Cómo no romper los límites, cómo crear una buena arquitectura y cómo hacer un buen mantenimiento

Azure Information Protection para la seguridad de tu información

Azure Information Protection

¿Cuántas veces has querido compartir una información vía correo electrónico con recelo de no saber hasta dónde podría llegar? ¿Te has planteado al compartir documentación,  quién la podría leer?

Desde el mundo Azure llega la solución Azure Information Protection que da solución a estas situaciones, permitiendo delimitar el alcance de nuestras publicaciones.

Durante las siguientes líneas  hablaremos de cómo funciona y también de las tecnologías que engloba: Azure Rights Management e Information Rights Management.

Azure Information Protection

Azure Information Protection es una solución basada en Azure para clasificar, etiquetar y proteger los documentos y correos electrónicos de la organización. Esta clasificación se puede realizar tanto manual como automáticamente durante la redacción de los documentos. Así cuando se esté editando un documento Office se podrá etiquetarlo mediante las siguientes opciones:

Y las mismas opciones aparecerán cuando se está redactando un correo electrónico:

También se puede configurar Azure Information Protection para que automáticamente etiquete con determinada sensibilidad un documento en función de su contenido. Por ejemplo, se podría marcar como confidencial un elemento si se detectara en su contenido números de DNI, seguridad social, cuentas bancarias, …

El sistema mediante el cual se consigue la protección de la información es Azure Rights Management, explicado a continuación.

Azure Rights Management

Azure Rights Management (en adelante Azure RMS) es una tecnología que permite proteger ficheros y correos mediante el uso de cifrado, identidad y autorización de manera tanto online como offline. Engloba por una parte, Information Rights Management (IRM) para aplicar seguridad, tanto a correos electrónicos como a documentación, y por otra, el cifrado de mensajes de Office 365 para permitir el envío de correos electrónicos cifrados o la compartición de ficheros a través de OneDrive de manera más segura.

Utilizando Azure RMS se puede configurar de una manera fácil la seguridad de la información de Exchange y SharePoint, pero también de servicios y servidores locales, aplicando directivas de permisos que se validarán en el momento en que un usuario acceda a los datos.

Como se muestra en la imagen anterior, Azure RMS habilita el acceso a la información desde casi cualquier dispositivo (incluidos Windows, Mac OS, iOS, Android y Windows Phone), haciendo así la información mucho más accesible.

Otra característica importante es la posibilidad de que personas y servicios autorizados, como un servicio de búsqueda, puedan acceder a los datos que Azure RMS protege, y así dar una mejor experiencia al usuario.

A continuación, hablaremos sobre Information Rights Management, qué es, su configuración y su uso.

Information Rights Management

Information Rights Management (en adelante IRM) se encuentra dentro de Azure RMS, y permite aplicar directivas de seguridad a los correos electrónicos, ya sea para clasificarlos según su sensibilidad o confidencialidad para no permitir el reenvío; sobre documentos Office para restringir el acceso a usuarios fuera de la compañía o convertirlos en sólo lectura;  y también sobre bibliotecas y listas de SharePoint, ya sea para no permitir la impresión o la edición de los documentos descargados, etc.

Para poder aplicar estas directivas, inicialmente existen unas plantillas por defecto para marcar elementos para que no se puedan reenviar o no puedan salir de la organización, pero también se pueden definir plantillas de permisos que reúna una configuración de directivas que se adecue mejor a nuestro día a día.

Esta acción la deberá llevar a cabo el administrador donde podrá utilizar los siguientes permisos:

  • Full control: otorga control total sobre el elemento
  • View: permite abrir el elemento
  • Edit: permite editar el contenido
  • Save: permite guardar el elemento
  • Extract: permite realizar una copia de cualquier parte del contenido para pegarla en otra aplicación
  • Export: permite guardar una copia del elemento con otro formato
  • Print: permite imprimir el elemento
  • Allow Macros: permite la ejecución de macros en el elemento
  • Forward: permite el renvío del elemento
  • Reply: permite a los destinatarios de un email poder responder al remitente
  • Reply All: permite a los destinatarios de un email poder responder al remitente y al resto de destinatarios del email
  • View Rights: permite ver los permisos asociados al elemento

En el caso de envío de correos electrónicos, durante la redacción del mismo, en la pestaña Opciones se encuentra el acceso a la configuración de IRM. En el siguiente ejemplo sólo están disponibles las opciones de no renviar y elemento confidencial:

En el caso de los documentos Office, para acceder a la configuración de IRM se realiza desde la pestaña Archivo, sección Información, donde podemos encontrar las siguientes opciones:

Trabajando con SharePoint se pueden aplicar políticas de seguridad a nivel de biblioteca y lista que afectarán a todos los documentos almacenados en ellas. Para que esto sea posible, antes se debe habilitar el uso de IRM en la administración de SharePoint Online:

Tras este paso, en la configuración de listas y bibliotecas aparecerá un enlace para configurar el IRM, el cual mostrará la siguiente página y opciones:

La configuración de IRM aplicada en SharePoint se traspasará a todos los documentos almacenados y se preservará incluso después de que un usuario se haya descargado el documento a local, consiguiendo así que, aun estando fuera del entorno SharePoint, no haya manera de invalidar los permisos asignados.

Resumiendo

Día a día las posibilidades de compartir información son cada vez más y más sencillas y rápidas de utilizar, pero esto conlleva poder perder el control de la información que se envía, no pudiendo en muchos de los casos delimitar el alcance de nuestras publicaciones.

Azure Information Protection da respuesta a esta problemática, otorgando un sistema sencillo de utilizar, y a la vez muy potente, mediante el cual poder controlar nuestra información incluso después de haberla compartido.

mm

Sobre Carlos López

Soy Ingeniero en Informática por la Universidad Politécnica de Valencia. MCSD en SharePoint Applications, Web Applications y App Builder, además de MCSA en Web Applications. Llevo desarrollando con tecnologías Microsoft más de 6 años, especialmente sobre entornos web y sobre la plataforma SharePoint, y soy colaborador del Framework Enmarcha en sus distintas modalidades. Actualmente soy Team Leader en ENCAMINA.
Esta entrada ha sido publicada en Azure y etiquetada como , , . Enlace permanente .
ENCAMINA, piensa en colores