Proteger os dados empresariais usando a Proteção de Informações do Windows (WIP)

Aplica-se a:

• Windows 10
• Windows 11

Com o aumento de dispositivos de propriedade dos funcionários na empresa, também há um risco crescente de vazamento de dados acidentais por meio de aplicativos e serviços, como email, mídias sociais e nuvem pública, que estão fora do controle da empresa. Por exemplo, quando um funcionário envia as fotos de seus trabalhos de engenharia mais recentes de sua conta de email pessoal, copia e cola informações do produto em um Tweet ou salva um relatório de vendas em andamento no armazenamento de nuvem pública.

A Proteção de Informações do Windows (WIP), conhecida anteriormente como EDP (Proteção de Dados Empresariais), ajuda a proteger contra esse potencial vazamento de dados sem interferir na experiência do funcionário. A WIP também ajuda a proteger aplicativos e dados corporativos contra o vazamento de dados acidental em dispositivos de propriedade da empresa e dispositivos pessoais que os funcionários levam para o trabalho, sem exigir alterações no ambiente ou em outros aplicativos. O Azure Rights Management, outra tecnologia de proteção de dados, também funciona junto com o WIP. Ele estende a proteção de dados para dados que saem do dispositivo, como quando anexos de email são enviados de uma versão consciente da empresa de um cliente de email de gerenciamento de direitos.

Vídeo: proteger os dados corporativos de serem copiados acidentalmente para o lugar errado

Pré-requisitos

Você precisará deste software para executar o Windows Proteção de Informações em sua empresa:

O que é o controle de dados empresariais?

Colaboração eficaz significa que você precisa compartilhar dados com outras pessoas em sua empresa. Esse compartilhamento pode ser de um extremo em que todos têm acesso a tudo sem qualquer segurança. Outro extremo é quando as pessoas não podem compartilhar nada e é tudo altamente seguro. A maioria das empresas se enquadra em algum lugar entre os dois extremos, onde o sucesso é equilibrado entre fornecer o acesso necessário com o potencial para a divulgação inadequada de dados.

Sendo um administrador, você pode resolver a questão de quem tem acesso aos dados usando controles de acesso, como credenciais de funcionário. No entanto, apenas porque alguém tem o direito de acessar seus dados não garante que os dados permanecerão dentro dos locais protegidos da empresa. Portanto, os controles de acesso são um ótimo começo, não são suficientes.

Por fim, todas essas medidas de segurança têm uma coisa em comum: os funcionários vão aturar tanto inconveniente até certo ponto antes de procurar maneiras para driblar as restrições de segurança. Por exemplo, se você não permitir que os funcionários compartilhem arquivos por meio de um sistema protegido, os funcionários recorrerão a um aplicativo externo que provavelmente não tem controles de segurança.

Usando sistemas de prevenção contra perda de dados

Para ajudar a lidar com essa insuficiência de segurança, as empresas desenvolveram sistemas de prevenção contra perda de dados (também conhecidos como DLP). Os sistemas de prevenção contra perda de dados exigem:

• Um conjunto de regras sobre como o sistema pode identificar e categorizar os dados que precisam ser protegidos. Por exemplo, um conjunto de regras pode conter uma regra que identifica os números de cartões de crédito e outra que identifica os números do CPF.

• Uma maneira para verificar os dados empresariais a fim de ver se correspondem a qualquer uma das suas regras definidas. Atualmente, o Microsoft Exchange Server e o Exchange Online fornecem esse serviço para o email em trânsito, enquanto o Microsoft SharePoint e o SharePoint Online fornecem esse serviço para o conteúdo armazenado em bibliotecas de documentos.

• A capacidade para especificar o que acontece quando dados correspondem a uma regra, incluindo se os funcionários podem ignorar imposições. Por exemplo, no Microsoft SharePoint e no SharePoint Online, o sistema de Prevenção Contra Perda de Dados do Microsoft Purview permite avisar seus funcionários de que os dados compartilhados incluem informações confidenciais e compartilhá-los de qualquer maneira (com uma entrada opcional de log de auditoria).

Infelizmente, sistemas de prevenção contra perda de dados têm seus próprios problemas. Por exemplo, quanto menos detalhado o conjunto de regras, mais falsos positivos são criados. Esse comportamento pode levar os funcionários a acreditar que as regras atrasam seu trabalho e precisam ser ignoradas para permanecerem produtivas, potencialmente levando a que os dados sejam bloqueados incorretamente ou liberados incorretamente. Outro grande problema é que os sistemas de prevenção contra perda de dados devem ser implementados amplamente para que sejam eficazes. Por exemplo, se sua empresa usa um sistema de prevenção contra perda de dados para email, mas não para compartilhamentos de arquivos ou armazenamento de documentos, você pode descobrir que há vazamentos de dados por canais desprotegidos. Talvez o maior problema com sistemas de prevenção contra perda de dados seja que ele fornece uma experiência chocante que interrompe o fluxo de trabalho natural dos funcionários. Ele pode parar algumas operações (como enviar uma mensagem com um anexo que o sistema marca como confidencial) ao mesmo tempo em que permite outras, muitas vezes de acordo com regras sutis que o funcionário não vê e não consegue entender.

Usando sistemas de gerenciamento de direitos de informação

Para ajudar a resolver os possíveis problemas de sistemas de prevenção contra perda de dados, as empresas desenvolveram sistemas de gerenciamento de direitos de informação (também conhecido como IRM). Os sistemas de gerenciamento de direitos de informação incorporam a proteção diretamente nos documentos, para que quando um funcionário crie um documento, ele determine que tipo de proteção deve ser aplicada. Por exemplo, um funcionário pode optar por impedir que o documento seja encaminhado, impresso, compartilhado fora da organização e assim por diante.

Depois que o tipo de proteção for definido, o aplicativo de criação criptografa o documento para que somente as pessoas autorizadas possam abri-lo e, ainda assim, apenas em aplicativos compatíveis. Depois que um funcionário abrir o documento, o aplicativo se torna responsável pela imposição das proteções especificadas. Como a proteção viaja com o documento, se uma pessoa autorizada o enviar a uma pessoa não autorizada, a pessoa não autorizada não poderá lê-lo ou alterá-lo. No entanto, para que isso funcione de modo eficaz, os sistemas de gerenciamento de direitos de informação exigem que você implante e configure um ambiente de servidor e de cliente. E, como somente clientes compatíveis podem trabalhar com documentos protegidos, o trabalho de um funcionário pode ser interrompido inesperadamente se ele ou ela tentar usar um aplicativo não compatível.

E quando um funcionário deixa a empresa ou cancela o registro de um dispositivo?

Por fim, há o risco de vazamento de dados de sua empresa quando um funcionário sai ou cancela o registro de um dispositivo. Anteriormente, você apagaria todos os dados corporativos do dispositivo, juntamente com outros dados pessoais no dispositivo.

Benefícios da WIP

O Windows Proteção de Informações fornece:

• Separação óbvia entre dados pessoais e corporativos, sem a necessidade de os funcionários alternarem ambientes ou aplicativos.

• Proteção adicional de dados para aplicativos de linha de negócios existentes, sem a necessidade de atualizá-los.

• Capacidade de apagar dados corporativos de dispositivos registrados no MDM do Intune, deixando somente dados pessoais.

• Uso de relatórios de auditoria para o monitoramento de problemas e ações corretivas.

• Integração ao sistema de gerenciamento existente (Microsoft Intune, Microsoft Configuration Manager ou seu sistema MDM (gerenciamento de dispositivo móvel) atual para configurar, implantar e gerenciar o Windows Proteção de Informações para sua empresa.

Por que usar a WIP?

O Windows Proteção de Informações é o mecanismo MAM (gerenciamento de aplicativos móveis) no Windows 10. O WIP oferece uma nova maneira de gerenciar a aplicação da política de dados para aplicativos e documentos em sistemas operacionais da área de trabalho Windows 10, juntamente com a capacidade de remover o acesso a dados corporativos de dispositivos corporativos e pessoais (após o registro em uma solução de gerenciamento empresarial, como Intune).

• Mude a maneira como você pensa em imposição da política de dados. Como administrador corporativo, você precisa manter a conformidade com a política de dados e o acesso a dados. O Windows Proteção de Informações ajuda a proteger a empresa em dispositivos corporativos e de propriedade de funcionários, mesmo quando o funcionário não está usando o dispositivo. Ao criar conteúdo em um dispositivo protegido corporativo, os funcionários podem optar por salvá-lo como um documento de trabalho. Se for um documento de trabalho, ele se tornará mantido localmente como dados corporativos.

• Gerencie os modos de criptografia, aplicativos e documentos corporativos.

  • Cópia ou download de dados corporativos. Quando um funcionário ou um aplicativo baixa conteúdo de um local como SharePoint, um compartilhamento de rede ou um local Web corporativo, usando um dispositivo protegido pela WIP, a WIP criptografa os dados no dispositivo.

  • Usando aplicativos protegidos. Aplicativos gerenciados (aplicativos que você incluiu na lista de aplicativos protegidos em sua política wip) têm permissão para acessar seus dados corporativos e interagirão de forma diferente quando usados com aplicativos não permitidos, não corporativos ou somente pessoais. Por exemplo, caso o gerenciamento da WIP esteja definido como Bloquear, os funcionários podem copiar e colar de um aplicativo protegido para outro aplicativo protegido, mas não para aplicativos pessoais. Imagine que uma pessoa de RH deseja copiar uma descrição do trabalho de um aplicativo protegido para o site de carreira interna, um local protegido pela empresa, mas comete um erro e tenta colar em um aplicativo pessoal. A ação de colagem falha e uma notificação aparece, dizendo que o aplicativo não poderia colar por causa de uma restrição de política. O funcionário do RH cola então a descrição corretamente no site de carreiras, sem problema.

  • Aplicativos gerenciados e restrições. Com a WIP, é possível controlar quais aplicativos podem acessar e usar os dados corporativos. Depois que você adiciona um aplicativo à lista de aplicativos protegidos, dados corporativos são confiados ao aplicativo. Todos os aplicativos não incluídos nessa lista são impedidos de acessar os dados corporativos, dependendo do modo de gerenciamento da WIP.

    Você não precisa modificar aplicativos de linha de negócios que nunca tocam em dados pessoais para listá-los como aplicativos protegidos; basta incluí-los na lista de aplicativos protegidos.

  • Decisão do nível de acesso aos dados. A WIP permite bloquear, permitir substituições ou auditar ações de compartilhamento de dados dos funcionários. Ocultar substituições interrompe imediatamente a ação. A permissão de substituições informa ao funcionário que há um risco, mas permite que ele continue compartilhando os dados enquanto grava e audita a ação. Silent apenas registra a ação sem parar nada que o funcionário poderia ter substituído ao usar essa configuração; coletando informações que podem ajudá-lo a ver padrões de compartilhamento inadequado para que você possa tomar medidas educativas ou encontrar aplicativos que devem ser adicionados à sua lista de aplicativos protegidos. Para obter informações sobre como coletar os arquivos de log de auditoria, consulte Como coletar logs de eventos de auditoria de Proteção de Informações do Windows (WIP).

  • Criptografia de dados em repouso. O Windows Proteção de Informações ajuda a proteger dados corporativos em arquivos locais e em mídia removível.

    Aplicativos como o Microsoft Word trabalham com a WIP para ajudar a continuar a proteção de dados em todos os arquivos locais e mídia removível. Esses aplicativos são conhecidos como aplicativos com reconhecimento corporativo. Por exemplo, se um funcionário abrir conteúdo criptografado por WIP de Word, editar o conteúdo e tentar salvar a versão editada com um nome diferente, Word aplicará automaticamente o Windows Proteção de Informações ao novo documento.

  • Ajuda para evitar a divulgação acidental de dados em espaços públicos. O Windows Proteção de Informações ajuda a proteger seus dados corporativos de serem compartilhados acidentalmente em espaços públicos, como o armazenamento em nuvem pública. Por exemplo, se o Dropbox™ não estiver na lista de aplicativos protegidos, os funcionários não poderão sincronizar arquivos criptografados com o armazenamento em nuvem pessoal. Em vez disso, se o funcionário armazenar o conteúdo em um aplicativo na lista de aplicativos protegidos, como o Microsoft OneDrive for Business, os arquivos criptografados poderão ser sincronizados livremente com a nuvem comercial, mantendo a criptografia localmente.

  • Ajuda para evitar a divulgação acidental de dados para mídia removível. O Windows Proteção de Informações ajuda a impedir que dados corporativos vazem quando são copiados ou transferidos para mídia removível. Por exemplo, se um funcionário colocar dados corporativos em uma unidade USB (Barramento Serial Universal) que também tem dados pessoais, os dados corporativos permanecerão criptografados enquanto os dados pessoais não.

• Remova o acesso a dados corporativos de dispositivos protegidos corporativos. O Windows Proteção de Informações oferece aos administradores a capacidade de revogar dados corporativos de um ou muitos dispositivos registrados em MDM, deixando os dados pessoais em paz. Esse é um benefício quando um funcionário deixa sua empresa ou se um dispositivo é roubado. Depois de determinar que o acesso aos dados precisa ser removido, você poderá usar o Microsoft Intune para cancelar o registro do dispositivo, de maneira que, quando se conectar à rede, a chave de criptografia do usuário do dispositivo será revogada e os dados corporativos permanecerão ilegíveis.

  Observação

  Para o gerenciamento de dispositivos Surface, é recomendável usar o Branch Atual do Microsoft Configuration Manager.
  Configuration Manager também permite revogar dados corporativos. No entanto, ele faz isso realizando uma redefinição de fábrica do dispositivo.

Como a WIP funciona

O Windows Proteção de Informações ajuda a resolver seus desafios diários na empresa. Inclusive:

• Ajudar a evitar vazamentos de dados corporativos, até mesmo em dispositivos de propriedade do funcionário que não possam ser bloqueados.

• Reduzir frustrações do funcionário por causa de políticas de gerenciamento de dados restritivas em dispositivos de propriedade do empresa.

• Ajudar a manter a propriedade e o controle dos dados corporativos.

• Ajudar a controlar a rede e o acesso a dados e o compartilhamento de dados para aplicativos que não estão cientes da empresa

Cenários corporativos

O Windows Proteção de Informações atualmente aborda esses cenários empresariais:

• Você pode criptografar dados corporativos em dispositivos de propriedade do funcionário e da empresa.

• Você pode apagar remotamente dados corporativos de computadores gerenciados, incluindo computadores de propriedade do funcionário, sem afetar os dados pessoais.

• Você pode proteger aplicativos específicos que podem acessar dados corporativos que são claramente reconhecíveis aos funcionários. Você também pode impedir o acesso de aplicativos não protegidos aos dados corporativos.

• Seus funcionários não terão o trabalho interrompido ao alternarem entre aplicativos pessoais e corporativos enquanto as políticas corporativas estiverem em vigor. Não é necessário alternar ambientes ou entrar várias vezes.

Modos de proteção da WIP

Os dados da empresa são criptografados automaticamente depois que são carregados em um dispositivo de uma fonte corporativa ou se um funcionário marca os dados como corporativos. Em seguida, quando os dados corporativos são gravados em disco, o Windows Proteção de Informações usa o EFS (Sistema de Arquivos criptografados fornecido pelo Windows) para protegê-los e associá-los à sua identidade corporativa.

Sua política de Proteção de Informações do Windows inclui uma lista de aplicativos confiáveis protegidos para acessar e processar dados corporativos. Essa lista de aplicativos é implementada por meio da funcionalidade AppLocker, que controla quais aplicativos podem ser executados e permitindo que o sistema operacional Windows saiba que os aplicativos podem editar dados corporativos. Os aplicativos incluídos nesta lista não precisam ser modificados para abrir dados corporativos porque sua presença na lista permite que o Windows determine se eles têm acesso. No entanto, uma novidade no Windows 10, os desenvolvedores de aplicativos podem usar um novo conjunto de APIs (interfaces de programação de aplicativo) para criar aplicativos habilitados que podem usar e editar dados corporativos e pessoais. Um grande benefício para trabalhar com aplicativos esclarecidos é que aplicativos de uso duplo, como o Microsoft Word, podem ser usados com menos preocupação em criptografar dados pessoais por engano porque as APIs permitem que o aplicativo determine se os dados pertencem à empresa ou se são de propriedade pessoal.

Você pode definir sua política de Proteção de Informações do Windows para usar 1 dos quatro modos de proteção e gerenciamento:

Desativar a WIP

Você pode desativar a Proteção de Informações do Windows e todas as restrições, fazendo a descriptografia de todos os dispositivos gerenciados pela WIP e revertendo para o ponto em que estava antes da WIP, sem perda de dados. No entanto, isso não é recomendado. Se você optar por desativar o WIP, sempre poderá ativá-lo novamente, mas suas informações de descriptografia e política não serão reaplicadas automaticamente.

Próximas etapas

Depois de decidir usar o WIP em seu ambiente, crie uma política wip (windows Proteção de Informações).