Las soluciones IRM (Information Rights Management) –también conocidas como EDRM (Enterprise Digital Rights Management)– se basan en una tecnología que ha madurado a lo largo de más de una década. De hecho, la consultora Forrester lleva siguiendo las tendencias IRM desde finales del siglo XX.

Sin embargo, su despliegue en el mundo corporativo se ha producido de forma desigual, en parte, debido a que los costes de las primeras soluciones no parecían compensar los beneficios proporcionados.

Con el tiempo, las circunstancias han cambiado radicalmente. La tecnología se ha hecho más asequible, al mismo tiempo que las empresas se han vuelto más vulnerables a los múltiples riesgos para la seguridad de su información.

Si no estás familiarizado con IRM, te recomiendo la lectura del artículo “Information Rights Management: Guía fundamental”, publicado recientemente.

 

Cultura de protección centrada en la infraestructura

El primer reto para la implantación de una solución IRM tiene que ver con la cultura de seguridad de la información.

Hasta ahora, la perspectiva que ha primado a la hora de asegurar la información de una empresa se ha basado en la creación de una infraestructura interna; una especie de perímetro de seguridad cuyo acceso está escrupulosamente controlado y monitorizado.

En este sentido, hemos publicado un artículo acerca de las Riesgos y limitaciones del uso de la nube pública en tu organización, que te recomiendo eches un vistazo para contextualizar mejor esta información.

Este planteamiento, aunque imprescindible, tiene una clara limitación. En el momento en que los archivos salen fuera del perímetro controlado por la organización, la información queda fuera del control de esta. Además el cambio de paradigma en la forma de trabajar de los usuarios, presenta algunos desafíos de la movilidad empresarial en la gestión del dato.

Imagina cualquier supuesto en que un empleado comparte un documento con un tercero por medio de un correo electrónico o cualquier otro mecanismo. Incluso, utilizando soluciones EFSS (Enterprise File Sync& Share) y aunque el tercero cuente con credenciales para acceder a la base de datos de tu organización, la capacidad de protección queda limitada cuando dicha información es descargada, copiada o desplazada a una localización externa. Los datos de tu empresa se desplazan por diferentes repositorios, son ubicados en la nube, y se ceden a partners, proveedores y clientes. Por ello es importante tener en cuenta los criterios de seguridad indispensables en una solución EFSS (Enterprise File Sync & Share).

IRM centra la seguridad en la propia información, de manera que tu empresa retiene el control del acceso a los datos con independencia de dónde se encuentren. Únicamente, aquellos usuarios autorizados podrán acceder a la información encriptada, en los términos previamente definidos, ya se trate de plazos de tiempo, derechos de uso, dispositivos a emplear, etc.

Este cambio o ampliación de la perspectiva de la seguridad de la información tiene repercusiones sobre la política de seguridad corporativa, las prácticas llevadas a cabo por el departamento de IT y, por supuesto, las soluciones tecnológicas de las que se dote la empresa.

 

Gestión del cambio en las prácticas habituales de acceso a la información

El desconocimiento de los usuarios y empleados acerca de la necesidad de proteger la información supone otro importante reto para la implantación de IRM.

Probablemente, tus empleados ya están acostumbrados a sortear una serie de procesos de autenticación, precedidos del conveniente aprovisionamiento de credenciales.

Sin embargo, añadir una capa de protección en forma cifrado de archivos para su acceso en entornos externos requerirá una labor de evangelización y educación de todo el personal.

De lo contrario, puede tener lugar una notable resistencia por su parte, así como una pérdida de productividad, lo que me lleva al siguiente apartado.

 

Inadecuada política de IRM

Adoptar IRM en tu organización no significa comenzar a cifrar todos y cada uno de los archivos utilizados. Igualmente, delegar en los usuarios la responsabilidad de determinar la necesidad de proteger los archivos tampoco suele ser una solución óptima.

Es necesario encontrar un equilibrio entre la seguridad, la productividad y el ritmo de adaptación de los usuarios.

La flexibilidad suele ser la clave para el éxito del proceso de implantación. En este sentido, lo primero que debe hacerse es clasificar los datos corporativos, identificando aquellos que representan una información más sensible y cuya privacidad debería ser prioritaria.

Para ello, hemos de comenzar con lo mínimo indispensable y proceder a escalar la protección conforme los usuarios se adaptan al nuevo entorno.

Por otro lado, en este punto creo que vale la pena mencionar las alternativas habituales a la hora de establecer políticas de IRM:

  • Asignación automática: permite simplificar el proceso, garantiza la consistencia y resulta muy útil para el control de grandes volúmenes de información sensible.
  • Control dinámico: está concebida para adaptar la protección a posibles cambios regulatorios, así como otros eventos que puedan requerir la modificación de la protección de los datos, tales como la adquisición y fusión de la empresa, el trabajo colaborativo por un periodo limitado, etc.
  • Asignación discrecional: se trata de una alternativa que puede complementar a cualquiera de las otras dos y, obviamente, está concebida para casos puntuales.

Los sistemas de gestión de identidad cobran especial relevancia como herramientas que permiten automatizar la asignación de permisos de forma dinámica, o bien asignar y auditar los permisos de acceso discrecional aplicando buenas prácticas para la gestión de cuentas privilegiadas.

 

Cumplimiento normativo

Por último, no debemos olvidar que determinados datos también están sometidos a normas reguladoras de protección de la privacidad, por lo que la herramienta IRM utilizada debe ser capaz de garantizar el cumplimiento de dicha normativa, así como posibilitar la realización de las correspondientes auditorías.

En pocos meses, el nuevo reglamento conocido como GDPR será de obligado cumplimiento y las herramientas IRM tendrán gran protagonismo a la hora de facilitar su adopción. Os recomiendo la lectura del artículo de Director TIC en el que participamos “GDPR: luces y sombras de un nuevo Reglamento que todavía no hemos implantado” para ampliar información sobre el mismo.

Asimismo, la información contenida en el artículo “Cómo cumplir con la nueva normativa de protección de datos mediante herramientas de GdI y backup” te aportará mucha luz acerca cómo estar al día en el cumplimiento de dicha legislación mediante herramientas que contribuyan a la protección y gestión del acceso a los datos.