Llegamos a ustedes gracias a:



Reportajes y análisis

¿Por qué necesita DRM para sus documentos?

DRM

[01/07/2016] Paga 1,99 dólares para descargar un libro electrónico de Kindle que está protegido por DRM para que no pueda compartir el contenido; y si Amazon quiere, puede anular el documento y ya no podrá leerlo más. ¿La lista de precios actual de su empresa está protegida también?

Con la gestión de los derechos de información (a menudo conocido como DRM empresarial, abreviatura de gestión de derechos digitales en inglés), puede asegurarse de que la lista de precios solo se comparta con sus clientes, impide enviarla a sus competidores y puede bloquearla automáticamente cuando sale con nuevos precios. O podría compartir las especificaciones con varios proveedores en la cadena de suministro durante un proceso de licitación y luego bloquear a todos, excepto al proveedor ganador hasta que se finalice el contrato. Puede asegurarse de que los contratistas no estén trabajando con planes desactualizados, haciendo que el antiguo plan caduque cuando hay una actualización. El seguimiento y la visibilidad es útil para el cumplimiento, así como la seguridad; podría realizar un seguimiento de cuántas personas han abierto la última versión del manual del empleado, o ver si un documento que ha compartido con un pequeño equipo ha sido leído realmente por cientos de personas.

La gestión de derechos es una tecnología madura para la empresa -versiones de la misma han estado en Windows Server desde el año 2003, por ejemplo-; pero mientras que el analista de Gartner, Mario de Boer, señala que "EDRM es más popular de lo que era", también dice "los despliegues amplios en la empresa todavía son poco frecuentes".

Una reciente encuesta realizada por el proveedor de colaboración segura Intralinks, encontró que solo el 53% de las empresas clasifica la información para alinearse con los controles de acceso que se supone la protegen. Eso es especialmente problemático durante los procesos confidenciales, pero que requieren rapidez, como fusiones y adquisiciones; si está preocupado por un acuerdo que se cae, es tentador comenzar a enviar los archivos no protegidos de Excel en lugar de conceder accesos correctamente.

Esa es la razón por la que probablemente una encuesta de ejecutivos involucrados en fusiones y adquisiciones hecha por Ansarada, (cuyo servicio Secure Office está diseñado para el intercambio de documentos durante dichos procesos) encontró que el 71% había sufrido pérdida de datos. Y no tiene que ser la NSA para sufrir de ataques internos; a principios de este año, el regulador de medios del Reino Unido, Ofcom, descubrió que un ex empleado había descargado seis años de datos sobre las emisoras de televisión antes de retirarse, y rápidamente se los ofreció a su nuevo empleador, un organismo de radiodifusión rival.

Con la gestión de derechos, Ofcom podría haber hecho que esos documentos pierdan valor, porque una vez que el empleado los dejó, habría perdido sus derechos para abrir los documentos -y podrían haber sido bloqueados para su impresión o copia. Las nuevas leyes de privacidad de datos, como el Reglamento general de la UE sobre protección de datos, hará que ese tipo de pérdidas sea aún más caro.

"La forma tradicional de la protección de datos se centra en el control", señala de Boer. "El control de las redes ('hemos bloqueado los datos en el centro de datos'), el control de dispositivos ('hemos habilitado el cifrado AES-256 en todos los móviles y cifrado los discos completos en Windows'), aplicaciones ('todos utilizan nuestras soluciones de contenedores'), y el control de los servicios ('solo damos acceso a la aplicación a personas autorizadas')".

Dan Plastina, que dirige ofertas de gestión de los derechos de Microsoft Azure, incluyendo Azure RMS, señala que las empresas están empezando a darse cuenta de que proteger el perímetro y los dispositivos ya no es suficiente, y que necesitan un enfoque centrado en los datos.

"Usted tuvo una vez un perímetro, pero con los años ha abierto muchos agujeros en la pared", anota Plastina. "Los datos no se están guardando donde desea que se guarden. Le guste o no, esto está sucediendo. Lo que veo es que la gente está reconociendo que el problema es mucho más grande de lo que pensaban, y creo que algunas organizaciones están en el punto donde se están dando cuenta de que la identidad y los datos son las cosas que necesitan para centrarse, en oposición a la clásica administración del dispositivo. La gestión de dispositivos no va a desaparecer, pero la idea de que los datos y la identidad tienen que estar casados y juntos de manera más agresiva está resonando".

Él describe el núcleo de la gestión de derechos como "protección de los datos de identidad; usted encripta el archivo de modo que solo la persona adecuada tiene acceso a él".

Algunas industrias ya han adoptado la gestión de derechos, en particular las finanzas, automoción y fabricación. "Son personas que, o bien quieren o tienen que proteger los datos", señala Plastina. "Hay organizaciones que tienen una gran cantidad de IP y quieren protegerlo, y luego hay datos financieros y PII dentro de los bancos. Algunas organizaciones financieras con las que trabajamos protegen una gran cantidad de documentos todos los días, con la gestión de derechos".

Pero la gestión de derechos es importante para una gama mucho más amplia de industrias, sostiene. "Sus datos están viajando a diferentes repositorios y tiendas. Los datos van a la nube, que se le da a los socios; ese contenido claramente ya no está bajo su control. Esta tecnología está en un punto donde la gente debería prestarle atención. El uso de los datos en sus empresas está absolutamente más allá del límite; sus datos están por todo el lugar y ellos no tienen ni idea".

Evitar los extremos

El problema no es con la calidad de la tecnología, y la mayoría de las organizaciones tienen la gestión de identidad madura que les permite utilizar la tecnología de gestión de derechos. "El desafío más común no es técnico sino cultural", explica de Boer. "Debe esperar que los cambios en los flujos de trabajo comunes sean más difíciles de planificar y llevar a cabo que la solución de problemas técnicos".

Eso significa no ser demasiado ambicioso cuando empieza a usar la gestión de derechos y evitar dejarles demasiado a los usuarios y bloquear demasiado los datos. "La mayoría de las implementaciones exitosas empiezan poco a poco, con las políticas aplicadas a los repositorios más sensibles. A continuación, controle el uso, aprenda sobre la marcha, y detecte deficiencias. Con el tiempo, se puede ampliar a los casos de uso más complejos".

Hay algunas cosas de las que la gestión de los derechos no podrá protegerle, al igual que un empleado tomando una fotografía de su pantalla con un teléfono inteligente, pero eso no es un problema de la tecnología; se trata de un problema de gestión (y en ese momento, el empleado no puede afirmar que compartían la información accidentalmente).

Por lo general, el despliegue de la gestión de derechos se encuentra con dos problemas, anota Plastina. "O la gente deja todo en manos de los usuarios o se vuelven locos en cuanto a la amplitud y dicen 'voy a proteger todo". "Ninguno de los enfoques funciona bien. Los líderes de TI no tienen un buen sentido de lo que es sensible o no", señala, por lo que el liderazgo empresarial debe participar en la decisión de qué proteger. No se necesitan tantas políticas como se podría pensar; las políticas para datos estrictamente confidenciales, internos y públicos, cubrirán a la mayor parte de las empresas.

Él sugiere comenzar por pensar en sus datos más sensibles y donde están almacenados. "No todos los datos son sensibles. Si el 5% es altamente secreto, tome ese 5% y enfoque su energía en eso. Si está en el negocio de la barra de caramelo, entonces SAP es la mayor parte de sus datos sensibles; la logística, la información de pedidos, inventario, finanzas. "Esos datos están protegidos hasta que ejecute un informe y cree un PDF o un archivo de Excel y empiece a enviarlo a su alrededor. "En ese caso, compre Halocore de SECUDE y céntrese en SAP y manténgalo dentro de la empresa; todos esos datos se cifrarán en su nacimiento y no se podrán filtrar fuera de la empresa. Esto comienza rápidamente a poner un cinturón a sus datos".

El siguiente paso podría ser el particionamiento del correo electrónico interno; por ejemplo, mensajes y documentos enviados dentro de los equipos de recursos humanos y de asistencia legal. "Hoy en día el valor de los datos de toda la empresa es accesible a todos en la compañía. Si los datos muy sensibles están protegidos, entonces esa partición se ejecutará por sí misma y TI será notificado de que Daniel del departamento legal está tratando de acceder a documentos recursos humanos", explica Plastina, "y alguien podría tomar medidas".

Sugiere un simple truco para conseguir que los equipos se adhieran a la clasificación y etiquetado de sus propios contenidos. "Active el RMS; nadie se dará cuenta de que lo está. Y luego vaya a un departamento como recursos humanos o asistencia legal y envíeles un correo electrónico marcado como "No reenviar, y dígales que no pueden reenviarlo, e incluya una captura de pantalla que muestra cómo hacerlo. "Es simplemente la naturaleza humana. "Ellos van a mirarlo, intentarán reenviarlo, se darán cuenta que no pueden -y empezarán a usarlo ellos mismos. Ahora ha particionado datos de su organización".

No se puede confiar en la clasificación ad hoc, pero al ser demasiado restrictiva también es contraproducente, señala Plastina. "Las organizaciones tendrán que mostrar cierta moderación. Empieza por ir tras el correo electrónico y SAP, pero con políticas que sean algo flexibles para mantener la productividad. "También le mostrará el flujo de trabajo real en su negocio, que podría no ser el que usted piensa. Recuerde que la gestión de derechos ha de aplicarse a los ejecutivos, que tendrán que aceptar algunos cambios en su flujo de trabajo. Teniendo en cuenta los últimos acontecimientos a gran escala de pérdida de datos en las noticias, puede no requerir tanto esfuerzo como piensa para obtener una adopción", sugiere de Boer.

Si tiene una política de "no reenviar para el correo electrónico enviado por su equipo de alta dirección, es posible que desee darle a los ejecutivos la capacidad para desproteger los mensajes y luego protegerlos, por lo que pueden compartirlos con su propio equipo de liderazgo. "Si ese ejecutivo pierde un dispositivo en miniatura con los documentos, nadie sería capaz de abrirlos", señala Plastina, "pero no se vuelve tan opresivo al punto que el ejecutivo no quiere hacerlo y trata de ver cómo hacerlo subrepticiamente".

Protéjase ahora, vuélvase sofisticado después

Microsoft también está trabajando en la mejora de la experiencia de la clasificación y la protección de documentos automáticamente desde Office, para que sea más como las características de protección de fuga de datos que ya tiene, utilizando la tecnología de Secure Islands que ha adquirido recientemente. A medida que escribe en un número de tarjeta de crédito, Office le sugiere que el documento necesita ser calificada como confidencial -pero también será una opción para el usuario que trabaja en el documento decir si es un error y cambiar la clasificación de nuevo a interno (del mismo modo que puede hacerlo actualmente con la protección de fuga de datos Exchange). La integración de Office estará disponible como una vista previa privada en un futuro próximo, y la herramienta Secure Islands se está lanzando ahora.

Una vez que tenga datos que están etiquetados y bien gestionados, existe la posibilidad de obtener el control más allá del habitual intercambio de archivos y correo electrónico. Microsoft compró recientemente Adallom; la tecnología ahora se llama Cloud Application Security, y Plastina sugiere que se convertirá en una especie de protección de fuga de datos para los datos que van a los servicios en la nube. "Puede sentarse en la red como proxy o sobre las APIs, por lo que es capaz de trabajar fuera del clásico punto final de productividad. Imagine un corredor de seguridad en la nube que sea capaz de bloquear la carga de Salesforce de algo que es secreto".

Los documentos gestionados con derechos serán un área clave para el aprendizaje automático, tanto para el seguimiento del mal uso como para la clasificación automática de documentos. Otra adquisición de Microsoft, Equivio, puede hacer la clasificación de los documentos legales, y Plastina señala que Microsoft tiene planes para construir sobre eso. "Lo alimentas con muchos documentos y le dice que busque más de la misma familia. Imagínese una organización que tiene un petabyte de datos y tienen usuarios que clasifican activamente algún contenido.

Una vez que tenga 100 MB de contenido bien clasificado, el concepto es que usted podría utilizar Equivio y decir 'Sé que estos son los mejores archivos secretos, clasificadas por el sello; Ahora busque un grupo [de documentos que coincidan] sin etiquetas y clasifique los que están a granel'. Si tiene un petabyte de datos históricos que desea etiquetar; no solo puede proteger las cosas nuevas o lo que está siendo editado ahora".

Si está buscando esas características avanzadas, todavía querrá empezar a utilizar la gestión de derechos hoy, señala. "El mejor enfoque es centrarse en lo básico: clasificar, etiquetar y proteger. Empezar por ahí, y una vez que se hace eso, el seguimiento y la respuesta son mucho más fáciles. No hay posibilidad de supervisar y responder si no tiene señales".

De Boers está de acuerdo en que usted debe considerar la gestión de derechos ahora antes que sea tarde. "Los CIOs deben planificar un enfoque centrado en los datos de protección de la información, y EDRM toma una posición central en dichos planes. Todos los CIOs que valoran la colaboración y que entienden la falta de flexibilidad de las fronteras de la infraestructura alrededor de las islas de datos sensibles, deben investigar EDRM".

Mary Branscombe, CIO (EE.UU.)