Information Rights Management: Guía fundamental
Los humanos somos seres caprichosos. Nos las ingeniamos para compartir y descargar información de una manera u otra, incluso cuando se supone que no debemos hacerlo.
A menudo este mal hábito no tiene mayores repercusiones. Sin embargo, seguro que coincides conmigo en que, cuando se trata de información corporativa de relevancia estratégica, o bien aquella que está sometida a normativa de protección de datos, entonces el asunto se vuelve mucho más grave.
La puesta en funcionamiento de una solución de IAM (Identity Access Management) es el primer paso dentro las capas de seguridad de la información que tu empresa necesita. Sobre ello hemos publicado un white paper que te ayudará a tener lista tu organización.
Ahora bien, en el momento en que un empleado de tu empresa o bien un tercero legitimado acceden a la información, se vuelve a generar una situación de vulnerabilidad que debe ser atajada.
¡Y lo que es peor!
A lo largo de los últimos años, el riesgo potencial ha aumentado exponencialmente con la proliferación de los sistemas de correo electrónico, las herramientas de compartición y sincronización de datos en la nube, así como las políticas de BYOD.
La cuestión es que las organizaciones pueden estar perfectamente legitimadas para compartir información confidencial con terceras personas, como parte de su actividad. El problema es qué ocurre con los archivos compartidos, una vez están en poder de dichas personas.
Y es aquí donde entran en juego las soluciones IRM (Information Rights Management).
En WhiteBearSolutions tratamos de ayudar a nuestros clientes con el desarrollo de soluciones de gestión de identidades y gestión de acceso, así como EFSS (Enterprise File Sync & Share) que combinadas con tecnologías IRM evitan que la información corporativa sea almacenada y compartida por nuestros usuarios a través de herramientas que están fuera de todo control del personal de seguridad IT.
Si elegimos la solución de EFSS adecuada, y la combinamos con soluciones IRM, toda la información compartida dentro y fuera de tu compañía está permanentemente protegida, con independencia de dónde se encuentre y quién intente acceder a ella o utilizarla de forma indebida.
Qué es IRM (Information Rights Management)
IRM es una tecnología empleada para la protección frente al acceso no autorizado de todo tipo de documento o archivo que contenga información sensible. De esta manera, IRM protege los archivos contra la copia, visualización, impresión, reenvío, eliminación y edición no autorizadas.
A menudo, también se utiliza el acrónimo DRM (Data Rights Management), aunque prefiero dejar esta denominación para lo que se conoce como Digital Rights Management. Esta última no es otra cosa que el mismo tipo de tecnología aplicada específicamente al contenido sometido a propiedad intelectual y que se distribuye en formato comercial (CDs, DVDs, Blueray, etc.).
IRM se centra fundamentalmente en la protección de información corporativa relevante, la cual se comparte entre los empleados de la compañía y se intercambia con terceras partes, tales como proveedores, clientes, socios y demás stakeholders.
Por qué necesitas una solución IRM
La gestión de los datos y el cumplimiento normativo se han convertido en uno de los principales retos corporativos dentro de un entorno cada vez más global, plural y descentralizado.
El filtrado de información confidencial puede tener repercusiones desastrosas sobre la imagen y competitividad de tu negocio, motivo por el cual una solución IRM es un factor imprescindible en tu infraestructura IT.
En este sentido, recientemente he publicado un artículo sobre cómo cumplir con la normativa de protección de datos que te puede ser de gran ayuda.
A continuación, hacemos hincapié en los principales motivos por los que una compañía necesita tener una política de gestión de datos.
Protección de la propiedad intelectual
Obviamente, la protección de la propiedad intelectual figura entre una de las prioridades.
Cumplimiento normativo de protección de datos
En la actualidad, la legislación referente a la protección de datos afecta a la práctica totalidad de los sectores empresariales, con especial incidencia en el ámbito de las finanzas, los seguros y la salud.
Protección frente a la pérdida de datos
En anteriores publicaciones, he explicado extensamente las principales amenazas para la información de tu compañía, así como las consecuencias de la pérdida temporal o permanente de la información:
Refuerzo de la política móvil
El teletrabajo y el uso de dispositivos personales dentro de la empresa son dos de los eslabones débiles de la cadena de seguridad de la información.
Todos los archivos confidenciales cuyo acceso tenga lugar a través de dispositivos ajenos a la compañía, deberían contar con la correspondiente protección.
Características fundamentales de una solución IRM
Cifrado
Con el fin de garantizar la protección de esta información, las soluciones IRM proceden al cifrado y la atribución de permisos de usuario directamente en los archivos que contienen dicha información.
Esta capa de protección se mantiene con los archivos allí donde vayan, contribuyendo así a reforzar la seguridad proporcionada por las soluciones de IAM, las cuales suelen centrarse en el entorno que rodea a los archivos.
Reglas de uso
Por otra parte, también es posible proceder al establecimiento de reglas o limitaciones en el uso de los archivos protegidos y la información contenida en los mismos.
Esto incluye restricciones referentes a múltiples casos de uso como, por ejemplo:
- Copia del archivo.
- Copia/Pega de la información.
- Captura de pantalla.
- Impresión.
- Borrado o edición.
Además, también es posible establecer reglas de uso y acceso basadas en parámetros multidimensionales, tales como:
- Dispositivo utilizado.
- Geolocalización.
- Dirección IP.
- Momento de acceso.
Como puedes ver, el objetivo prioritario es proteger la información y prevenir un uso indebido durante todo su ciclo de vida.
Integración con soluciones DLP (Data Loss Prevention)
Gracias a la integración de la tecnología IRM con las soluciones DLP es posible blindar aquella información que resulta más crítica, mediante los correspondientes derechos de acceso.
¿Conocías esta tecnología? ¿Has tenido que hacer frente anteriormente a las problemáticas que he mencionado en el artículo? Coméntame tu experiencia y estaré encantado de ayudarte.