preocupan cada vez más de la protección de su información, y no es para menos. Las nuevas leyes en protección de datos, y el robo de información se han convertido en elementos a tener en cuenta.
Actualmente la mayoría de las empresas no tienen ningún tipo de protección en sus archivos una vez salen de su zona de confort. Lo que es lo mismo, mientras los archivos están en su red están seguros, pero, ¿Qué ocurre cuando estos archivos son enviados por correo electrónico o copiados en una memoria portátil?
¿A qué empresa no le gustaría tener controlada esa información, y poder impedir que el archivo se abra, por ejemplo, por un extrabajador que ha robado información confidencial?
Supongamos un ejemplo claro:
Tenemos en la empresa una biblioteca de documentos con información confidencial. Un operario envía por correo un documento de esa biblioteca por error. Si esa información no está protegida puede ser una catástrofe estratégica y conllevar denuncias, multas, juicios, pérdida de credibilidad, etc. En cambio, si está protegida, podemos impedir que ese archivo se abra incluso si se ha enviado, reenviado y copiado, ya que ese archivo está encriptado y antes de abrirse consulta su estado a través de Azure Information Protectión.
Azure Information Protection es una solución basada en la nube que ayuda a una organización a clasificar, etiquetar y proteger sus documentos y correos electrónicos. Esto lo pueden hacer automáticamente los administradores que definen reglas y condiciones, manualmente los usuarios, o mediante una combinación donde los usuarios reciben recomendaciones.
Hace mucho tiempo, cuando se introdujo el servicio Azure Rights Management, ya estábamos realmente entusiasmados con el concepto dado que los datos estaban básicamente disponibles para los empleados y los departamentos de TI no tenían herramientas suficientes para abordar los riesgos de seguridad. Pero una que vez la información salía de la empresa no era nada sencillo proteger los datos.
En ese momento, Azure RMS no era tan intuitivo y fácil de usar, pero la introducción de Azure Information Protection ha permitido cambiar y optimizar muchos aspectos de la herramienta. En VS Sistemas hemos decidido apostar por este producto y ofrecer las garantías de uso y gestión acordes a la importancia de la seguridad, dado que muchos de nuestros clientes están ya combatiendo día a día en su empresa la importancia de la protección de datos.
Clasificar datos – Comenzar el viaje
Esta evolución requiere de varios aspectos, como la formación y concienciación de los usuarios. La mejor práctica cuando se comienza con Azure Information Protection es recomendar la clasificación (en lugar de imponerla por políticas). La investigación de Microsoft muestra que el 70% de las personas en realidad clasifican los datos después de implementar Azure Information Protection en base a las recomendaciones. Siempre se comenzaría con un grupo piloto con personas que están deseosas de usar la nueva tecnología y pueden ayudarlo a hacer que su plan de implementación sea aún más fácil. Como guía, recomendamos utilizar el siguiente programa de 5 pasos:
1. Clasificar: Tomar pasos simples genera alto impacto rápidamente.
2. Etiquetar: ¡Prueba, escalona el despliegue y aprende! No puedes saberlo todo.
3. Proteger: Controlar el flujo de correo electrónico interno sensible en todos los dispositivos
4. Monitor: Compartir archivos protegidos con socios comerciales
5. Responder: Enseñar y permitir a los usuarios revocar el acceso
Sería ideal si su organización ya cuenta con una Política de gestión de datos para que pueda alinear las etiquetas con ella. Y sería aún mejor si los empleados ya están familiarizados con esta política. De lo contrario, puede usar las etiquetas predeterminadas en Azure Information Protection: Personal, Public, Internal, Confidential y Secret. Algunas personas pueden argumentar que esto debería ser tarea de administración, pero el departamento TIC puede tomar la iniciativa para crear conciencia y facilitar los conceptos básicos desde una perspectiva tecnológica.
Etiqueta los datos
Utilizamos las etiquetas de protección de información de Azure para aplicar la clasificación a los documentos y correos electrónicos. Al hacer esto, la clasificación es identificable en todo momento, independientemente de dónde se almacenan los datos o con quién se compartan. Las etiquetas persistentes incluyen marcas visuales, como un encabezado, pie de página o marca de agua. Los metadatos se agregan a los archivos y encabezados de correo electrónico en texto sin cifrar para que otros servicios (como las soluciones de prevención de pérdida de datos) puedan identificar la clasificación y tomar las medidas adecuadas.
Por ejemplo, el siguiente documento ha sido clasificado como "JmCastillo". Las propiedades contienen entradas personalizadas para que otras aplicaciones puedan inspeccionar este valor y puedan crear una entrada de auditoría o evitar que se envíe fuera de la organización.
También si accedemos al archivo nos informa que está Protegido:
Cómo se protegen los datos
Azure Information Protection utiliza Azure RMS de forma predeterminada para proteger sus datos. Azure RMS se integra con otras aplicaciones y servicios de la nube de Microsoft, como Office 365 y Azure Active Directory. También se puede utilizar con sus propias aplicaciones de línea de negocio y soluciones de protección de información de proveedores de software, ya sea que estas aplicaciones y soluciones se encuentren en las instalaciones o en la nube.
Esta tecnología de protección utiliza políticas de encriptación, identidad y autorización. De manera similar a las etiquetas persistentes, la protección que se aplica mediante Rights Management se mantiene con los documentos y correos electrónicos, independientemente de la ubicación, dentro o fuera de su organización, redes, servidores de archivos y aplicaciones. Esta solución de protección de la información lo mantiene en control de sus datos, incluso cuando se comparte con otras personas.
Junto a Azure RMS, también es posible traer su propia clave (BYOK) o mantener su propia clave (HYOK).
Compartir con socios comerciales
En nuestra experiencia como consultores de TI, creemos que muchos documentos son (parte de) un conjunto de entregables para el cliente. Algunos de estos documentos no están destinados a estar disponibles para el público, e incluso hemos visto ejemplos en los que nuestros diseños fueron "reutilizados" en el diseño de un competidor. Anteriormente no era posible otorgar simplemente acceso a un documento para un dominio completo, necesitaba proporcionar básicamente todas las direcciones de correo electrónico del cliente, y si alguien nuevo se unía a una de las dos organizaciones el acceso no se otorgaba automáticamente.
Para apoyar escenarios como este se presentó la colaboración de la empresa. Esta nueva característica permite que el contenido esté protegido para todos los usuarios dentro de una organización específica, por ejemplo, cualquier usuario que trabaje en una empresa externa.
¿Cómo se ve esto para los usuarios? Muy simple y fácil, solo protege tu documento y comparte. Por ejemplo, si el documento está clasificado como confidencial y ambas organizaciones pueden abrirlo, el empleado hace clic en Confidencial en la barra de Protección de información de Azure y selecciona la organización de confianza.
Además, si hemos definido las empresas que podemos compartir y las condiciones en las que compartimos podemos seleccionarla de esta forma.
Tan pronto como se proporcionó la etiqueta, la plantilla de Azure RMS que proporciona a cualquiera de los permisos de la empresa al documento se aplicó automáticamente.
Gestión de los archivos una vez han salido de nuestro ámbito
Pero ¿podemos bloquear nuestros archivos una vez han salido de nuestro ámbito o se han multiplicado las copias del archivo?
Sí, se realiza a través de un portal web:
Simplemente, iniciamos sesión para tener acceso a una vista del estado actual.
Aquí podemos ver, los accesos permitidos, delegados, las veces que se ha abierto y las que están revocadas. Desde el momento de su revocación sólo el usuario que lo ha creado puede abrirlo.
En este laboratorio el usuario Jose Manuel Castillo ha creado un archivo, y protegido con Azure información protección. El usuario Sergio Rojas lo ha recibido por correo, y Daniel Sepulveda lo ha abierto copiado desde un “pen Drive”. La cuenta de Hotmail, es un usuario externo sin permisos.
Una vez revocado solo Jose Manuel Castillo pudo abrir el archivo.
Otras vistas interesantes del portal son:
–Vista detallada, aperturas de archivos y denegaciones de aperturas:
–Países donde se ha abierto o intentado abrir el archivo.
-Por último, también tenemos la posibilidad de recibir un email informándonos del uso: ya sea un usuario que abra el documento o un usuario que no tenga acceso y se le deniegue.
Sin duda Azure Information Protection es una herramienta muy eficaz para el control de la información. ¿Maneja tu empresa datos especialmente protegidos por GPDR? ¿Datos médicos, información de menores, informes jurídicos?. Si tienes dudas o quieres conocer más información, contacta con nosotros y te asesoraremos en Azure Information Protection y en el envío de correos encriptados desde Office 365. Son herramientas imprescindibles para mantener siempre el control y acceso de la información.
Referencias:
https://docs.microsoft.com/es-es/azure/information-protection/rms-client/client-admin-guide
https://docs.microsoft.com/es-es/azure/information-protection/how-does-it-work