Gerenciamento de Direitos de Informação (IRM): o que é e por que você precisa dele.

Com tantos especialistas em segurança falando sobre a necessidade de proteger os dados e as valiosas informações das empresas, é um pouco surpreendente não ouvirmos mais sobre o poder do Gerenciamento de Direitos de Informação (IRM). O IRM é uma tecnologia que protege as informações confidenciais através da incorporação de criptografia e permissões de usuário diretamente no arquivo que contém as informações. Isto é diferente da maioria das outras tecnologias de segurança que constroem proteções em torno de arquivos confidenciais.

O IRM é uma extensão para o tradicional DRM (Gerenciamento de Direitos Digitais) da Microsoft que protege os arquivos. No entanto, devido à exigência de carregamento de um plug-in na área de trabalho, ele não foi tão amplamente adotado como poderia ter sido; as proteções do IRM permanecem com o arquivo, não importa onde ele está ou quem tente acessá-lo — sem plug-in. Os documentos são protegidos durante todo o ciclo de vida, em repouso, em movimento ou em uso. Outras tecnologias de segurança tendem a proteger as informações em um estágio ou outro. Por exemplo, as soluções de segurança de perímetro, como o gerenciamento de identidade e acesso (IAM), protegem os arquivos contra o acesso de usuários não autorizados. No entanto, depois que uma pessoa tem acesso às informações, pode fazer o que quiser com elas. Enviá-las por e-mail para alguém fora da empresa. Fazer seu download em um dispositivo móvel. Mover uma cópia para um espaço de armazenamento menos seguro. Tudo o que ela quiser. Que tipo de proteção de arquivos é esse?

Em seguida, há a prevenção contra perda de dados (também chamada de proteção contra vazamento de dados) ou DLP. Esta é outra tecnologia projetada para evitar que dados confidenciais saiam do ambiente de proteção de uma empresa. A DLP geralmente funciona inspecionando o conteúdo do arquivo nos pontos de entrada e de saída e procurando palavras ou padrões específicos que correspondam a regras predeterminadas. Por exemplo, algo semelhante a um número de Segurança Social no conteúdo do arquivo é sinalizado, e o usuário é impedido de copiar o arquivo ou enviá-lo para fora da empresa. O DLP funciona melhor quando procura por conteúdos bem definidos (como números da Segurança Social ou de cartão de crédito), mas desaponta quando um administrador deseja identificar outros dados confidenciais, como propriedade intelectual que pode incluir componentes gráficos, fórmulas ou esquemas.

Em conjunto com tecnologias como IAM e DLP, o IRM é parte importante de uma estratégia de defesa detalhada para proteger tipos específicos de informação. Ele não é destinado a todos os arquivos produzidos na empresa, apenas às informações valiosas — especialmente se estas forem compartilhadas fora da empresa. Por exemplo, quando duas empresas se aproximam em uma fusão, elas precisam compartilhar informações altamente confidenciais entre si. Com o IRM incorporado nos arquivos confidenciais, as empresas podem ter certeza de que o uso do arquivo é altamente restrito e pode ser revogado pelo proprietário das informações a qualquer momento.

O IRM nunca foi tão importante quanto agora

O IRM existe há vários anos, mas nunca foi tão importante quanto agora. Por um lado, os ladrões cibernéticos estão alvejando especificamente as informações de alto valor. É uma das razões pelas quais tantos executivos empresariais estão sendo vítimas de ''phishing''. Os criminosos organizados desejam ter acesso a informações financeiras corporativas muito confidenciais. Há o caso recente de hackers que roubaram relatórios financeiros de serviços de notícias de RP antes desses relatórios serem divulgados oficialmente. Eles venderam os relatórios a operadores financeiros que usaram as informações confidenciais privilegiadas para realizar negociações e dar um golpe no mercado de ações.

Outra razão pela qual as empresas precisam de IRM para proteger arquivos importantes é o clima de regulamentação cada vez maior. Empresas e agências governamentais estão igualmente sob as normas de preferências da HIPAA, SOX, GGLBA, PCI DSS, FERPA e outras regulamentações em forma de acrônimos. A maioria delas exige que o acesso às informações seja altamente restrito, e o IRM é um dos meios para cumprir essa norma no período de vida útil de um arquivo.

Atualmente, uma terceira razão para usar o IRM é que os trabalhadores muitas vezes são a fonte de exposição acidental de dados. Em um estudo recente, o Ponemon Institute revelou que 60% dos funcionários usaram com frequência aplicativos pessoais para compartilhamento de arquivos no trabalho, enviaram e-mails não criptografados, não excluíram documentos confidenciais conforme necessário, ou acidentalmente encaminharam arquivos para pessoas não autorizadas. Acidentes e descuidos acontecem, mas o IRM pode ajudar a combater erros humanos, implantando os controles certos de documentos.

Então, por que o IRM não é utilizado mais amplamente?

Se o IRM é uma excelente medida de segurança e a necessidade é tão evidente, por que ele não é utilizado por outras organizações?  Na verdade, ele é usado por muitas organizações, mas como é uma medida de segurança, elas simplesmente não falam sobre isso  (o que é chamado de "segurança por obscuridade"). Por exemplo, a Lawyers Without Borders usa o Intralinks VIA® exclusivamente para compartilhar arquivos de modo fácil e seguro com seus clientes. O uso dos recursos de IRM do Intralinks VIA permite retirar o acesso a documentos em tempo real.

Ainda assim, tem havido obstáculos ocasionais de adoção. Alguns produtos de IRM exigem a instalação de agentes de software nos desktops e em outros dispositivos dos usuários finais. Este pode ser um impedimento para os trabalhadores que têm uma configuração de desktop bloqueado e não podem instalar agentes de software por conta própria. Esta certamente tem sido uma barreira para muitas corporações de grande porte.

Na Intralinks, acreditamos que a implementação e o uso do IRM devem ser tão fáceis e intuitivos quanto as medidas de segurança devem ser fortes – por isso não utilizamos plug-in. Se você tem informações altamente valiosas que precisam ser protegidas, venha conversar conosco sobre como protegê-las pra sempre.