Proteggere i dati aziendali con Windows Information Protection (WIP)

Nota

A partire da luglio 2022, Microsoft sta deprecando Windows Information Protection (WIP). Microsoft continuerà a supportare WIP nelle versioni supportate di Windows. Le nuove versioni di Windows non includeranno nuove funzionalità per WIP e non saranno supportate nelle versioni future di Windows. Per altre informazioni, vedere Annuncio del tramonto di Windows Information Protection.

Per le esigenze di protezione dei dati, Microsoft consiglia di usare Microsoft Purview Information Protection e Prevenzione della perdita dei dati Microsoft Purview. Purview semplifica la configurazione e offre un set avanzato di funzionalità.

Si applica a:

  • Windows 10
  • Windows 11

Con l'aumento dei dispositivi di proprietà dei dipendenti nell'azienda, c'è anche un rischio crescente di perdita accidentale di dati tramite app e servizi, ad esempio posta elettronica, social media e cloud pubblico, che esulano dal controllo dell'azienda. Questo può ad esempio avvenire quando un dipendente invia le foto di progettazione più recenti dal proprio account e-mail personale, copia e incolla informazioni su un prodotto in un tweet o salva un report sulle vendite in corso in uno spazio di archiviazione pubblico sul cloud.

Windows Information Protection (WIP), in precedenza denominato Protezione dei dati aziendali, aiuta a prevenire le potenziali perdite di dati senza interferire in altro modo con l'esperienza dei dipendenti. Windows Information Protection consente inoltre di proteggere le app e i dati aziendali dalle perdite di dati accidentali nei dispositivi dell'azienda e nei dispositivi personali che i dipendenti portano al lavoro senza che sia necessario apportare modifiche all'ambiente o ad altre app. Anche Azure Rights Management, un'altra tecnologia di protezione dei dati, funziona insieme a WIP. Estende la protezione dei dati per i dati che lasciano il dispositivo, ad esempio quando gli allegati di posta elettronica vengono inviati da una versione aziendale compatibile di un client di posta elettronica rights management.

Importante

Anche se Windows Information Protection può impedire perdite accidentali di dati da parte di dipendenti onesti, non è destinato a impedire a utenti malintenzionati di rimuovere i dati aziendali. Per altre informazioni sui vantaggi offerti da WIP, vedere Perché usare WIP? più avanti in questo argomento.

Video: Proteggere i dati aziendali da copiare accidentalmente nel posto sbagliato

Prerequisiti

Questo software è necessario per eseguire Windows Information Protection nell'azienda:

Sistema operativo Soluzione di gestione
Windows 10 versione 1607 o successiva Microsoft Intune

-OPPURE-

Microsoft Configuration Manager

-OPPURE-

L'attuale soluzione MDM (Mobile Device Management) di terze parti a livello aziendale. Per informazioni sulle soluzioni MDM di terze parti, vedere la documentazione fornita con il prodotto. Se MDM di terze parti non dispone del supporto dell'interfaccia utente per i criteri, fare riferimento alla documentazione CSP EnterpriseDataProtection .

Che cos'è il controllo dei dati aziendali?

Una collaborazione efficace significa che è necessario condividere i dati con altri utenti all'interno della tua azienda. Questa condivisione può essere da un estremo in cui tutti hanno accesso a tutto senza alcuna sicurezza. Un altro estremo è quando le persone non possono condividere nulla ed è tutto altamente protetto. La maggior parte delle aziende si trova tra i due estremi, uno scenario in cui il successo è bilanciato tra la concessione dell'accesso necessario e la potenziale divulgazione accidentale dei dati.

In qualità di amministratore, puoi risolvere il problema di chi ha accesso ai tuoi dati usando i controlli di accesso, ad esempio le credenziali per i dipendenti. Tuttavia, solo perché qualcuno ha il diritto di accedere ai dati non garantisce che i dati rimangano all'interno delle posizioni protette dell'azienda. Quindi, i controlli di accesso sono un ottimo inizio, non sono sufficienti.

In conclusione, tutte queste misure di sicurezza hanno una cosa in comune: i dipendenti sono disposti a tollerare solo una scomodità minima prima di cercare alternative per aggirare le restrizioni di sicurezza. Ad esempio, se non si consente ai dipendenti di condividere file tramite un sistema protetto, i dipendenti si rivolgeranno a un'app esterna che probabilmente non dispone di controlli di sicurezza.

Uso dei sistemi di prevenzione della perdita dei dati

Per risolvere questo problema di sicurezza, le aziende hanno sviluppato sistemi di prevenzione della perdita dei dati (noti anche come DLP). I sistemi di prevenzione della perdita dei dati richiedono:

  • Un set di regole sul modo in cui il sistema può identificare e classificare i dati da proteggere. Può contenere, ad esempio, una regola che identifica i numeri di carta di credito e un'altra che identifica i codici fiscali.

  • Un modo per eseguire la scansione dei dati aziendali per vedere se corrispondono a una delle regole impostate. Attualmente, Microsoft Exchange Server e Exchange Online forniscono questo servizio per i messaggi e-mail in transito, mentre Microsoft SharePoint e SharePoint Online lo mettono a disposizione per i contenuti archiviati nelle raccolte documenti.

  • La possibilità di specificare cosa accade quando i dati corrispondono a una regola, ad esempio se i dipendenti possono ignorarne l'imposizione. Ad esempio, in Microsoft SharePoint e SharePoint Online il sistema di Prevenzione della perdita dei dati Microsoft Purview consente di avvisare i dipendenti che i dati condivisi includono informazioni riservate e di condividerli comunque (con una voce facoltativa del log di controllo).

Sfortunatamente, i sistemi di prevenzione della perdita dei dati presentano alcuni problemi. Ad esempio, meno dettagliato è il set di regole, più falsi positivi vengono creati. Questo comportamento può far credere ai dipendenti che le regole rallentano il lavoro e devono essere ignorate per rimanere produttivi, causando potenzialmente un blocco non corretto o un rilascio non corretto dei dati. Un altro dei problemi principali è che i sistemi di prevenzione della perdita dei dati devono essere ampiamente implementati per risultare efficaci. Ad esempio, se la tua azienda usa un sistema di prevenzione della perdita dei dati per l'e-mail, ma non per le condivisioni file o per l'archiviazione dei documenti, è possibile che la perdita di dati avvenga attraverso canali non protetti. Forse il problema più grande con i sistemi di prevenzione della perdita dei dati è che offre un'esperienza stridente che interrompe il flusso di lavoro naturale dei dipendenti. Può arrestare alcune operazioni( ad esempio l'invio di un messaggio con un allegato che il sistema contrassegna come sensibili) consentendo ad altri, spesso in base a regole sottili che il dipendente non vede e non riesce a comprendere.

Uso dei sistemi Information Rights Management

Per risolvere i potenziali problemi dei sistemi di prevenzione della perdita dei dati, le aziende hanno messo a punto sistemi Information Rights Management, noti anche come sistemi IRM. I sistemi Information Rights Management integrano la protezione direttamente nei documenti, in modo che quando un dipendente crea un documento, determina quale tipo di protezione applicare. Ad esempio, un dipendente può scegliere di interrompere l'inoltro, la stampa o la condivisione all'esterno dell'organizzazione di un documento e così via.

Dopo avere impostato il tipo di protezione, l'app in cui è stato creato il documento provvede a crittografarlo, in modo che solo gli utenti autorizzati possano aprirlo e, anche allora, solo con le app compatibili. Dopo che un dipendente apre il documento, l'app diventa responsabile dell'applicazione delle protezioni specificate. Poiché la protezione viaggia con il documento, se una persona autorizzata lo invia a una persona non autorizzata, la persona non autorizzata non sarà in grado di leggerlo o modificarlo. Tuttavia, per il corretto funzionamento dei sistemi Information Rights Management è necessario distribuire e configurare sia un ambiente server che uno client. Inoltre, poiché solo i client compatibili possono lavorare con documenti protetti, il lavoro di un dipendente potrebbe essere interrotto in modo imprevisto se tenta di usare un'app non compatibile.

E cosa succede quando un dipendente lascia l'azienda o annulla la registrazione di un dispositivo?

Infine, c'è il rischio di perdita di dati da parte dell'azienda quando un dipendente lascia o annulla la registrazione di un dispositivo. In precedenza, si cancellavano tutti i dati aziendali dal dispositivo, insieme a qualsiasi altro dato personale nel dispositivo.

Vantaggi di Windows Information Protection

Windows Information Protection offre:

  • L'ovvia separazione tra dati personali e aziendali, senza richiedere ai dipendenti di cambiare ambiente o app.

  • Protezione dei dati aggiuntiva per le app line-of-business esistenti senza che risulti necessario aggiornare le app.

  • Possibilità di cancellare i dati aziendali dai dispositivi registrati in MDM Intune senza toccare i dati personali.

  • Uso di report di controllo per tenere traccia dei problemi e delle azioni correttive.

  • Integrazione con il sistema di gestione esistente (Microsoft Intune, Microsoft Configuration Manager o il sistema MDM (Mobile Device Management) corrente per configurare, distribuire e gestire Windows Information Protection per l'azienda.

Perché usare Windows Information Protection

Windows Information Protection è il meccanismo di gestione delle applicazioni mobili (MAM) in Windows 10. Wip offre un nuovo modo per gestire l'imposizione dei criteri dei dati per le app e i documenti nei sistemi operativi desktop Windows 10, oltre alla possibilità di rimuovere l'accesso ai dati aziendali dai dispositivi aziendali e personali (dopo la registrazione in una soluzione di gestione aziendale, ad esempio Intune).

  • Una nuova prospettiva sull'applicazione dei criteri relativi ai dati. Gli amministratori aziendali hanno l'esigenza di mantenere la conformità dei criteri relativi ai dati e dell'accesso ai dati. Windows Information Protection consente di proteggere le aziende nei dispositivi aziendali e di proprietà dei dipendenti, anche quando il dipendente non usa il dispositivo. Quando i dipendenti creano contenuto in un dispositivo con protezione aziendale, possono scegliere di salvarlo come documento di lavoro. Se si tratta di un documento di lavoro, viene gestito localmente come dati aziendali.

  • Gestisci i documenti aziendali, le app e le modalità di crittografia.

    • Copia o download dei dati aziendali. Quando un dipendente o un'app scarica contenuto da una posizione come SharePoint, una condivisione di rete o una posizione Web aziendale, durante l'uso di un dispositivo protetto tramite Windows Information Protection, quest'ultimo crittografa i dati nel dispositivo.

    • Uso di app protette. Le app gestite (app incluse nell'elenco App protette nei criteri wip) possono accedere ai dati aziendali e interagire in modo diverso se usate con app non consentite, non aziendali o solo personali. Ad esempio, se la gestione wip è impostata su Blocca, i dipendenti possono copiare e incollare da un'app protetta a un'altra app protetta, ma non alle app personali. Si supponga che una persona hr voglia copiare una descrizione del lavoro da un'app protetta al sito Web della carriera interna, una posizione protetta dall'organizzazione, ma commette un errore e tenta invece di incollare in un'app personale. L'azione incolla non riesce e viene visualizzata una notifica che indica che l'app non è riuscita a incollare a causa di una restrizione dei criteri. Se il dipendente incolla correttamente le informazioni nel sito Web delle posizioni aperte, l'operazione funziona senza problemi.

    • App gestite e restrizioni. Con Windows Information Protection puoi controllare quali app possono accedere ai dati dell'organizzazione e usarli. Dopo aver aggiunto un'app all'elenco di app protette, l'app è considerata attendibile con i dati aziendali. Tutte le app non incluse in questo elenco non sono autorizzate ad accedere ai dati dell'organizzazione, a seconda della modalità di gestione di Windows Information Protection.

      Non è necessario modificare le app line-of-business che non toccano mai i dati personali per elencarle come app protette; è sufficiente includerli nell'elenco delle app protette.

    • Decisione del livello di accesso ai dati. Windows Information Protection ti consente di bloccare, consentire l'override o controllare le azioni di condivisione di dati dei dipendenti. Quando si nascondono le sostituzioni, l'azione viene immediatamente interrotta. mentre l'override segnala la presenza di un rischio al dipendente pur consentendogli di continuare con la condivisione dei dati durante la registrazione e il controllo dell'azione. Invisibile all'utente registra semplicemente l'azione senza arrestare nulla di cui il dipendente potrebbe aver eseguito l'override durante l'uso di tale impostazione; raccolta di informazioni che consentono di visualizzare modelli di condivisione inappropriata in modo da poter intraprendere azioni educative o trovare app che devono essere aggiunte all'elenco di app protette. Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).

    • Crittografia dei dati archiviati. Windows Information Protection consente di proteggere i dati aziendali nei file locali e nei supporti rimovibili.

      Le app come Microsoft Word interagiscono con Windows Information Protection per garantire una protezione continua dei dati in file locali e supporti rimovibili. Queste app vengono definite "in grado di riconoscere le funzionalità aziendali". Ad esempio, se un dipendente apre il contenuto crittografato con WIP da Word, modifica il contenuto e quindi tenta di salvare la versione modificata con un nome diverso, Word applica automaticamente Windows Information Protection al nuovo documento.

    • Prevenzione della divulgazione accidentale dei dati in spazi pubblici. Windows Information Protection consente di proteggere i dati aziendali dalla condivisione accidentale agli spazi pubblici, ad esempio l'archiviazione cloud pubblica. Ad esempio, se Dropbox™ non è presente nell'elenco delle app protette, i dipendenti non saranno in grado di sincronizzare i file crittografati con l'archiviazione cloud personale. Se invece il dipendente archivia il contenuto in un'app nell'elenco delle app protette, ad esempio Microsoft OneDrive for Business, i file crittografati possono essere sincronizzati liberamente nel cloud aziendale, mantenendo la crittografia in locale.

    • Prevenzione della divulgazione accidentale dei dati in supporti rimovibili. Windows Information Protection consente di impedire la perdita di dati aziendali quando vengono copiati o trasferiti su supporti rimovibili. Ad esempio, se un dipendente inserisce i dati aziendali in un'unità USB (Universal Serial Bus) che contiene anche dati personali, i dati aziendali rimangono crittografati, mentre i dati personali non lo fanno.

  • Rimozione dell'accesso ai dati aziendali da dispositivi con protezione aziendale. Windows Information Protection offre agli amministratori la possibilità di revocare i dati aziendali da uno o più dispositivi registrati MDM, lasciando i dati personali da soli. Si tratta di un vantaggio quando un dipendente lascia l'azienda o se un dispositivo viene rubato. Dopo aver determinato che è necessario rimuovere l'accesso ai dati, puoi usare Microsoft Intune per annullare la registrazione del dispositivo. In tal modo, quando questo si connette alla rete, la chiave di crittografia dell'utente per il dispositivo viene revocata e i dati aziendali diventano illeggibili.

    Nota

    Per la gestione dei dispositivi Surface è consigliabile usare Current Branch di Microsoft Configuration Manager.
    Configuration Manager consente anche di revocare i dati aziendali. Tuttavia, questa operazione viene eseguita tramite il ripristino delle impostazioni predefinite del dispositivo.

Funzionamento di Windows Information Protection

Windows Information Protection consente di affrontare le sfide quotidiane nell'azienda. tra cui:

  • Evitare le perdite di dati aziendali, anche nei dispositivi dei dipendenti che non possono essere bloccati.

  • Ridurre la frustrazione dei dipendenti a causa di criteri restrittivi di gestione dei dati nei dispositivi aziendali.

  • Mantenere la proprietà e il controllo dei dati aziendali.

  • Aiutare a controllare l'accesso alla rete e ai dati e la condivisione dei dati per le app che non sono a conoscenza dell'organizzazione

Scenari aziendali

Windows Information Protection attualmente risolve questi scenari aziendali:

  • Puoi crittografare i dati aziendali in dispositivi di proprietà del dipendente e dell'azienda.

  • Puoi cancellare da remoto i dati aziendali nei computer gestiti, inclusi i computer di proprietà dei dipendenti senza effetti sui dati personali.

  • È possibile proteggere app specifiche che possono accedere a dati aziendali chiaramente riconoscibili per i dipendenti. Puoi anche impedire l'accesso ai dati aziendali alle app non protette.

  • I dipendenti non subiranno interruzioni durante il passaggio tra app personali e aziendali mentre sono attivi i criteri aziendali. Non è necessario cambiare ambiente o accedere più volte.

Modalità di protezione di Windows Information Protection

I dati aziendali vengono crittografati automaticamente dopo il caricamento in un dispositivo da un'origine aziendale o se un dipendente contrassegna i dati come aziendali. Quindi, quando i dati aziendali vengono scritti su disco, Windows Information Protection usa il file system di crittografia (EFS) fornito da Windows per proteggerli e associarlo all'identità aziendale.

I criteri di Windows Information Protection includono un elenco di app attendibili protette per l'accesso e l'elaborazione dei dati aziendali. Questo elenco di app viene implementato tramite la funzionalità AppLocker, che controlla quali app possono essere eseguite e segnala al sistema operativo Windows che le app sono autorizzate a modificare i dati aziendali. Le app incluse in questo elenco non devono essere modificate per aprire i dati aziendali perché la loro presenza nell'elenco consente a Windows di determinare se concedere loro l'accesso. Tuttavia, una novità per Windows 10 consiste nella possibilità per gli sviluppatori di app di usare un nuovo set di API (Application Programming Interface) per creare app con riconoscimento dei dati aziendali, in grado di usare e modificare sia i dati personali che quelli aziendali. Un enorme vantaggio per l'uso di app con riconoscimento dei dati è che le app a doppio uso, come Microsoft Word, possono essere usate con minore preoccupazione per crittografare i dati personali per errore perché le API consentono all'app di determinare se i dati sono di proprietà dell'azienda o se sono di proprietà personale.

Nota

Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).

È possibile impostare i criteri di Windows Information Protection per l'uso di 1 delle 4 modalità di protezione e gestione:

Modalità Descrizione
Blocca Windows Information Protection cerca procedure di condivisione dei dati inappropriate e impedisce al dipendente di completare l'azione. Questo può includere la condivisione di dati aziendali in app senza protezione aziendale, oltre alla condivisione di dati aziendali tra app o il tentativo di condivisione all'esterno della rete dell'organizzazione.
Consenti sostituzioni Windows Information Protection cerca la condivisione dei dati inappropriata, avvisando i dipendenti se eseguono operazioni ritenute potenzialmente non sicure. Tuttavia, questa modalità di gestione permette al dipendente di ignorare i criteri e condividere comunque i dati, registrando l'azione nel log di controllo.
Invisibile all'utente Windows Information Protection viene eseguito in modo invisibile all'utente, registrando la condivisione dei dati inappropriata, senza interrompere nulla che avrebbe richiesto l'interazione dei dipendenti in modalità Consenti sostituzioni. Le azioni non consentite, come quella di un'app che prova in modo non appropriato ad accedere a una risorsa di rete o a dati protetti da Windows Information Protection, continuano a essere arrestate.
Disattivato Windows Information Protection è disattivato e non consente di proteggere o controllare i dati.

Dopo aver disattivato Windows Information Protection, viene eseguito il tentativo di decrittografare qualsiasi file con tag di Windows Information Protection nelle unità collegate localmente. Le informazioni precedenti sulla decrittografia e sui criteri non vengono riapplicate automaticamente se si riattiva Windows Information Protection.

Disattivare Windows Information Protection

Puoi disattivare del tutto Windows Information Protection e le relative restrizioni, decrittografando tutti i dispositivi gestiti da WIP e tornando allo stato precedente, senza perdita di dati. Tuttavia, questa operazione non è consigliata. Se si sceglie di disattivare WIP, è sempre possibile riattivarlo, ma le informazioni di decrittografia e criteri non verranno riapplicate automaticamente.

Passaggi successivi

Dopo aver deciso di usare WIP nell'ambiente, creare un criterio windows Information Protection (WIP).