Uma das áreas de grande enfoque da Microsoft é a segurança. Dentro da sua oferta Azure existe uma solução, o Azure Information Protection (AIP), que tem como objetivo ajudar as organizações a classificar e proteger a informação constante dos documentos e e-mails empresariais.
Esta é uma solução que tem como origem a Secure Islands, empresa adquirida pela Microsoft em 2015, e utiliza a tecnologia de proteção Azure Rights Management já conhecida da Microsoft.
Esta solução permite definir políticas de segurança da informação, ajudando as organizações a classificar o risco e confidencialidade dos dados, proteger os documentos e e-mails e monitorizar o acesso a essa informação.
O primeiro passo para a utilização desta tecnologia é a subscrição do serviço, que pode ser efetuado de forma isolada ou integrada em suites existentes como o EMS (Enterprise Mobility + Security) ou o SPE (Secure Productive Enterprise).
Depois de ter a subscrição ativa e de ter as licenças atribuídas aos utilizadores da organização, pode-se dar início à definição de políticas de segurança. Pode-se começar por atribuir uma classificação generalista seguindo a estratégia de classificação interna ou aproveitando a classificação por defeito já configurada no AIP e que inclui os seguintes níveis:
- Personal: apenas para utilização pessoal
- Public: informação para partilha pública
- General: informação para partilha interna ou para entidades externas de forma controlada (parceiros, clientes, etc.)
- Confidential: dados sensíveis e que poderão ter impacto negativo na organização no caso de serem partilhados com pessoas não autorizadas
- Highly Confidential: dados sensíveis num nível superior ao anterior, que terão decerto um impacto grande na organização no caso de serem partilhados com pessoas não autorizadas
A utilização destes níveis de classificação já poderão ajudar na proteção dos dados ou dando ideias para a criação de outros níveis que sejam mais coerentes com a política de confidencialidade da informação da Organização. As políticas de segurança destes níveis podem ser alteradas a qualquer momento. Por exemplo, pode-se tornar obrigatório que todos os documentos e e-mails tenham sempre definida uma classificação ou configurar uma classificação por defeito, por exemplo a “General”. Pode-se também pedir aos utilizadores uma justificação sempre que alterem a classificação de um documento para um nível mais baixo. Outra funcionalidade é a capacidade de colocar uma nota no cabeçalho ou rodapé do documento, ou uma marca de água com informação definida nas políticas do AIP.
Ainda nas definições da classificação da informação, podem-se criar regras de aplicação automática do documento ou e-mail (disponível apenas nalguns planos). Por exemplo, se existir informação de um número de cartão de crédito ou um IBAN, ou se existir uma palavra ou expressão definida, a informação pode ser automaticamente classificada para um nível mais elevado.
Para poder aceder aos documentos ou e-mails protegidos pelo AIP, é necessária a instalação de um cliente no dispositivo de leitura. Este cliente está disponível para as plataformas Windows, iOS e Android. Com a utilização do MS Office, aparece uma nova opção de proteção do documento que permite utilizar as políticas definidas na consola de gestão do AIP. É possível também através desta opção, obter a informação de quem acedeu ao documento e a possibilidade de revogar o acesso ao documento. Estas opções estão também disponíveis através do Explorador de Ficheiros ou através do site de controlo de documentos.
Outra das grandes vantagens desta nova solução é que quem recebe um e-mail classificado com o AIP mas não utiliza soluções Microsoft (GMAIL por exemplo), consegue aceder ao e-mail. Se a conta de GMail for acedida através de um Outlook, o acesso é automático. Se estiver a utilizar um browser, por exemplo Google Chrome, poderá aceder ao e-mail fazendo o sign-in com a sua conta Google ou através de um código enviado para o endereço de e-mail da pessoa autorizada a aceder ao e-mail.
O que nós dizemos
Nem sempre foi fácil implementar soluções de gestão de acesso a dados empresariais. Por um lado não se pode tornar a solução muito complexa pois pode tornar-se difícil de utilizar. Por outro lado deve-se poder gerir centralmente as permissões e classificações da informação, sem retirar algum poder aos utilizadores de também o poderem fazer ou alterar. Com a mobilidade existente a utilização de dispositivos não controlados pelas Organizações, traz desafios à segurança e confidencialidade de dados que julgamos estarem bem abrangidos pelo Azure Information Protection. Uma solução simples de implementar, configurar e utilizar.
|