Un IRM en Office 365: AIP

Dentro de la nube existen multitud de soluciones, y concretamente, dentro del mundo Microsoft Cloud, no todo es Azure. Existen muchas herramientas de seguridad muy interesantes que disponiendo de licenciamiento de Office 365 podemos usar.

Muchas de las soluciones de seguridad de Office 365 se encuentra bajo el portal Microsoft Purview (aunque lo cambian cuando quieren…). Me gustaría hablar de todas ellas en este blog, pero, en esta ocasión, comentare la solución de IRM, llamada AIP.

A grandes rasgos, las soluciones de IRM se enfocan en la protección de la información directamente contenida en los archivos. Es decir, el objetivo es proteger, por ejemplo, los documentos Word o PDF que contienen información confidencial.

¿Cómo actúan? Estos sistemas IRM implementan técnicas de encriptación sobre los archivos que contienen la información, y establecen permisos de usuario sobre estos mismos para que solo puedan ser leídos o editados por aquellos a quien va destinado.

Entrando en materia, la tecnología IRM que implementa Microsoft para este fin, es conocida como AIP (Azure Information Protection). Con esta solución es posible controlar los permisos y confidencialidad de los archivos (no solo de Microsoft) y asegurar la información.

El funcionamiento de la herramienta está basado en la aplicación de etiquetas. Cuando un usuario (o de forma automática) un documento es marcado por una etiqueta, este documento adquiere la política que hayamos definido. Simple y sencillo.

La herramienta de etiquetado es una de las muchas que se pueden encontrar dentro de la plataforma Microsoft Purview. En la parte del menú izquierdo, dentro de las Soluciones, encontramos el apartado “Protección de la información”.

Desde este punto trabajaremos con el etiquetado de información y las directivas de etiquetas. La herramienta también permite hacer una búsqueda y etiquetado automático de todos los archivos, pero en esta ocasión, no se explorará.

Dependiendo de las necesidades es posible realizar múltiples configuraciones. En este caso, haremos una configuración para cubrir los documentos según su nivel de confidencialidad con el uso de tres etiquetas, TLP:RED, TLP:AMBER, TLP:GREEN. Estas etiquetas encuentran su significado en el esquema Traffic Light Protocol (TLP) y se puede obtener mas información en la web del INCIBE.

Para ello, nos dirigimos al panel de Microsoft Purview y en el panel izquierdo dentro de “Protección de la información”, seleccionamos “Etiquetas”. Desde ahí creamos etiquetas empezando por TLP:RED:

Seguidamente seleccionamos el ámbito de aplicación de la etiqueta. En este caso, será una etiqueta que aplique a todos los recursos posibles.

La etiqueta RED que estamos configurando contiene toda la información confidencial, por lo que debemos proteger todos los elementos.

En las opciones de cifrado, dejamos a los usuarios que definen ellos mismo a quien está destinado el correo:

Se añade también una marca de agua al documento con TLP:RED

Dentro de Teams, si algún miembro desea compartir el documento, tendrá que cumplir los siguientes requisitos:

Los siguientes puntos antes de finalizar pregunta sobre el etiquetado automático que, en principio, no será necesario.

Por último, seleccionamos la etiqueta y la publicamos:

Habrá que repetir el proceso para el resto de etiquetas dependiendo de la sensibilidad.

Por otro lado, es necesario crear una directiva de etiquetas. Para ello, creamos una nueva directiva y seleccionamos las etiquetas disponibles.

Seleccionamos los usuarios que queremos incluir en la directiva. En este caso, elegimos toda la organización mediante un grupo.

Por último, obligamos a los usuarios a seleccionar una etiqueta para cada recurso:

Una vez la etiqueta esté publicada y disponible en los puestos de usuario, en los archivos propios de Office, podremos hacer uso de ella en el panel superior, bajo la ficha “Confidencialidad”. Desde ahí podemos establecer el grado de protección que adopta el documento.

Para los archivos fuera del mundo Microsoft es necesaria la instalación de la extensión de AIP. Esta es pública y puede ser descargada desde el sitio oficial. Una vez instalada e iniciado sesión, desde el menú contextual del archivo es posible establecer el etiquetado de información antes de abrir el archivo.

Cuando compartimos los documentos, siempre y cuando no nos salgamos del mundo Microsoft mediante Outlook u OneDrive, no habrá problemas. Lo mas probable es que la aplicación realice un SSO, inicie sesión y accedamos al archivo si tenemos permisos.

Por otro lado, si el receptor del archivo utiliza otro proveedor de servicio como Google por ejemplo, no le llegará el archivo, si no una notificación donde le avisará que tiene un archivo pendiente, obligando a crear una cuenta de Microsoft para poder acceder.

Las opciones de IRM y protección de información que nos provee Microsoft con su AIP son bastante útiles a la hora de tomar el control del activo mas valioso, los datos. Además, en muchos casos, dependiendo del licenciamiento escogido de Office 365 es una opción que tenemos disponible y no es necesario pagar por ello.

¿Alguna vez habíais oído hablar de IRM?¿Ya lo conocíais y queréis contarnos vuestra experiencia? Aquí todo comentario es bien recibido 😊