Descripción de Information Rights Management
Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3
Última modificación del tema: 2016-11-28
Los trabajadores de la información usan el correo electrónico todos los días para intercambiar información confidencial como informes y datos financieros, contratos legales, información confidencial de productos, informes y proyecciones de ventas, análisis competitivos, información de investigación y patentes e información sobre clientes y empleados. Debido a que las personas pueden obtener acceso a su correo electrónico desde prácticamente cualquier lugar, los buzones de correo se han transformado en depósitos que contienen grandes cantidades de información que puede ser confidencial. Como resultado, las fugas de información constituyen una amenaza grave para las organizaciones. Para ayudar a evitar las fugas de información, Exchange Server 2010 de Microsoft incluye características de Information Rights Management (IRM) que ofrecen protección permanente con y sin conexión para los mensajes de correo electrónico y los datos adjuntos.
Contenido
¿Qué es la fuga de información?
Soluciones tradicionales para la fuga de información
IRM en Exchange 2010
Aplicar protección IRM a mensajes
Escenarios para la protección de IRM
Descifrar mensajes protegidos con IRM para exigir el cumplimiento de directivas de mensajería
Licencia previa
Agentes de IRM
Requisitos de IRM
Configuración y prueba de IRM
¿Qué es la fuga de información?
La fuga de información que puede ser confidencial representa un costo para una organización en varios aspectos y puede producir un impacto de amplio espectro en la organización y sus negocios, empleados, clientes y asociados. Las normativas locales e industriales regulan cada vez más la manera de almacenar, transmitir y proteger determinados tipos de información. A fin de evitar la infracción a las normativas vigentes, las organizaciones deben protegerse contra la fuga de información intencionada, inadvertida o accidental.
Éstas son algunas consecuencias que resultan de la fuga de información:
Daños financieros Según el tamaño, la industria o las normativas locales, la fuga de información también puede dar como resultado un impacto financiero debido a la pérdida de negocios o a multas y daños punitivos que impongan los tribunales o las autoridades reguladoras. Las sociedades públicas corren el riesgo adicional de perder capitalización del mercado debido a la difusión desfavorable en los medios de comunicación.
Daños en la imagen y la credibilidad La fuga de información puede dañar la imagen y la credibilidad de una empresa para sus clientes. Asimismo y según sea la índole de la comunicación, los mensajes de correo electrónico perdidos pueden generar situaciones vergonzosas para el remitente y la organización.
Pérdida de la ventaja competitiva Una de las amenazas más serias que surgen de la fuga de información es la pérdida de la ventaja competitiva en el negocio. La divulgación de planes estratégicos o información sobre fusiones y adquisiciones puede conducir a la pérdida de ingresos o de capitalización del mercado. Otras amenazas incluyen la pérdida de información sobre la investigación, los datos analíticos y otra propiedad intelectual.
¿Qué es la fuga de información?
Soluciones tradicionales para la fuga de información
Aunque las soluciones tradicionales para la fuga de información pueden proteger el acceso inicial a los datos, con frecuencia no ofrecen protección continua. En la tabla siguiente se enumeran algunas de las soluciones tradicionales y sus limitaciones.
Soluciones tradicionales
| Solución | Descripción | Limitaciones |
|---|---|---|
Seguridad de la capa de transporte (TLS) |
TLS es un protocolo estándar de Internet que se usa para asegurar las comunicaciones a través de una red por medio del cifrado. En un entorno de mensajería, se usa TLS para asegurar las comunicaciones entre servidores o entre el cliente y el servidor. De forma predeterminada, Exchange 2010 usa TLS para todas las transferencias internas de mensajes. También se habilita la TLS oportunista de forma predeterminada para las sesiones con hosts externos. En primer lugar, Exchange intenta usar el cifrado TLS para la sesión; pero si no es posible establecer una conexión TLS con el servidor de destino, Exchange usa SMTP. Además puede configurar la seguridad de dominio para exigir el uso de TLS mutua a las organizaciones externas. Para obtener más información, consulte Descripción de la seguridad de dominio. |
TLS solo protege la sesión SMTP entre dos hosts SMTP. En otras palabras, TLS protege la información en movimiento y no brinda protección en el nivel del mensaje o para la información quieta. A menos que los mensajes estén cifrados con otro método, los mensajes en los buzones del remitente y del destinatario estarán desprotegidos. Puede solicitar TLS solo en el primer salto para el correo electrónico que se envíe fuera de la organización. Después de que un host SMTP remoto externo a la organización recibe el mensaje, lo puede retransmitir a otro host SMTP mediante una sesión no cifrada. Como TLS es una tecnología de capa de transporte, no puede ofrecer control para lo que el destinatario haga con el mensaje. |
Cifrado de correo electrónico |
Los usuarios pueden usar tecnologías como S/MIME para cifrar los mensajes. |
Los usuarios deciden si se cifrará un mensaje determinado. Hay costos adicionales para la implementación de una infraestructura de clave pública (PKI) y la consiguiente sobrecarga de administración de certificados para los usuarios y la protección de claves privadas. Luego que se descifra un mensaje, no hay control sobre lo que el destinatario puede hacer con la información. La información descifrada se puede copiar, imprimir o reenviar. De forma predeterminada, los datos adjuntos guardados no están protegidos. La organización no puede tener acceso a los mensajes cifrados con tecnologías como S/MIME. La organización no puede inspeccionar el contenido de los mensajes y, por consiguiente, no puede exigir el cumplimiento de directivas de mensajería, examinar mensajes para detectar virus o contenidos malintencionados ni tomar cualquier otra acción que requiera obtener acceso al contenido. |
Por último, las soluciones tradicionales no cuentan con herramientas de cumplimiento que apliquen directivas de mensajería uniforme a fin de evitar la fuga de información. Por ejemplo, un usuario envía un mensaje que contiene información confidencial y lo marca como Confidencial de la compañía y con la indicación No reenviar. Después de enviar el mensaje al destinatario, el remitente o la organización ya no tienen control sobre la información. El destinatario puede reenviar el mensaje (con características tales como reglas de reenvío automático) a cuentas de correo electrónico externas de forma intencionada o inadvertida y exponer a la organización a riesgos de fuga de información considerables.
¿Qué es la fuga de información?
IRM en Exchange 2010
Advertencia
La característica IRM en Exchange 2010 no es compatible con el modo criptográfico de AD RMS 2. Si las características IRM de Exchange 2010 son fundamentales para su organización, le recomendamos que no cambie sus clústeres AD RMS a modo criptográfico 2.
En Exchange 2010, puede usar las características de IRM para aplicar protección permanente a los mensajes y datos adjuntos. IRM usa Active Directory Rights Management Services (AD RMS), una tecnología de protección de información en Windows Server 2008. Con las características de IRM en Exchange 2010, su organización y sus usuarios pueden controlar los derechos que tienen los destinatarios para el correo electrónico. IRM también contribuye a permitir o restringir las acciones de los destinatarios como reenviar un mensaje, imprimir un mensaje o los datos adjuntos o extraer el contenido de un mensaje o los datos adjuntos mediante copiar y pegar. Los usuarios de Microsoft Outlook o Microsoft Office Outlook Web App también pueden aplicar la protección IRM, o basarse en las directivas de mensajería de la organización y luego aplicarse mediante reglas de protección de transporte o reglas de protección de Outlook. A diferencia de otras soluciones de cifrado de correo electrónico, IRM permite además que la organización descifre el contenido protegido a fin de exigir el cumplimiento de directivas.
AD RMS usa certificados y licencias basados en lenguaje de marcado con derechos extensible (XrML) para certificar equipos y usuarios, y para proteger el contenido. Cuando se protegen contenidos tales como documentos o mensajes con AD RMS, se adjunta una licencia XrML que contiene los derechos que los usuarios autorizados tienen con respecto al contenido. A fin de obtener acceso al contenido protegido con IRM, las aplicaciones habilitadas para AD RMS deben obtener una licencia de uso para el usuario autorizado del clúster de AD RMS.
Nota
En Exchange 2010, el agente de licencia previa adjunta una licencia de uso a los mensajes protegidos con el clúster de AD RMS en la organización. Para obtener más información, consulte Licencia previa más adelante en este tema.
Las aplicaciones que se usan para crear contenido deben estar habilitadas para RMS a fin de aplicar protección permanente al contenido con AD RMS. Las aplicaciones de Microsoft Office, como Word, Excel, PowerPoint y Outlook están habilitadas para RMS y se pueden usar para crear y consumir contenido protegido.
IRM le ayuda a hacer lo siguiente:
Impedir que un destinatario autorizado para contenido protegido con IRM reenvíe, modifique, imprima, envíe por fax, guarde o corte y pegue el contenido.
Proteger los formatos de archivo adjunto compatibles con el mismo nivel de protección que el del mensaje.
Admitir expiración de mensajes y datos adjuntos protegidos con IRM para que no se puedan visualizar después de un período específico.
Impedir que se pueda copiar el contenido protegido con IRM por medio de Recortes de Windows de Microsoft.
Sin embargo, IRM no puede impedir que la información se copie mediante los métodos siguientes:
Programas de captura de pantalla de terceros
Uso de dispositivos de imágenes como cámaras para fotografiar el contenido protegido con IRM que se muestra en la pantalla
Usuarios que recuerdan o transcriben la información de forma manual
Para obtener más información acerca de AD RMS, consulte Active Directory Rights Management Services.
Plantillas de directiva de derechos de AD RMS
AD RMS usa plantillas de directiva de derechos basadas en XrML para permitir que las aplicaciones habilitadas para IRM compatibles apliquen directivas de protección coherentes. En Windows Server 2008, el servidor de AD RMS presenta un servicio web que puede usarse para enumerar y adquirir plantillas. Exchange 2010 incluye la plantilla No reenviar. Cuando se aplica la plantilla No reenviar a un mensaje, solo los destinatarios del mensaje pueden descifrarlo. Los destinatarios no pueden reenviar el mensaje, copiar el contenido del mensaje ni imprimirlo. Puede crear plantillas RMS adicionales en el servidor de AD RMS de la organización a fin de cumplir con los requisitos de protección de IRM.
La protección de IRM se establece al aplicar una plantilla de directiva de derechos de AD RMS. Con las plantillas de directivas, puede controlar los permisos que los destinatarios tienen con respecto a un mensaje. Es posible controlar acciones como responder, responder a todos, reenviar, extraer información de un mensaje, o guardar o imprimir un mensaje si se aplica la plantilla de directiva de derechos adecuada al mensaje.
Para obtener más información acerca de las plantillas de directiva de derechos, consulte Consideraciones sobre las plantillas de directiva de AD RMS.
Para obtener más información acerca de cómo crear plantillas de directiva de derechos de AD RMS, consulte Guía paso a paso para la implementación de plantillas de directiva de derechos de AD RMS.
¿Qué es la fuga de información?
Aplicar protección IRM a mensajes
En Exchange 2010, se puede aplicar la protección IRM a los mensajes usando los siguientes métodos:
De forma manual por parte de los usuarios de Outlook Los usuarios de Outlook pueden proteger los mensajes con IRM mediante las plantillas de directiva de derechos de AD RMS que tienen a su disposición. Este proceso usa la funcionalidad de IRM de Outlook, no de Exchange. Sin embargo, puede usar Exchange para obtener acceso a los mensajes y puede tomar acciones (como aplicar reglas de transporte) para cumplir con la directiva de mensajería de la organización. Para obtener más información acerca del uso de IRM en Outlook, consulte Introducción al uso de IRM para mensajes de correo electrónico.
De forma manual por parte de los usuarios de Outlook Web App Cuando IRM está habilitado en Outlook Web App, los usuarios pueden proteger los mensajes que envían con IRM y ver los mensajes protegidos con IRM que reciben. En Exchange 2010 Service Pack 1 (SP1), los usuarios de Outlook Web App también puede ver los documentos adjuntos protegidos con IRM usando la Presentación de documentos WebReady. Para obtener más información acerca de IRM en Outlook Web App, vea Descripción de Information Rights Management en Outlook Web App.
Manualmente con los usuarios de dispositivos con Windows Mobile y Exchange ActiveSync En la versión RTM de Exchange 2010, los usuarios de dispositivos con Windows Mobile pueden ver y crear mensajes protegidos con IRM. Esto requiere que los usuarios conecten sus dispositivos móviles compatibles con Windows Mobile a un equipo y activarlos para IRM. En Exchange 2010 SP1, puede habilitar IRM en Exchange ActiveSync de Microsoft para permitir a los usuarios de los dispositivos Exchange ActiveSync (inclusive los dispositivos móviles Windows) para ver, responder, reenviar y crear mensajes protegidos con IRM. Para obtener más información acerca de IRM en Exchange ActiveSync, vea Descripción de Information Rights Management en Exchange ActiveSync.
De forma automática en Outlook 2010 Puede crear reglas de protección de Outlook para aplicar la protección de IRM automática a los mensajes en Outlook 2010. Las reglas de protección de Outlook se implementan de forma automática en los clientes de Outlook 2010 y Outlook 2010 aplica la protección de IRM cuando el usuario redacta un mensaje. Para obtener más información acerca de las reglas de protección de Outlook, consulte Descripción de las reglas de protección de Outlook.
De forma automática en los servidores Transporte de concentradores Puede crear reglas de protección de transporte que apliquen de forma automática la protección de IRM a los mensajes en los servidores Transporte de concentradores de Exchange 2010. Para obtener más información acerca de las reglas de protección de transporte, consulte Descripción de las reglas de protección de transporte.
Nota
La protección de IRM no se aplica nuevamente a los mensajes que ya están protegidos con IRM. Por ejemplo, si un usuario protege un mensaje con IRM en Outlook o Outlook Web App, la protección IRM no se aplica al mensaje mediante la regla de protección de transporte.
¿Qué es la fuga de información?
Escenarios para la protección de IRM
Los escenarios para la protección IRM se describen en la siguiente tabla.
Escenarios para la protección de IRM
| Cómo enviar mensajes protegidos con IRM | Se admite | Requisitos |
|---|---|---|
Dentro de la misma implementación local de Exchange 2010 |
Sí |
Para conocer los requerimientos, consulte Requisitos de IRM más adelante en este tema. |
Entre los diferentes bosques en una implementación local |
Sí |
Para conocer los requerimientos, consulte Cómo configurar AD RMS para integrar con Exchange Server 2010 en varios bosques. |
Entre la implementación local de Exchange 2010 y una organización basada en nube de Exchange 2010 |
Sí |
|
Para remitentes externos |
No |
Exchange 2010 no incluye una solución para enviar mensajes protegidos con IRM a los remitentes externos en una organización no federada. AD RMS ofrece soluciones mediante el uso de directivas de confianza. Puede configurar una directiva de confianza en el clúster de AD RMS y en Windows ID. Para enviar mensajes entre dos organizaciones, puede crear una confianza federada entre los dos bosques de Active Directory por medio de los Servicios de federación de Active Directory (AD FS). Para obtener más información, consulte Descripción de las directivas de confianza de AD RMS. |
¿Qué es la fuga de información?
Descifrar mensajes protegidos con IRM para exigir el cumplimiento de directivas de mensajería
Es necesario que pueda obtener acceso al contenido cifrado del mensaje a fin de exigir el cumplimiento de directivas de mensajería y para el cumplimiento de las reglamentaciones. A fin de cumplir con los requisitos de detección debido a litigios, auditorías reglamentarias o investigaciones internas, es necesario que pueda buscar mensajes cifrados. Para ayudar con estas tareas, Exchange 2010 incluye las siguientes características de IRM:
Descifrado de transporte Los agentes de transporte como el agente de reglas de transporte, deben tener acceso al contenido del mensaje a fin de aplicar las directivas de mensajería. El descifrado de transporte permite que los agentes de transporte instalados en los servidores de Exchange 2010 tengan acceso al contenido del mensaje. Para obtener más información, consulte Descripción del descifrado de transporte.
Descifrado de informe de diario Las organizaciones pueden usar Registro en diario para conservar el contenido del mensaje a fin de cumplir con requisitos de cumplimiento o de negocios. El agente de registro en diario crea un informe de diario para los mensajes enviados al registro en el diario e incluye metadatos acerca del mensaje en el informe. El mensaje original se adjunta al informe de diario. Si el mensaje de un informe de diario está protegido con IRM, el descifrado del informe de diario adjunta una copia del texto del mensaje sin cifrar en el informe de diario. Para obtener más información, consulte Descripción del descifrado de informes de diarios.
Descifrado IRM para Exchange Search ExchangeSearch puede indizar el contenido de mensajes protegidos con IRM con el descifrado IRM para Exchange Search. Cuando un administrador de detección usa la Búsqueda en varios buzones de correo para realizar una búsqueda de detección, los mensajes protegidos con IRM que se indizaron se devuelven en resultados de búsqueda. Para obtener más información, consulte Descripción de Búsqueda de Exchange. Para obtener más información acerca de la Búsqueda en varios buzones de correo, consulte Descripción de la búsqueda en varios buzones.
Nota
En Exchange 2010 SP1, los miembros del grupo de roles de administración de detección pueden obtener acceso a mensajes protegidos mediante IRM obtenidos gracias a una búsqueda de detección y que residan en un buzón de correo de detección. Para habilitar esta funcionalidad, use el parámetro EDiscoverySuperUserEnabled con el cmdlet Set-IRMConfiguration. Para obtener más información, consulte Configurar IRM para la búsqueda y la detección de Exchange.
Para habilitar estas características de descifrado, los servidores de Exchange deben tener acceso al mensaje. Esto se logra al agregar el buzón de correo de federación, un buzón del sistema creado por el programa de instalación de Exchange, al grupo de superusuarios del servidor de AD RMS. Para obtener detalles, vea Agregar un buzón de entrega federada al grupo de superusuarios de AD RMS.
¿Qué es la fuga de información?
Licencia previa
Para ver los mensajes y los datos adjuntos protegidos con IRM, Exchange 2010 adjunta una licencia previa automática a los mensajes protegidos. Esto evita que el cliente deba realizar varios recorridos al servidor de AD RMS para recuperar una licencia de uso y habilita, además, la visualización sin conexión de los mensajes y los datos adjuntos protegidos con IRM. La licencia previa también permite que los mensajes protegidos por IRM se visualicen en Outlook Web App. La licencia previa se habilita de forma predeterminada al habilitar las características de IRM.
¿Qué es la fuga de información?
Agentes de IRM
En Exchange 2010, los agentes de transporte habilitan la funcionalidad de IRM en los servidores de transporte de concentradores. El programa de instalación de Exchange instala los agentes de IRM en un servidor Transporte de concentradores. No se puede controlar a los agentes IRM mediante las tareas de administración para los agentes de transporte.
Nota
En Exchange 2010, los agentes IRM son agentes integrados. Los agentes integrados no están incluidos en la lista de agentes que devuelve el cmdlet Get-TransportAgent. Para obtener más información, consulte Descripción de los agentes de transporte.
En la tabla siguiente se enumeran a los agentes de IRM implementados en servidores de transporte de concentradores.
Agentes de IRM en los servidores de transporte de concentradores
| Agente | Evento | Función |
|---|---|---|
Agente de descifrado de RMS |
OnEndOfData (SMTP) y OnSubmittedMessage |
Descifra los mensajes para permitir el acceso a los agentes de transporte. |
Agente de reglas de transporte |
OnRoutedMessage |
Marca los mensajes que coinciden con las condiciones de la regla de protección de transporte para que el agente de cifrado de RMS aplique la protección de IRM. |
Agente de cifrado de RMS |
OnRoutedMessage |
Aplica la protección IRM a los mensajes que marcó el agente de reglas de transporte y vuelve a cifrar los mensajes descifrados de transporte. |
Agente de licencias previas |
OnRoutedMessage |
Adjunta una licencia previa a los mensajes protegidos con IRM. |
Agente de descifrado de informes de diario |
OnCategorizedMessage |
Descifra los mensajes protegidos con IRM adjuntos a los informes de diario e inserta versiones de texto sin cifrar junto con los mensajes cifrados originales. |
Para obtener más información acerca de los agentes de transporte, consulte Descripción de los agentes de transporte.
¿Qué es la fuga de información?
Requisitos de IRM
Para implementar IRM en su organización de Exchange 2010, su implementación debe cumplir con los requisitos descritos en la siguiente tabla.
Requisitos de IRM
| Servidor | Requisitos |
|---|---|
Clúster de AD RMS |
|
Exchange |
|
Outlook |
|
Exchange ActiveSync |
|
Nota
El término clúster deAD RMS es el que se usa para la implementación de AD RMS en la organización, incluso para la implementación en un solo servidor. AD RMS es un servicio web. No necesita la configuración de un clúster de conmutación por error de Windows Server 2008. Para lograr máxima disponibilidad y equilibrio de carga, puede implementar varios servidores de AD RMS en el clúster y usar equilibrio de carga de red.
Importante
En un entorno de producción, no se admite la instalación de AD RMS y de Exchange en el mismo servidor.
Las características de IRM de Exchange 2010 son compatibles con los formatos de archivo de Microsoft Office. Puede ampliar la protección IRM a otros formatos de archivo mediante la implementación de protectores personalizados. Para obtener más información sobre los protectores personalizados, consulte Protección de información y asociados de control en Proveedores de software independientes (en inglés).
¿Qué es la fuga de información?
Configuración y prueba de IRM
Para configurar las características de IRM en Exchange 2010 debe usar el Shell de administración de Exchange. Para configurar las características de IRM, use el cmdlet Set-IRMConfiguration. Puede habilitar o deshabilitar IRM para los mensajes internos, el descifrado de transporte, el descifrado de informes de diario, Exchange Search y Outlook Web App. Para obtener más información acerca de la configuración de las características de IRM, consulte Administración de la protección de derechos.
Después de configurar el servidor de Exchange 2010, puede usar el cmdlet Test-IRMConfiguration para realizar pruebas de un extremo a otro de la implementación de IRM. Estas pruebas resultan útiles para comprobar la funcionalidad de IRM de inmediato después de la configuración inicial de IRM y de forma continuada. El cmdlet realiza las siguientes pruebas:
Inspecciona la configuración de IRM para la organización de Exchange 2010.
Comprueba el servidor de AD RMS para obtener información sobre la versión y la revisión.
Comprueba si RMS puede activar un servidor de Exchange al recuperar un certificado de cuenta de derechos (RAC) y un certificado de emisor de licencias de cliente.
Obtiene plantillas de directiva de derechos de AD RMS desde el servidor de AD RMS.
Comprueba si el remitente especificado puede enviar mensajes protegidos con IRM.
Recupera una licencia de uso de superusuario para el destinatario especificado.
Obtiene una licencia previa para el destinatario especificado.
¿Qué es la fuga de información?
© 2010 Microsoft Corporation. Reservados todos los derechos.