O que é IRM?

A diferença entre DRM e IRM

DRM refere-se a um grupo de tecnologias de controle de acesso usadas para restringir o acesso, a edição ou a modificação de propriedades digitais protegidas por direitos autorais além dos termos de serviço acordados. O objetivo principal do DRM é proteger a propriedade intelectual de ser copiada e distribuída sem compensar adequadamente seus proprietários.

Mais comumente, o DRM é aplicado a mídias produzidas em massa, incluindo videogames, software, CDs de áudio, HD DVDs, discos Blu-ray e e-books. O DRM pode vir na forma de criptografia, embaralhamento, marcas d'água digitais, chaves de CD, etc.

A Digital Millennium Copyright Act, alterada para a lei de direitos autorais dos EUA, criminalizou o uso de técnicas destinadas a burlar a tecnologia DRM. Não é de surpreender que o DRM continue sendo uma tecnologia controversa, com alguns até chamando-a de anticompetitiva. Outros criticam o DRM por restringir o uso normal de algo comprado pelo usuário.

Conforme mencionado anteriormente, o gerenciamento de direitos de informação é a aplicação de DRM a documentos criados por indivíduos, como documentos do Microsoft Office, PDFs, e-mails, etc. Ao contrário do DRM, que geralmente se destina a proteger materiais protegidos por direitos autorais, o IRM é mais frequentemente destinado a proteger a segurança de informações altamente confidenciais que podem estar contidas em um documento.

Um hospital pode, por exemplo, aplicar o IRM aos registros do paciente para manter a conformidade com a HIPAA-HITECH e impedir o acesso a essas informações caso os registros do paciente caiam em mãos não autorizadas. Outro exemplo seria quando uma organização aplica o IRM à comunicação executiva para proteger informações confidenciais de vazamento para a mídia ou para concorrentes.

A HIPAA exige que as entidades cobertas, incluindo parceiros de negócios, estabeleçam proteções técnicas, físicas e administrativas para informações de saúde protegidas (PHI). Essas proteções destinam-se a proteger não apenas a privacidade, mas também a integridade e a acessibilidade dos dados.

O Departamento de Saúde e Serviços Humanos do Escritório de Direitos Civis (OCR) impõe violações não criminais da HIPAA. A não conformidade pode resultar em multas que variam entre US$ 100 e US$ 50.000 por violação “da mesma disposição” por ano civil.

Muitos acordos do OCR relacionados ao HIPAA resultaram em multas superiores a US$ 1 milhão. O maior acordo até setembro de 2016 foi de US$ 5,5 milhões, em prejuízo do Advocate Health Care, decorrente de várias violações que afetaram um total de 4 milhões de pessoas.

Além das penalidades civis, indivíduos e organizações podem ser responsabilizados criminalmente ao obter ou divulgar PHI com conhecimento de causa, sob falsos pretextos ou com a intenção de uso para ganho comercial ou fins maliciosos. As ofensas criminais de acordo com a HIPAA são da jurisdição do Departamento de Justiça dos EUA e podem resultar em até 10 anos de prisão, além de multas.

Recursos do gerenciamento de direitos de informação

O IRM geralmente criptografa arquivos para impor políticas de acesso. Depois de criptografadas, regras adicionais de IRM podem ser aplicadas a um documento para permitir/negar atividades específicas. Em alguns casos, isso significa que um documento só pode ser exibido e o usuário não pode copiar/colar o conteúdo do documento. Em outros casos, a regra do IRM pode impedir que um usuário faça capturas de tela do documento, imprima-o ou edite-o.

As organizações podem criar e aplicar regras de IRM personalizadas em nível empresarial, de departamento, de grupo ou de usuário com base nos requisitos de segurança de dados, conformidade e governança.

Uma das vantagens frequentemente citadas do IRM é que essas proteções persistem mesmo quando os arquivos são compartilhados com terceiros. Um usuário pode estar fora da rede da empresa, mas as regras de IRM continuarão protegendo o documento. Isso significa que os documentos lacrados por IRM podem permanecer seguros, não importa onde estejam sendo acessados.

Limitações do gerenciamento de direitos de informação

Uma das reclamações sobre as soluções de IRM é que elas exigem que o usuário tenha um software de IRM especializado instalado no computador para abrir qualquer arquivo com as proteções de IRM aplicáveis. Por esse motivo, muitas empresas procuram limitar a proteção do IRM somente aos arquivos que requerem proteção com base em seu conteúdo.

Apesar de o IRM poder resolver muitos dos problemas de segurança que surgem quando os documentos são compartilhados, ainda há soluções alternativas simples que podem anular os benefícios do IRM. Uma simples câmera portátil (ou um smartphone) pode capturar uma imagem de um arquivo com proteção por IRM. A maioria dos computadores Apple também pode anular os benefícios do IRM com um simples clique da combinação Command + Shift + 4, que ativa a captura de tela. O mesmo acontece com o software de terceiros que fornece recursos de captura de tela.

Como o Office 365 oferece suporte ao gerenciamento de direitos de informação

O Gerenciamento de Direitos do Microsoft AD é uma solução de IRM popular para dados em servidores de arquivo e e-mail no local, e o Office 365 é agora o serviço de nuvem empresarial mais popular. O Office 365 tem recursos de IRM em várias de suas ofertas de produtos, com tecnologia do Microsoft Azure. Ao contrário do Gerenciamento de Direitos do Active Directory, que é usado há anos como uma solução local para segurança de dados, o Gerenciamento de Direitos do Microsoft Azure é a solução de IRM da Microsoft para a nuvem.

As organizações que sincronizaram o Active Directory com o servidor do Azure Rights Management também podem transferir seus modelos de política de IRM do Office 365 para as versões de desktop dos usuários dos aplicativos do Microsoft Office. De modo geral, há três métodos de aplicação da proteção de IRM a um documento no Office 365.

Os administradores do Office 365 podem ativar determinados recursos de gerenciamento de direitos que permitem que os proprietários de sites do SharePoint criem regras de IRM e as apliquem a diferentes bibliotecas ou listas. Os usuários que fizerem upload de arquivos para essa biblioteca terão a certeza de que o documento continuará protegido de acordo com as regras do IRM.

As organizações que desejam um controle mais granular podem configurar o Microsoft Azure com o Advanced Rights Management Services. Esse recurso permite que os administradores criem modelos de política para usuários individuais e grupos de usuários. Uma das vantagens de ativar esse recurso é que as políticas podem ser enviadas por push para os aplicativos do Office do usuário ou do grupo.

As duas primeiras abordagens são baseadas em sites, usuários e grupos e podem aplicar a proteção por IRM a arquivos que não a requerem. Um agente de segurança de acesso à nuvem (CASB) pode se integrar às ofertas do Office 365 e do IRM para negociar as proteções do IRM do aplicativo para arquivos com base no conteúdo ou contexto. Por exemplo, um CASB pode aplicar proteções de IRM a arquivos com dados confidenciais baixados do Office 365 para dispositivos não gerenciados.

Os administradores e proprietários de sites podem limitar a atividade aplicando configurações para tornar os documentos somente leitura, desativar a cópia de texto e restringir a capacidade de salvar cópias locais ou proibir a impressão do arquivo. Os formatos de arquivo compatíveis incluem PDFs, MS Word, PowerPoint, Excel e formatos XML para cada um, bem como formatos XPS.

Como o IRM funciona no Exchange Online

Para o IRM do Exchange Online, a Microsoft criou o Active Directory Rights Management Services (AD RMS) para proteger mensagens de e-mail. Aqui, as permissões são adicionadas diretamente ao e-mail, permitindo que a mensagem seja protegida on-line, off-line, na rede e fora da rede.

Um remetente de e-mail pode aplicar restrições que limitariam a capacidade do destinatário de salvar uma mensagem, encaminhá-la, imprimi-la ou extrair as informações.