What Is Information Rights Management?
L'Information Rights Management (IRM) è una forma di tecnologia di sicurezza informatica utilizzata per proteggere i documenti contenenti informazioni sensibili da accessi non autorizzati. A differenza del tradizionale Digital Rights Management (DRM) che si applica ai contenuti multimediali prodotti in serie come canzoni e film, l'IRM si applica ai documenti, ai fogli di calcolo e alle presentazioni create dai singoli individui. L'IRM protegge i file da copie, visualizzazioni, stampe, trasferimenti, eliminazioni e modifiche non autorizzate.
Tuttavia, per comprendere l'Information Rights Management, i suoi utilizzi e i suoi vantaggi, è importante capire il Digital Rights Management e il suo rapporto con l'IRM.
La differenza tra DRM e IRM
Il termine DRM si riferisce a una serie di tecnologie di controllo dell'accesso utilizzate per limitare l'accesso, la revisione o la modifica di proprietà digitali protette da copyright al di là delle condizioni di servizio concordate. L'obiettivo principale del DRM è quello di proteggere la proprietà intellettuale dalla copia e dalla distribuzione senza un adeguato compenso per i proprietari.
Più comunemente, il DRM viene applicato ai contenuti multimediali prodotti in serie, inclusi videogiochi, software, CD audio, HD DVD, dischi Blu-ray ed ebook. Il DRM può assumere la forma di crittografia, codifica, filigrane digitali, chiavi CD, e altro.
Il Digital Millennium Copyright Act, un emendamento alla legge sul copyright degli Stati Uniti, ha considerato come reato l'utilizzo di tecniche progettate per aggirare la tecnologia DRM. Non sorprende che il DRM rimanga una tecnologia controversa, tanto che alcuni arrivano addirittura a definirla anticoncorrenziale. Altri criticano il DRM per aver limitato il normale utilizzo di qualcosa acquistato dall'utente.
Come accennato in precedenza, l'Information Rights Management è l'applicazione del DRM ai documenti creati dai singoli individui come i documenti di Microsoft Office, PDF, email, e così via. A differenza del DRM, che generalmente ha lo scopo di salvaguardare il materiale protetto da copyright, l'IRM ha spesso lo scopo di proteggere la sicurezza delle informazioni altamente sensibili che potrebbero essere contenute in un documento.
Ad esempio, un ospedale può applicare l'IRM alle cartelle cliniche dei pazienti per mantenere la conformità alla legge HIPAA-HITECH e impedire l'accesso a queste informazioni nel caso in cui le cartelle cliniche finiscano in mani non autorizzate. Un altro esempio potrebbe essere quando un'organizzazione applica l'IRM alla comunicazione dei dirigenti per impedire che le informazioni sensibili vengano divulgate ai media o alla concorrenza.
L'HIPAA richiede alle entità interessate, compresi i partner commerciali, di implementare misure di protezione tecniche, fisiche e amministrative per le informazioni sanitarie protette (PHI). Queste misure di sicurezza hanno lo scopo di proteggere non solo la privacy, ma anche l’integrità e l’accessibilità dei dati.
L'Ufficio per i diritti civili (OCR, Office of Civil Rights) del Dipartimento della salute e dei servizi umani impone le violazioni non penali dell'HIPAA. La non conformità può comportare sanzioni che vanno da 100 a 50.000 dollari per violazione della “stessa disposizione” per anno solare.
Molti degli accordi HIPAA dell'OCR hanno comportato multe per oltre 1 milione di dollari. L'accordo più importante, a settembre 2016, è stato di 5,5 milioni di dollari contro Advocate Health Care, a seguito di diverse violazioni che hanno interessato un totale di 4 milioni di persone.
Oltre alle sanzioni civili, gli individui e le organizzazioni possono essere ritenute penalmente responsabili quando ottengono o divulgano consapevolmente informazioni sanitarie protette (PHI) con falsi pretesti o con l'intento di utilizzarle a scopo di lucro o dannoso. I reati penali previsti dall'HIPAA ricadono sotto la giurisdizione del Dipartimento di Giustizia degli Stati Uniti e possono comportare la reclusione fino a 10 anni, oltre alle sanzioni pecuniarie.
Le caratteristiche dell'Information Rights Management
L'IRM generalmente crittografa i file per imporre le policy di accesso. Una volta crittografato, è possibile applicare ulteriori regole IRM a un documento per consentire/vietare attività specifiche. In alcuni casi, ciò significa che un documento può solo essere visualizzato e l'utente non può copiare/incollare il contenuto del documento. In altri casi, la regola IRM può impedire a un utente di acquisire le schermate del documento, stamparlo o modificarlo.
Le organizzazioni possono creare e applicare regole IRM personalizzate a livello di azienda, dipartimento, gruppo o utente in base ai requisiti di sicurezza dei dati, conformità e governance.
Uno dei vantaggi dell'IRM, spesso citati, è che queste protezioni persistono anche quando i file vengono condivisi con terze parti. Un utente potrebbe trovarsi all'esterno della rete aziendale, ma le regole IRM proteggeranno comunque il documento. Ciò significa che i documenti sigillati IRM possono rimanere sicuri indipendentemente dal luogo di accesso.
Limitazioni dell'Information Rights Management
Una delle lamentele sulle soluzioni IRM è che richiedono all'utente di disporre di un software IRM specializzato installato sul proprio computer per poter aprire qualsiasi file protetto da IRM. Per questo motivo, molte aziende cercano di limitare la protezione IRM solo ai file che richiedono la protezione in base al loro contenuto.
Nonostante l'IRM possa risolvere molti problemi di sicurezza che sorgono quando i documenti vengono condivisi, esistono ancora semplici soluzioni alternative che possono annullare i vantaggi dell'IRM. Una semplice fotocamera portatile (o uno smartphone) può catturare l'immagine di un file protetto dall'IRM. La maggior parte dei computer Apple può anche ignorare i vantaggi dell'IRM con un solo clic della combinazione Command-Shift-4 che attiva l'acquisizione delle schermate. Lo stesso vale per i software di terze parti che offrono funzionalità di acquisizione dello schermo.
Come Office 365 supporta l'Information Rights Management
Microsoft AD Rights Management è una soluzione IRM popolare per i dati nei server email e file in locale e Office 365 è ora il servizio cloud aziendale più popolare. Office 365 dispone di funzionalità IRM in molte delle sue offerte di prodotti, basate su Microsoft Azure. A differenza dell'Active Directory Rights Management, utilizzato da anni come soluzione in locale per la sicurezza dei dati, Microsoft Azure Rights Management è la soluzione IRM di Microsoft per il cloud.
Le organizzazioni che hanno sincronizzato Active Directory con il server Azure Rights Management possono anche trasferire i modelli delle policy IRM da Office 365 alle versioni desktop delle app Microsoft Office dei propri utenti. A livello generale, esistono tre metodi per applicare la protezione IRM a un documento in Office 365.
Gli amministratori di Office 365 possono abilitare alcune funzionalità di gestione dei diritti che consentono ai proprietari dei siti di SharePoint di creare regole IRM e applicarle a librerie o elenchi diversi. Gli utenti che caricano i file in questa libreria possono quindi essere certi che il documento rimarrà protetto in conformità con le regole dell'IRM.
Le organizzazioni che necessitano di un controllo più granulare possono configurare Microsoft Azure con Advanced Rights Management Services. Questa funzionalità consente agli amministratori di creare modelli di policy per singoli individui e gruppi di utenti. Uno dei vantaggi derivante dall'abilitazione di questa funzionalità è la possibilità di eseguire il push delle policy nelle applicazioni desktop di Office dell'utente o del gruppo.
I primi due approcci si basano su siti, utenti e gruppi e possono applicare la protezione dell'IRM ai file che non la richiedono. Un Cloud Access Security Broker (CASB) può integrarsi con Office 365 e le offerte IRM per applicare le protezioni IRM ai file in base al contenuto o al contesto. Ad esempio, un CASB può applicare protezioni IRM a file contenenti dati sensibili scaricati su dispositivi non gestiti da Office 365.
Gli amministratori e i proprietari dei siti possono limitare le attività applicando impostazioni per rendere i documenti di sola lettura, disattivare la copia del testo e limitare la possibilità di salvare copie locali, o impedire la stampa del file. I formati dei file supportati includono PDF, MS Word, PowerPoint, Excel, formati XML per ciascuno, nonché formati XPS.
Come funziona l'IRM in Exchange Online
Per l'IRM in Exchange Online, Microsoft ha creato Active Directory Rights Management Services (AD RMS) per proteggere i messaggi email. Qui, le autorizzazioni vengono aggiunte direttamente all'email, consentendo la protezione del messaggio online, offline, in rete e fuori dalla rete.
Un mittente di email può applicare delle limitazioni che impediscono al destinatario di salvare il messaggio, inoltrarlo, stamparlo o estrarre le informazioni.