Protege los datos de tu empresa con Windows Information Protection (WIP)

Nota

A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del sol de Windows Information Protection.

Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto avanzado de funcionalidades.

Se aplica a:

  • Windows 10
  • Windows 11

Con el aumento de los dispositivos propiedad de los empleados en la empresa, también existe un riesgo creciente de pérdida accidental de datos a través de aplicaciones y servicios, como el correo electrónico, las redes sociales y la nube pública, que están fuera del control de la empresa. Por ejemplo, cuando un empleado envía imágenes de la ingeniería más reciente desde su cuenta de correo personal, copia y pega información de productos en un tweet o guarda un informe de ventas en curso en su almacenamiento en la nube pública.

Windows Information Protection (WIP), anteriormente denominado Protección de datos de empresa (EDP), ayuda a proteger contra esta fuga de datos en potencia sin interferir de ninguna manera con la experiencia de los empleados. WIP también ayuda a proteger las aplicaciones y los datos de la empresa contra la pérdida accidental de datos en dispositivos de empresa y dispositivos personales que los empleados llevan al trabajo sin necesidad de cambios en el entorno u otras aplicaciones. Azure Rights Management, otra tecnología de protección de datos, también funciona junto con WIP. Amplía la protección de datos para los datos que salen del dispositivo, como cuando se envían datos adjuntos de correo electrónico desde una versión compatible con la empresa de un cliente de correo de administración de derechos.

Importante

Aunque Windows Information Protection puede detener las pérdidas accidentales de datos de empleados honestos, no está pensada para impedir que los usuarios internos malintencionados quiten datos empresariales. Para obtener más información sobre las ventajas que proporciona WIP, consulte ¿Por qué usar WIP? más adelante en este tema.

Vídeo: Protección de los datos empresariales de que se copien accidentalmente en un lugar incorrecto

Requisitos previos

Necesitará este software para ejecutar Windows Information Protection en su empresa:

Sistema operativo Solución de administración
Windows 10, versión 1607 o posterior Microsoft Intune

O bien

Microsoft Configuration Manager

O bien

La solución actual de administración de dispositivos móviles (MDM) de terceros en toda la empresa. Para obtener información sobre las soluciones MDM de terceros, consulte la documentación que incluye el producto. Si su MDM de terceros no tiene compatibilidad con la interfaz de usuario para las directivas, consulte la documentación de CSP de EnterpriseDataProtection .

¿Qué es el control de datos de empresa?

Colaboración eficaz significa que necesitas compartir datos con otras personas de tu empresa. Este uso compartido puede ser desde un extremo donde todo el mundo tiene acceso a todo sin ninguna seguridad. Otro extremo es cuando la gente no puede compartir nada y todo está muy seguro. La mayoría de las empresas se ubican en algún lugar entre los dos extremos, donde el éxito está equilibrado entre proporcionar el acceso necesario y que exista la posibilidad de divulgar datos inapropiados.

Como administrador, puedes dar respuesta a la pregunta de quién obtiene acceso a los datos mediante el uso de controles de acceso, como credenciales de empleado. Sin embargo, el hecho de que alguien tenga derecho a acceder a los datos no garantiza que los datos permanezcan dentro de las ubicaciones protegidas de la empresa. Por lo tanto, los controles de acceso son un buen comienzo, no son suficientes.

Al final, todas estas medidas de seguridad tienen una cosa en común: los empleados solo tolerarán estas molestias antes de buscar formas para superar las restricciones de seguridad. Por ejemplo, si no permite que los empleados compartan archivos a través de un sistema protegido, los empleados recurrirán a una aplicación externa que probablemente carece de controles de seguridad.

Uso de sistemas de prevención contra pérdida de datos

Para ayudar a solucionar esta insuficiencia de seguridad, las empresas desarrollaron sistemas de prevención de pérdida de datos (también conocidos como DLP). Los sistemas de prevención contra pérdida de datos necesitan:

  • Un conjunto de reglas acerca de cómo el sistema puede identificar y clasificar los datos que necesita para estar protegido. Por ejemplo, un conjunto de reglas puede contener una regla que identifique los números de tarjeta de crédito y otra regla que identifique los números de la Seguridad Social.

  • Un modo de analizar los datos de la empresa para ver si coinciden con alguna de las reglas definidas. Actualmente, Microsoft Exchange Server y Exchange Online proporcionan este servicio para correos electrónicos en tránsito, mientras que Microsoft SharePoint y SharePoint Online proporcionan este servicio para el contenido almacenado en bibliotecas de documentos.

  • La capacidad de especificar qué sucede cuando los datos coinciden con una regla, incluso si los empleados pueden omitir la aplicación. Por ejemplo, en Microsoft SharePoint y SharePoint Online, el sistema de Prevención de pérdida de datos de Microsoft Purview le permite advertir a los empleados de que los datos compartidos incluyen información confidencial y compartirlo de todos modos (con una entrada de registro de auditoría opcional).

Desgraciadamente, los sistemas de prevención contra pérdida de datos tienen sus propios problemas. Por ejemplo, cuanto menos detallado sea el conjunto de reglas, más falsos positivos se crearán. Este comportamiento puede llevar a los empleados a creer que las reglas ralentizan su trabajo y deben omitirse para seguir siendo productivos, lo que puede provocar que los datos se bloqueen o liberen incorrectamente. Otro problema importante es que los sistemas de prevención contra pérdida de datos deben implementarse ampliamente para resultar eficaces. Por ejemplo, si una empresa usa un sistema de prevención contra pérdida de datos para el correo electrónico, pero no para recursos compartidos de archivos o almacenamiento de documentos, es posible que los datos salgan por los canales desprotegidos. Quizás el mayor problema con los sistemas de prevención de pérdida de datos es que proporciona una experiencia agotadora que interrumpe el flujo de trabajo natural de los empleados. Puede detener algunas operaciones (como enviar un mensaje con datos adjuntos que el sistema etiqueta como confidencial) al tiempo que permite otras, a menudo según reglas sutiles que el empleado no ve y no puede entender.

Usar sistemas de administración de derechos de información

Para ayudar a solucionar los posibles problemas de los sistemas de prevención contra pérdida de datos, las empresas han desarrollado sistemas de administración de derechos de información (también conocidos como IRM). Los sistemas de administración de derechos de información incrustan protección directamente en los documentos, de modo que, cuando un empleado crea un documento, determina qué tipo de protección se le aplicará. Por ejemplo, un empleado puede elegir si el documento no se puede reenviar, imprimir, compartir fuera de la organización, etc.

Después de establecer el tipo de protección, la aplicación cifra el documento para que solo las personas autorizadas puedan abrirlo, incluso entonces, solo en aplicaciones compatibles. Después de que un empleado abra el documento, la aplicación se convierte en responsable del cumplimiento de las protecciones especificadas. Dado que la protección viaja con el documento, si una persona autorizada lo envía a una persona no autorizada, la persona no autorizada no podrá leerlo ni cambiarlo. Sin embargo, para que esto funcione de manera eficaz, los sistemas de administración de derechos de información necesitan que implementes y configures un servidor y un entorno de cliente. Además, dado que solo los clientes compatibles pueden trabajar con documentos protegidos, el trabajo de los empleados podría verse interrumpido inesperadamente si intenta usar una aplicación no compatible.

¿Y qué pasa cuando un empleado abandona la empresa o anula la inscripción de un dispositivo?

Por último, existe el riesgo de que se filtren datos de la empresa cuando un empleado deja o anula la inscripción de un dispositivo. Anteriormente, borraba todos los datos corporativos del dispositivo, junto con cualquier otro dato personal del dispositivo.

Ventajas de WIP

Windows Information Protection proporciona:

  • Separación obvia entre los datos personales y corporativos, sin necesidad de que los empleados cambien de entornos o aplicaciones.

  • Protección de datos adicional para aplicaciones de línea de negocio sin necesidad de actualizar las aplicaciones.

  • Capacidad de borrar datos corporativos de dispositivos inscritos en MDM de Intune, dejando solamente los datos personales.

  • Uso de informes de auditoría para realizar seguimientos y acciones correctoras.

  • Integración con el sistema de administración existente (Microsoft Intune, Microsoft Configuration Manager o el sistema de administración de dispositivos móviles (MDM) actual) para configurar, implementar y administrar windows Information Protection para su empresa.

Motivos para usar WIP

Windows Information Protection es el mecanismo de administración de aplicaciones móviles (MAM) en Windows 10. WIP le ofrece una nueva manera de administrar la aplicación de directivas de datos para aplicaciones y documentos en Windows 10 sistemas operativos de escritorio, junto con la capacidad de quitar el acceso a los datos empresariales desde dispositivos personales y empresariales (después de la inscripción en una solución de administración empresarial, como Intune).

  • Cambia tu concepto de la aplicación de directivas de datos. Como administrador de la empresa, debes mantener el cumplimiento de la directiva de datos y del acceso a datos. Windows Information Protection ayuda a proteger la empresa en dispositivos corporativos y propiedad de los empleados, incluso cuando el empleado no usa el dispositivo. Cuando los empleados crean contenido en un dispositivo protegido de la empresa, pueden guardarlo como documento de trabajo. Si es un documento de trabajo, se mantiene localmente como datos empresariales.

  • Administra los documentos, las aplicaciones y los modos de cifrado de la empresa.

    • Copiar o descargar datos de empresa. Cuando un empleado o una aplicación descargan contenido de una ubicación como SharePoint, un recurso compartido de red o una ubicación web empresarial, mientras usa un dispositivo protegido WIP, WIP cifra los datos en el dispositivo.

    • Uso de aplicaciones protegidas. Las aplicaciones administradas (aplicaciones que ha incluido en la lista aplicaciones protegidas de la directiva de WIP) pueden acceder a los datos empresariales e interactuarán de forma diferente cuando se usen con aplicaciones no autorizadas, no compatibles con la empresa o solo personales. Por ejemplo, si se establece la administración WIP en Bloquear, tus empleados podrán copiar en una aplicación protegida y pegar en otra aplicación protegida, pero no en aplicaciones personales. Imagine que una persona de RR. HH. quiere copiar una descripción del trabajo de una aplicación protegida en el sitio web interno de carrera, una ubicación protegida por la empresa, pero comete un error e intenta pegarlo en una aplicación personal en su lugar. Se produce un error en la acción pegar y aparece una notificación que indica que la aplicación no se pudo pegar debido a una restricción de directiva. Entonces, la persona de RR. HH. realiza la acción de pegar correctamente en el sitio web de empleo y funciona sin problemas.

    • Aplicaciones administradas y restricciones. Con WIP puedes controlar qué aplicaciones tienen acceso y pueden usar los datos de tu empresa. Después de agregar una aplicación a la lista de aplicaciones protegidas , esta se considera de confianza para los datos empresariales. Todas las aplicaciones que no aparecen en esta lista se detienen para que no tengan acceso a los datos de la empresa, en función del modo de administración de WIP.

      No es necesario modificar aplicaciones de línea de negocio que nunca toquen datos personales para enumerarlas como aplicaciones protegidas; solo tiene que incluirlas en la lista de aplicaciones protegidas.

    • Decidir el nivel de acceso a los datos. WIP te permite bloquear, permitir invalidaciones o auditar las acciones de uso compartido de datos entre los empleados. Ocultar invalidaciones detiene la acción inmediatamente. Si se permite la invalidación, se comunica al empleado que hay un riesgo, pero se le permite seguir compartiendo los datos, aunque se registra y se audita la acción. Silent solo registra la acción sin detener nada que el empleado podría haber invalidado al usar esa configuración; recopilar información que puede ayudarle a ver patrones de uso compartido inadecuado para que pueda realizar acciones educativas o buscar aplicaciones que se deben agregar a la lista de aplicaciones protegidas. Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).

    • Cifrado de datos en reposo. Windows Information Protection ayuda a proteger los datos empresariales en archivos locales y en medios extraíbles.

      Aplicaciones como Microsoft Word funcionan con WIP para proteger tus datos en archivos locales y medios extraíbles. Se hace referencia a estas aplicaciones como conscientes de la empresa. Por ejemplo, si un empleado abre contenido cifrado con WIP desde Word, edita el contenido y, a continuación, intenta guardar la versión editada con un nombre diferente, Word aplica automáticamente windows Information Protection al nuevo documento.

    • Evita la revelación accidental de datos en espacios públicos. Windows Information Protection ayuda a proteger los datos empresariales de que se compartan accidentalmente en espacios públicos, como el almacenamiento en la nube pública. Por ejemplo, si Dropbox™ no está en la lista de aplicaciones protegidas, los empleados no podrán sincronizar archivos cifrados con su almacenamiento personal en la nube. En cambio, si el empleado almacena el contenido en una aplicación de la lista de aplicaciones permitidas, como Microsoft OneDrive para la Empresa, los archivos cifrados se sincronizan libremente con la nube de la empresa y se conserva el cifrado localmente.

    • Evitar la revelación accidental de datos en otros medios extraíbles. Windows Information Protection ayuda a evitar que se filtren datos empresariales cuando se copian o transfieren a medios extraíbles. Por ejemplo, si un empleado coloca los datos empresariales en una unidad de bus serie universal (USB) que también tiene datos personales, los datos empresariales permanecen cifrados mientras los datos personales no lo hacen.

  • Eliminar el acceso a datos de empresa en dispositivos protegidos por la empresa. Windows Information Protection ofrece a los administradores la capacidad de revocar datos empresariales de uno o varios dispositivos inscritos en MDM, al tiempo que dejan solos los datos personales. Se trata de una ventaja cuando un empleado deja la empresa o si se roba un dispositivo. Después de determinar que se debe eliminar el acceso a los datos, puedes usar Microsoft Intune para anular la inscripción del dispositivo. De este modo, cuando se conecte a la red, se revocará la clave de cifrado del usuario para el dispositivo y los datos de la empresa serán ilegibles.

    Nota

    Para la administración de dispositivos Surface, se recomienda usar la rama actual de Microsoft Configuration Manager.
    Configuration Manager también permite revocar datos empresariales. Sin embargo, lo hace mediante el restablecimiento de fábrica del dispositivo.

Cómo funciona WIP

Windows Information Protection ayuda a abordar los desafíos cotidianos de la empresa. Incluidos:

  • Ayudar a evitar la pérdida de datos de empresa, incluso en los dispositivos pertenecientes a los empleados que no se pueden bloquear.

  • Reducir la frustración de los empleados debido a las directivas restrictivas de administración de datos en los dispositivos de empresa.

  • Ayudar a mantener la propiedad y el control de los datos de empresa.

  • Ayudar a controlar el acceso a la red y los datos y el uso compartido de datos para aplicaciones que no son compatibles con la empresa

Escenarios empresariales

Windows Information Protection aborda actualmente estos escenarios empresariales:

  • Puedes cifrar datos empresariales en dispositivos pertenecientes a los empleados y pertenecientes a la empresa.

  • Puedes borrar los datos empresariales de equipos administrados forma remota, incluidos los equipos pertenecientes a los empleados, sin que ello afecte a los datos personales.

  • Puede proteger aplicaciones específicas que pueden acceder a datos empresariales claramente reconocibles para los empleados. También puedes detener el acceso de las aplicaciones no protegidas a datos empresariales.

  • Los empleados no verán interrumpido su trabajo de ninguna manera al cambiar entre aplicaciones personales y empresariales mientras las directivas de empresa estén implementadas. No es necesario cambiar entornos o iniciar sesión varias veces.

Modos de protección de WIP

Los datos empresariales se cifran automáticamente después de cargarlos en un dispositivo desde un origen de empresa o si un empleado marca los datos como corporativos. A continuación, cuando los datos empresariales se escriben en disco, Windows Information Protection usa el sistema de cifrado de archivos (EFS) proporcionado por Windows para protegerlos y asociarlos a su identidad empresarial.

La directiva de windows Information Protection incluye una lista de aplicaciones de confianza que están protegidas para acceder a datos corporativos y procesarlos. Esta lista de aplicaciones se implementa mediante la funcionalidad AppLocker, que permite controlar qué aplicaciones se pueden ejecutar e informar al sistema operativo Windows que las aplicaciones pueden editar datos corporativos. Las aplicaciones incluidas en esta lista no tienen que modificarse para abrir datos corporativos porque su presencia en la lista permite a Windows determinar si se les concede acceso. Sin embargo, como novedad para Windows 10, los desarrolladores de aplicaciones pueden usar un nuevo conjunto de interfaces de programación de aplicaciones (API) para crear aplicaciones habilitadas que pueden usar y editar datos personales y empresariales. Una gran ventaja para trabajar con aplicaciones habilitadas es que las aplicaciones de doble uso, como Microsoft Word, se pueden usar con menos preocupación sobre el cifrado de datos personales por error, ya que las API permiten a la aplicación determinar si los datos pertenecen a la empresa o si son propiedad personal.

Nota

Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).

Puede establecer la directiva de windows Information Protection para usar 1 de 4 modos de protección y administración:

Modo Descripción
Bloquear Windows Information Protection busca prácticas de uso compartido de datos inapropiadas y evita que el empleado complete la acción. Esto puede incluir el uso compartido de datos de la empresa con aplicaciones no protegidas por la empresa, además del uso compartido de datos de la empresa entre aplicaciones o el intento de uso compartido fuera de la red de la organización.
Permitir invalidaciones Windows Information Protection busca un uso compartido de datos inadecuado y advierte a los empleados si hacen algo que se considera potencialmente no seguro. Sin embargo, este modo de administración permite a los empleados invalidar la directiva y compartir los datos, registrando la acción en el registro de auditoría.
Silencio Windows Information Protection se ejecuta de forma silenciosa, registrando un uso compartido de datos inadecuado, sin detener nada que se hubiera pedido para la interacción de los empleados en el modo Permitir invalidaciones. Las acciones no autorizadas siguen detenidas, como, por ejemplo, el intento de acceso inapropiado de aplicaciones a un recurso de red o datos protegidos por WIP.
Desactivado Windows Information Protection está desactivado y no ayuda a proteger ni auditar los datos.

Tras desactivar WIP, se intentan descifrar los archivos etiquetados de WIP en las unidades conectadas localmente. La información de directiva y descifrado anterior no se vuelve a aplicar automáticamente si vuelves a activar Windows Information Protection.

Desactivar WIP

Puedes desactivar Windows Information Protection y todas las restricciones, descifrando de todos los dispositivos administrados mediante WIP y revertiendo al estado antes de WIP, sin perder datos. Sin embargo, esto no se recomienda. Si decide desactivar WIP, siempre puede volver a activarlo, pero la información de descifrado y directiva no se volverá a aplicar automáticamente.

Pasos siguientes

Después de decidir usar WIP en su entorno, cree una directiva de Windows Information Protection (WIP).