Información general de Protección de datos empresariales (EDP)

  • Artículo

[Alguna información hace referencia al producto de versión preliminar, el cual puede sufrir importantes modificaciones antes de que se publique la versión comercial. Microsoft no ofrece ninguna garantía, expresa o implícita, con respecto a la información que se ofrece aquí.]

A medida que aumenta el número de dispositivos pertenecientes a los empleados en la empresa, también aumenta el riesgo de revelar datos de forma accidental a través de aplicaciones y servicios que están fuera de control de la empresa como el correo electrónico, las redes sociales y la nube pública.

Muchas de las soluciones actuales intentan solucionar este problema exigiendo a los empleados que cambien entre contenedores y aplicaciones personales y laborales, lo que puede significar una experiencia del usuario poco óptima. La característica Enterprise Data Protection (EDP) con nombre de código ofrece una experiencia del usuario mejor y ayuda a separar y proteger mejor las aplicaciones y los datos empresariales frente a riesgos de revelación en dispositivos empresariales y personales sin necesidad de realizar cambios en los entornos o las aplicaciones. Además, cuando se usa con Rights Management Services (RMS), EDP protege los datos empresariales de forma local y mantiene la protección incluso cuando los datos se comparten o están en itinerancia.

Ventajas de EDP

EDP proporciona:

  • Protección adicional contra la fuga de datos empresariales, con un impacto mínimo sobre las prácticas de trabajo normal de los empleados.

  • Separación obvia entre los datos personales y corporativos, sin necesidad de que los empleados cambien de entornos o aplicaciones.

  • Protección de datos adicional para aplicaciones de línea de negocio sin necesidad de actualizar las aplicaciones.

  • Capacidad de borrar datos corporativos de dispositivos y dejar solamente los datos personales.

  • Uso de informes de auditoría para realizar seguimientos y acciones correctoras.

  • Integración con el sistema de administración existente (Microsoft Intune, System Center Configuration Manager (versión 1511 o posterior) o tu sistema de administración de dispositivos móviles (MDM) actual para configurar, implementar y administrar EDP para tu empresa.

  • Protección adicional para los datos (mediante la integración de RMS) durante la itinerancia y el uso compartido, como cuando se comparte contenido cifrado a través de Outlook o se mueven archivos cifrados a llaves USB.

  • Capacidad para administrar aplicaciones universales de Office en los dispositivos de Windows 10 mediante una solución de MDM para proteger los datos corporativos. Para administrar aplicaciones móviles de Office para dispositivos Android e iOS, consulta los recursos técnicos aquí.

Requisitos previos

Necesitarás este software para ejecutar EDP en tu empresa:

Sistema operativo Solución de administración
Windows 10

  • Intune

    O BIEN

  • Configuration Manager (versión 1511 o posterior)

    O BIEN

  • La solución de MDM actual de toda la empresa

 

Escenarios empresariales

Actualmente, EDP contempla estos escenarios empresariales:

  • Puedes cifrar datos empresariales en dispositivos pertenecientes a los empleados y pertenecientes a la empresa.

  • Puedes borrar los datos empresariales de equipos administrados forma remota, incluidos los equipos pertenecientes a los empleados, sin que ello afecte a los datos personales.

  • Puedes seleccionar aplicaciones específicas que pueden tener acceso a datos empresariales, denominadas "aplicaciones privilegiadas" que los empleados reconozcan claramente. También puedes bloquear el acceso de las aplicaciones sin privilegios a datos empresariales.

  • Los empleados no verán interrumpido su trabajo al cambiar entre aplicaciones personales y empresariales mientras las directivas de empresa estén implementadas. No es necesario cambiar de entorno ni iniciar sesión varias veces.

Cómo funciona EDP

EDP te ayuda a abordar los desafíos diarios de la empresa. Entre otras cosas, te ayuda a:

  • Tratar experiencias no deseadas que experimenta el empleado debido a directivas de protección de datos severas.

  • Mantener la privacidad de los datos de la empresa.

  • Administrar las aplicaciones que no son compatibles con directivas, especialmente en dispositivos móviles.

  • Controlar la imposibilidad de bloquear dispositivos pertenecientes a los empleados de modo que se puedan revelar datos de la empresa de forma accidental.

Modos de protección

Puedes establecer EDP en 1 de 4 modos de protección:

  • Bloquear. EDP busca el uso compartido inapropiado de datos y evita que el empleado complete la acción.

  • Invalidar. EDP busca usos compartidos de datos inadecuados y comunica a los empleados que están haciendo algo incorrecto. Sin embargo, este modo de protección permite al empleado invalidar la directiva y compartir los datos de todos modos, al registrar la acción en el registro de auditoría.

  • Auditoría. EDP se ejecuta en modo silencioso y registra el uso compartido inapropiado de datos sin bloquear nada.

  • Desactivado. EDP está inactivo y no protege los datos.

Grandes experiencias del empleado

EDP puede ofrecer una experiencia de usuario fantástica sin necesidad de que los empelados alternen entre aplicaciones para proteger los datos corporativos. Por ejemplo, al comprobar los correos electrónicos del trabajo en Microsoft Outlook, un empleado obtiene un mensaje personal. En lugar de tener que salir de Outlook, los mensajes del trabajo y los personales aparecen en la pantalla, en paralelo.

Cambio de la protección EDP

Los empleados pueden cambiar documentos protegidos de datos empresariales a personales si el documento está marcado incorrectamente como empresarial. Sin embargo, esto requiere que el empleado realice una acción y se audite y registre para que lo revises

Seguridad de los datos empresariales

Como administrador de la empresa, debes mantener la seguridad y la confidencialidad de tus datos corporativos. Con EDP puedes asegurarte de que los datos corporativos está protegidos en los equipos pertenecientes a los empleados, incluso cuando el empleado no está usando el equipo activamente. En este caso, cuando el empleado crea inicialmente el contenido en un dispositivo administrado, se le pregunta si es un documento de trabajo. Si lo es, se protege localmente como datos empresariales.

Borrado remoto de datos empresariales de dispositivos

EDP también ofrece la posibilidad de borrar de forma remota los datos corporativos de todos los dispositivos que administra y usa un empleado y dejar solamente los datos personales. Esto es una ventaja cuando el empleado deja la empresa o si roban un equipo.

En este caso, los documentos se almacenan localmente y se cifran con una identidad de empresa. Cuando compruebes si tienes que borrar el dispositivo, puedes enviar un comando de borrado remoto a través del sistema de administración de dispositivos móviles, de modo que cuando el dispositivo se conecte a la red, las claves de cifrado se revoquen y los datos empresariales se eliminen. Esta acción solo afecta a los dispositivos a los que se dirige el comando. Los demás dispositivos seguirán funcionando con normalidad.

Copia o descarga de datos empresariales

La descarga de contenido desde una ubicación como SharePoint, un recurso compartido de red o una ubicación de web empresarial, como Office365.com, determina automáticamente que el contenido es de datos empresariales y se cifra como tal al tiempo que se almacena localmente. Lo mismo se aplica a la copia de datos empresariales en un dispositivo como una unidad USB. Dado que el contenido ya está marcado como datos empresariales localmente, el cifrado se conserva en el nuevo dispositivo.

Aplicaciones privilegiadas y restricciones

Con EDP puedes controlar el conjunto de aplicaciones que se convierten en "aplicaciones privilegiadas" o las aplicaciones que pueden tener acceso y usar tus datos empresariales. Después de agregar una aplicación a la lista de aplicaciones privilegiadas, usar datos empresariales es seguro. Todas las aplicaciones que no aparecen en esta lista se tratan como personales y se bloquean potencialmente para que no tengan acceso a los datos corporativos en función del modo de protección de EDP.

Ten en cuenta que tus aplicaciones de línea de negocio existentes no tienen que cambiar para incluirse como aplicaciones privilegiadas. Simplemente debes incluirlas en la lista.

Uso de aplicaciones privilegiadas

Las aplicaciones privilegiadas pueden tener acceso a los datos empresariales y reaccionan de manera diferente con otras aplicaciones sin privilegios o personales. Por ejemplo, si se establece el modo de protección de EDP en Bloqueo, las aplicaciones privilegiadas permitirán que el usuario copie y pegue información entre otras aplicaciones privilegiadas, pero no con aplicaciones personales. Supongamos que una persona de RR. HH. quiere copiar una descripción de trabajo de una aplicación privilegiada en el sitio web de profesiones, una ubicación protegida por la empresa, pero se equivoca e intenta pegarla en una aplicación personal. La acción de pegar produce un error y aparece una notificación que indica que no se pudo pegar debido a una restricción de directiva. La persona de RR. HH. realiza la acción de pegar correctamente en el sitio web de profesiones y funciona sin problemas.

Decidir el nivel de acceso a los datos

EDP te permite decidir bloquear, permitir invalidaciones o auditar las acciones de uso compartido de datos entre los empleados. El bloqueo de la acción detiene la acción inmediatamente, mientras que al permitir invalidaciones, el empleado sabe que hay un problema pero puede continuar compartiendo la información. Con la auditoría, se registra la acción sin que esta se detenga, lo que permite ver patrones de uso compartido inapropiado para que puedas emprender acciones correctoras.

Cifrado de datos persistente

EDP mantiene protegidos los datos empresariales incluso cuando están en itinerancia. Aplicaciones como Office y OneNote funcionan con EDP para conservar el cifrado de los datos en ubicaciones y servicios. Por ejemplo, si un empleado abre contenido cifrado con EDP desde Outlook, lo edita y, a continuación, intenta guardar la versión editada con un nombre diferente para quitar el cifrado, no funcionará. Outlook aplica automáticamente EDP en el documento nuevo y mantiene implementado el cifrado de datos.

Evitar la revelación accidental de datos en espacios públicos

EDP protege los datos empresariales para que no se compartan en espacios públicos, como la nube pública, de forma accidental. Por ejemplo, si un empleado almacena contenido en la carpeta Documentos, que se sincroniza de forma automática con OneDrive (una aplicación de la lista de privilegiadas), el documento se cifra localmente y no se sincroniza con la nube personal del usuario. De igual modo, si otras aplicaciones de sincronización, como Dropbox™, no están en la lista con privilegios, tampoco podrán sincronizar archivos cifrados en la nube personal del usuario.

Evitar la revelación accidental de datos en otros dispositivos

EDP protege la fuga de datos empresariales a otros dispositivos al transferirlos o desplazarlos entre ellos. Por ejemplo, si un empleado pone datos corporativos en una llave USB que también incluye datos personales, los datos corporativos permanecen cifrados incluso si la información personal permanece abierta. Además, el cifrado continúa cuando el empleado vuelve a copiar el contenido cifrado en otro dispositivo administrado por la empresa.

Importante  EDP también admite el cifrado de cada archivo en tarjetas SD junto con la directiva de cifrado de dispositivos. Para tener acceso a los datos cifrados, debes configurar RMS durante la configuración de directivas de EDP.

 

Desactivar EDP

Puedes desactivar toda la protección y las restricciones de datos empresariales para volver al estado anterior a EDP sin que se pierdan datos. Sin embargo, no se recomienda desactivar EDP. Si decides desactivarlo, siempre puedes volver a activarlo pero EDP no conservará la información de directivas y de descifrado.