¿Qué es IRM?
La gestión de derechos de la información (IRM) es un tipo de tecnología de seguridad de TI utilizada para proteger los documentos que contienen información confidencial frente al acceso no autorizado. A diferencia de la gestión de derechos digitales (DRM) tradicional que se aplica a medios de producción masiva como canciones y películas, la tecnología IRM se aplica a documentos, hojas de cálculo y presentaciones creados por personas. IRM protege los archivos de la copia, visualización, impresión, reenvío, eliminación y edición no autorizados.
Sin embargo, para comprender la gestión de derechos de la información, sus usos y ventajas, es importante comprender la gestión de derechos digitales y su relación con IRM.
Diferencia entre DRM e IRM
DRM hace referencia a un conjunto de tecnologías de control de acceso utilizadas para restringir el acceso, la edición o la modificación de propiedades digitales con derechos de autor más allá de los términos de servicio acordados. El objetivo principal de DRM es proteger la propiedad intelectual para que no se copie y distribuya sin recompensar adecuadamente a los propietarios.
Por lo general, la tecnología DRM se aplica a medios de producción masiva, incluidos videojuegos, software, CD de audio, HD DVD, discos Blue-ray y libros electrónicos. DRM puede aplicarse en forma de cifrado, codificación, marcas de agua digitales, claves de CD, etc.
La Digital Millenium Copyright Act, incorporada a la ley de derechos de autor de EE. UU., penaliza el uso de técnicas destinadas a eludir la tecnología DRM. No sorprende que la tecnología DRM siga siendo a día de hoy una tecnología controvertida, y algunos incluso la llaman anticompetitiva. Otros critican DRM por restringir el uso normal de algo comprado por el usuario.
Como se mencionó anteriormente, la gestión de derechos de la información (IRM) es la aplicación de DRM a documentos creados por personas, como documentos de Microsoft Office, PDF, correos electrónicos, etc. A diferencia de DRM, que generalmente se utiliza para proteger material con derechos de autor, la tecnología IRM está diseñada para garantizar la seguridad de información muy confidencial contenida en documentos.
Un hospital puede, por ejemplo, aplicar IRM a las historias clínicas para garantizar la conformidad con HIPAA-HITECH e impedir el acceso a esta información en caso de que caigan en manos de personas no autorizadas. Otro ejemplo sería cuando una organización aplica IRM a la comunicación ejecutiva para proteger la información confidencial de filtraciones a los medios de comunicación o a la competencia.
HIPAA requiere que las entidades reguladas, incluidos los socios comerciales, implementen protecciones técnicas, físicas y administrativas para la información sanitaria protegida (PHI). Estas medidas de seguridad tienen por objeto proteger no solo la privacidad, sino también la integridad y la accesibilidad de los datos.
La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. sanciona las infracciones no penales de HIPAA. El incumplimiento puede resultar en multas que oscilan entre 100 y 50 000 dólares por infracción "de la misma disposición" por año.
Muchas resoluciones de la OCR por infracciones de la HIPAA han terminado en multas de más de 1 millón de dólares. La sanción más importante a septiembre de 2016 era de 5,5 millones de dólares, impuesta a Advocate Health Care, como consecuencia de varias infracciones que afectaron a un total de 4 millones de personas.
Además de las sanciones civiles, las personas y organizaciones pueden ser responsables penalmente al obtener o divulgar la información de salud protegida a sabiendas, con falsos pretextos o con la intención de utilizarla con fines comerciales o maliciosos. Los delitos penales en el marco de la HIPAA son competencia del Departamento de Justicia de EE. UU. y pueden acarrear hasta 10 años de prisión, además de cuantiosas multas.
Funciones de la gestión de derechos de la información
IRM generalmente cifra archivos para implementar directivas de acceso. Una vez cifrados, se pueden aplicar reglas de IRM adicionales a un documento para permitir o denegar actividades específicas. En algunos casos, esto significa que solo se puede ver un documento y el usuario no puede copiar / pegar el contenido dentro del documento. En otros casos, la regla de IRM puede impedir que un usuario haga capturas de pantalla del documento, lo imprima o lo edite.
Las organizaciones pueden crear y aplicar reglas de IRM personalizadas a nivel de empresa, departamento, grupo o usuario en función de los requisitos de seguridad, conformidad y gobierno de los datos.
Una de las ventajas frecuentemente mencionadas de IRM es que estas protecciones persisten incluso cuando los archivos se comparten con terceros. Un usuario puede estar fuera de la red de la empresa, pero las reglas de IRM seguirán protegiendo el documento. Esto significa que los documentos protegidos con tecnología IRM pueden permanecer seguros independientemente de dónde se acceda.
Limitaciones de la gestión de derechos de la información
Una de las quejas sobre las soluciones IRM es que requieren que el usuario tenga un software IRM especializado instalado en su equipo para abrir cualquier archivo con protecciones IRM. Por este motivo, muchas empresas intentan limitar la protección IRM solo a los archivos que requieren protección en función de su contenido.
A pesar de que IRM puede resolver muchos de los problemas de seguridad que surgen cuando se comparten documentos, todavía hay soluciones simples que pueden neutralizar las ventajas de IRM. Una sencilla cámara manual (o un smartphone) puede capturar la imagen de un archivo con protección IRM. La mayoría de los equipos Apple también pueden anular los beneficios de IRM con un simple combinación de teclas Comando-Mayús-4 que permite realizar una captura de pantalla. Lo mismo ocurre con el software de terceros que proporciona funciones de captura de pantalla.
Cómo admite Microsoft 365 la administración de derechos de la información
Microsoft AD Rights Management es una solución IRM conocida para datos en servidores de archivos y correo electrónico locales, y Microsoft 365 es ahora el servicio en la nube empresarial más utilizado. Microsoft 365 tiene funciones de IRM en varias de sus ofertas de productos, con tecnología de Microsoft Azure. A diferencia de Active Directory Rights Management, que se ha utilizado durante años como solución local para la seguridad de los datos, Microsoft Azure Rights Management es la solución IRM de Microsoft para la nube.
Las organizaciones que han sincronizado Active Directory con el servidor de Azure Rights Management también pueden transferir sus plantillas de directivas de IRM desde Microsoft 365 a las versiones de escritorio de las aplicaciones de Microsoft Office de los usuarios. En general, hay tres métodos para aplicar la protección IRM a un documento en Microsoft 365.
Los administradores de Microsoft 365 pueden activar ciertas funciones de administración de derechos que permiten a los propietarios de sitios de SharePoint crear reglas de IRM y aplicarlas a diferentes listas o bibliotecas. Los usuarios que carguen archivos en esa biblioteca tienen la seguridad de que el documento permanecerá protegido de acuerdo con las reglas de IRM.
Las organizaciones que deseen un mayor control pueden configurar Microsoft Azure con Advanced Rights Management Services. Esta función permite a los administradores crear plantillas de directivas para usuarios individuales y grupos de usuarios. Una de las ventajas de activar esta función es que las directivas se pueden insertar en las aplicaciones de Office de escritorio del usuario o grupo.
Los dos primeros enfoques se basan en sitios, usuarios y grupos, y pueden aplicar la protección IRM a archivos que no la requieren. Un bróker de seguridad de acceso a la nube (CASB) se puede integrar con las ofertas de Microsoft 365 e IRM para gestionar las protecciones IRM de la aplicación para los archivos según el contenido o el contexto. Por ejemplo, un CASB puede aplicar protecciones IRM a archivos con datos confidenciales descargados en dispositivos no gestionados desde Microsoft 365.
Los administradores y los propietarios de sitios web pueden limitar la actividad aplicando ajustes para hacer que los documentos sean de solo lectura, deshabilitar la copia de texto y restringir la capacidad de guardar copias locales, o bien no permitir la impresión del archivo. Los formatos de archivo admitidos incluyen formatos PDF, MS Word, PowerPoint, Excel y XML para cada uno de ellos, así como formatos XPS.
Cómo funciona IRM en Exchange Online
Para Exchange Online IRM, Microsoft ha creado Active Directory Rights Management Services (AD RMS) para proteger los mensajes de correo electrónico. Aquí, los permisos se agregan al correo electrónico directamente, lo que permite proteger el mensaje online sin conexión, en la red y fuera de la red.
Un remitente de correo electrónico puede aplicar restricciones que limitarían la capacidad del destinatario de guardar un mensaje, reenviarlo, imprimirlo o extraer la información.