Information Rights Management
Se aplica a: Exchange Server 2013
Los trabajadores de la información usan el correo electrónico todos los días para intercambiar información confidencial como informes y datos financieros, contratos legales, información confidencial de productos, informes y proyecciones de ventas, análisis competitivos, información de investigación y patentes e información sobre clientes y empleados. Debido a que las personas pueden obtener acceso a su correo electrónico desde prácticamente cualquier lugar, los buzones de correo se han transformado en depósitos que contienen grandes cantidades de información que puede ser confidencial. Como resultado, las fugas de información constituyen una amenaza grave para las organizaciones. Para ayudar a evitar las fugas de información, Exchange Server 2013 de Microsoft incluye características de Information Rights Management (IRM) que ofrecen protección permanente con y sin conexión para los mensajes de correo electrónico y los datos adjuntos.
¿Qué es la fuga de información?
La fuga de información que puede ser confidencial representa un costo para una organización en varios aspectos y puede producir un impacto de amplio espectro en la organización y sus negocios, empleados, clientes y asociados. Las normativas locales e industriales regulan cada vez más la manera de almacenar, transmitir y proteger determinados tipos de información. A fin de evitar la infracción a las normativas vigentes, las organizaciones deben protegerse contra la fuga de información intencionada, inadvertida o accidental.
Éstas son algunas consecuencias que resultan de la fuga de información:
Daños financieros: dependiendo del tamaño, la industria y las regulaciones locales, la pérdida de información puede dar lugar a un impacto financiero debido a la pérdida de negocio o debido a multas y daños punitivos impuestos por tribunales o autoridades reguladoras. Las sociedades públicas corren el riesgo adicional de perder capitalización del mercado debido a la difusión desfavorable en los medios de comunicación.
Daño a la imagen y la credibilidad: la pérdida de información puede dañar la imagen y credibilidad de una organización con los clientes. Asimismo y según sea la índole de la comunicación, los mensajes de correo electrónico perdidos pueden generar situaciones vergonzosas para el remitente y la organización.
Pérdida de ventaja competitiva: una de las amenazas más graves de la pérdida de información es la pérdida de ventaja competitiva en los negocios. La divulgación de planes estratégicos o información sobre fusiones y adquisiciones puede conducir a la pérdida de ingresos o de capitalización del mercado. Otras amenazas incluyen la pérdida de información sobre la investigación, los datos analíticos y otra propiedad intelectual.
Soluciones tradicionales para la fuga de información
Aunque las soluciones tradicionales para la fuga de información pueden proteger el acceso inicial a los datos, con frecuencia no ofrecen protección continua. En la tabla siguiente se enumeran algunas de las soluciones tradicionales y sus limitaciones.
Soluciones tradicionales
Solución | Descripción | Limitaciones |
---|---|---|
Seguridad de la capa de transporte (TLS) | TLS es un protocolo estándar de Internet que se usa para asegurar las comunicaciones a través de una red por medio del cifrado. En un entorno de mensajería, se usa TLS para asegurar las comunicaciones entre servidores o entre el cliente y el servidor. De forma predeterminada, Exchange 2010 usa TLS para todas las transferencias internas de mensajes. También se habilita la TLS oportunista de forma predeterminada para las sesiones con hosts externos. En primer lugar, Exchange intenta usar el cifrado TLS para la sesión; pero si no es posible establecer una conexión TLS con el servidor de destino, Exchange usa SMTP. Además puede configurar la seguridad de dominio para exigir el uso de TLS mutua a las organizaciones externas. |
TLS solo protege la sesión SMTP entre dos hosts SMTP. En otras palabras, TLS protege la información en movimiento y no brinda protección en el nivel del mensaje o para la información quieta. A menos que los mensajes estén cifrados con otro método, los mensajes en los buzones del remitente y del destinatario estarán desprotegidos. Puede solicitar TLS solo en el primer salto para el correo electrónico que se envíe fuera de la organización. Después de que un host SMTP remoto externo a la organización recibe el mensaje, lo puede retransmitir a otro host SMTP mediante una sesión no cifrada. Como TLS es una tecnología de capa de transporte, no puede ofrecer control para lo que el destinatario haga con el mensaje. |
Cifrado de correo electrónico | Los usuarios pueden usar tecnologías como S/MIME para cifrar los mensajes. | Los usuarios deciden si se cifrará un mensaje determinado. Hay costos adicionales para la implementación de una infraestructura de clave pública (PKI) y la consiguiente sobrecarga de administración de certificados para los usuarios y la protección de claves privadas. Luego que se descifra un mensaje, no hay control sobre lo que el destinatario puede hacer con la información. La información descifrada se puede copiar, imprimir o reenviar. De forma predeterminada, los datos adjuntos guardados no están protegidos. La organización no puede tener acceso a los mensajes cifrados con tecnologías como S/MIME. La organización no puede inspeccionar el contenido de los mensajes y, por consiguiente, no puede exigir el cumplimiento de directivas de mensajería, examinar mensajes para detectar virus o contenidos malintencionados ni tomar cualquier otra acción que requiera obtener acceso al contenido. |
Por último, las soluciones tradicionales no cuentan con herramientas de cumplimiento que apliquen directivas de mensajería uniforme a fin de evitar la fuga de información. Por ejemplo, un usuario envía un mensaje que contiene información confidencial y lo marca como Confidencial de la compañía y con la indicación No reenviar. Después de enviar el mensaje al destinatario, el remitente o la organización ya no tienen control sobre la información. El destinatario puede reenviar el mensaje (con características tales como reglas de reenvío automático) a cuentas de correo electrónico externas de forma intencionada o inadvertida y exponer a la organización a riesgos de fuga de información considerables.
IRM en Exchange 2013
En Exchange 2013, puede usar las características de IRM para aplicar protección persistente a mensajes y datos adjuntos. IRM usa Active Directory Rights Management Services (AD RMS), una tecnología de protección de información en Windows Server 2008 o posterior. Con las características de IRM en Exchange 2013, su organización y sus usuarios pueden controlar los derechos que tienen los destinatarios para el correo electrónico. IRM también contribuye a permitir o restringir las acciones de los destinatarios como reenviar un mensaje, imprimir un mensaje o los datos adjuntos o extraer el contenido de un mensaje o los datos adjuntos mediante copiar y pegar. La protección IRM la pueden aplicar los usuarios en Microsoft Outlook o Microsoft Office Outlook Web App, o bien puede basarse en las directivas de mensajería de su organización y aplicarse mediante reglas de protección de transporte o reglas de protección de Outlook. A diferencia de otras soluciones de cifrado de correo electrónico, IRM permite además que la organización descifre el contenido protegido a fin de exigir el cumplimiento de directivas.
AD RMS usa certificados y licencias basados en lenguaje de marcado con derechos extensible (XrML) para certificar equipos y usuarios, y para proteger el contenido. Cuando se protegen contenidos tales como documentos o mensajes con AD RMS, se adjunta una licencia XrML que contiene los derechos que los usuarios autorizados tienen con respecto al contenido. A fin de obtener acceso al contenido protegido con IRM, las aplicaciones habilitadas para AD RMS deben obtener una licencia de uso para el usuario autorizado del clúster de AD RMS.
Nota:
En Exchange 2013, el agente de licencia previa adjunta una licencia de uso a los mensajes protegidos con el clúster de AD RMS en la organización. Para obtener más información, vea Licencia previa más adelante en este tema.
Las aplicaciones que se usan para crear contenido deben estar habilitadas para RMS a fin de aplicar protección permanente al contenido con AD RMS. Las aplicaciones de Microsoft Office, como Word, Excel, PowerPoint y Outlook están habilitadas para RMS y se pueden usar para crear y consumir contenido protegido.
IRM le ayuda a hacer lo siguiente:
- Impedir que un destinatario autorizado para contenido protegido con IRM reenvíe, modifique, imprima, envíe por fax, guarde o corte y pegue el contenido.
- Proteger los formatos de archivo adjunto compatibles con el mismo nivel de protección que el del mensaje.
- Admitir expiración de mensajes y datos adjuntos protegidos con IRM para que no se puedan visualizar después de un período específico.
- Impedir que se pueda copiar el contenido protegido con IRM por medio de Recortes de Windows de Microsoft.
Sin embargo, IRM no puede impedir que la información se copie mediante los métodos siguientes:
- Programas de captura de pantalla de terceros
- Uso de dispositivos de imágenes como cámaras para fotografiar el contenido protegido con IRM que se muestra en la pantalla
- Usuarios que recuerdan o transcriben la información de forma manual
Para obtener más información sobre AD RMS, consulte Active Directory Rights Management Services.
Plantillas de directiva de derechos de AD RMS
AD RMS usa plantillas de directiva de derechos basadas en XrML para permitir que las aplicaciones habilitadas para IRM compatibles apliquen directivas de protección coherentes. En Windows Server 2008 o posterior, el servidor de AD RMS presenta un servicio web que se puede usar para enumerar y adquirir plantillas. Exchange 2013 incluye la plantilla No reenviar. Cuando se aplica la plantilla No reenviar a un mensaje, solo los destinatarios del mensaje pueden descifrarlo. Los destinatarios no pueden reenviar el mensaje, copiar el contenido del mensaje ni imprimirlo. Puede crear plantillas RMS adicionales en el servidor de AD RMS de la organización a fin de cumplir con los requisitos de protección de IRM.
La protección de IRM se establece al aplicar una plantilla de directiva de derechos de AD RMS. Con las plantillas de directivas, puede controlar los permisos que los destinatarios tienen con respecto a un mensaje. Es posible controlar acciones como responder, responder a todos, reenviar, extraer información de un mensaje, o guardar o imprimir un mensaje si se aplica la plantilla de directiva de derechos adecuada al mensaje.
Para obtener más información sobre las plantillas de directiva de derechos, consulte Consideraciones sobre las plantillas de directiva de AD RMS.
Para obtener más información sobre cómo crear plantillas de directiva de derechos de AD RMS, consulte Guía paso a paso para la creación e implementación de plantillas de directiva de permisos de Active Directory Rights Management Services.
Aplicar la protección de IRM a mensajes
En Exchange 2010, se puede aplicar la protección IRM a los mensajes usando los siguientes métodos:
Manualmente por los usuarios de Outlook: los usuarios de Outlook pueden proteger mensajes con IRM con las plantillas de directiva de derechos de AD RMS disponibles para ellos. Este proceso usa la funcionalidad de IRM de Outlook, no de Exchange. En cambio, puede usar Exchange para obtener acceso a los mensajes y puede tomar acciones (como aplicar reglas de transporte) para cumplir con la directiva de mensajería de la organización. Para obtener más información sobre el uso de IRM en Outlook, consulte Introducción a IRM para los mensajes de correo electrónico.
Manualmente por los usuarios de Outlook Web App: al habilitar IRM en Outlook Web App, los usuarios pueden proteger con IRM los mensajes que envían y ver los mensajes protegidos por IRM que reciben. En Exchange 2013 con la actualización acumulativa 1 (CU1), los usuarios de Outlook Web App también puede ver los datos adjuntos protegidos con IRM mediante la Presentación de documentos WebReady. Para obtener más información acerca de IRM en Outlook Web App, vea Information Rights Management en Outlook Web App.
Manualmente por los usuarios de dispositivos Windows Mobile y Exchange ActiveSync: en la versión de lanzamiento a la fabricación (RTM) de Exchange 2010, los usuarios de dispositivos Windows Mobile pueden ver y crear mensajes protegidos por IRM. Esto requiere que los usuarios conecten sus dispositivos móviles compatibles con Windows Mobile a un equipo y activarlos para IRM. En Exchange 2010 SP1, puede habilitar IRM en Exchange ActiveSync de Microsoft para permitir a los usuarios de los dispositivos Exchange ActiveSync (inclusive los dispositivos móviles Windows) para ver, responder, reenviar y crear mensajes protegidos con IRM. Para obtener más información acerca de IRM en Exchange ActiveSync, vea Information Rights Management en Exchange ActiveSync.
Automáticamente en Outlook 2010 y versiones posteriores: puede crear reglas de protección de Outlook para proteger automáticamente los mensajes de IRM en Outlook 2010 y versiones posteriores. Las reglas de protección de Outlook se implementan de forma automática en los clientes de Outlook 2010 y Outlook 2010 aplica la protección de IRM cuando el usuario redacta un mensaje. Para obtener más información acerca de las reglas de protección de Outlook, vea Reglas de protección de Outlook.
Automáticamente en los servidores de buzones: puede crear reglas de protección de transporte para proteger automáticamente los mensajes de IRM en los servidores de buzones de Exchange 2013. Para obtener más información acerca de las reglas de protección de transporte, vea Reglas de protección de transporte.
Nota:
La protección de IRM no se aplica nuevamente a los mensajes que ya están protegidos con IRM. Por ejemplo, si un usuario protege un mensaje con IRM en Outlook o Outlook Web App, la protección IRM no se aplica al mensaje mediante la regla de protección de transporte.
Escenarios para la protección de IRM
Los escenarios para la protección IRM se describen en la siguiente tabla.
Cómo enviar mensajes protegidos con IRM | Compatible | Requisitos |
---|---|---|
Dentro de la misma implementación local de Exchange 2013 | Yes | Para conocer los requisitos, consulte Requisitos de IRM más adelante en este tema. |
Entre los diferentes bosques en una implementación local | Sí | Para conocer los requerimientos, consulte Cómo configurar AD RMS para integrarlo con Exchange Server 2010 en varios bosques. |
Entre la implementación local de Exchange 2013 y una organización basada en nube de Exchange | Sí |
|
Para remitentes externos | No | Exchange 2010 no incluye una solución para enviar mensajes protegidos con IRM a los remitentes externos en una organización no federada. AD RMS ofrece soluciones mediante el uso de directivas de confianza. Puede configurar una directiva de confianza entre un clúster de AD RMS y una cuenta de Microsoft (antes conocida como Windows Live ID). Para los mensajes enviados entre dos organizaciones, puede crear una confianza federada entre dos bosques de Active Directory mediante Active Directory Federation Services (AD FS). Para obtener más información, consulte Descripción de las directivas de confianza de AD RMS. |
Descifrar mensajes protegidos con IRM para exigir el cumplimiento de directivas de mensajería
Es necesario que pueda obtener acceso al contenido cifrado del mensaje a fin de exigir el cumplimiento de directivas de mensajería y para el cumplimiento de las reglamentaciones. A fin de cumplir con los requisitos de detección debido a litigios, auditorías reglamentarias o investigaciones internas, es necesario que pueda buscar mensajes cifrados. Para ayudar con estas tareas, Exchange 2013 incluye las siguientes características de IRM:
Descifrado de transporte: para aplicar directivas de mensajería, los agentes de transporte, como el agente de reglas de transporte, deben tener acceso al contenido del mensaje. El descifrado de transporte permite que los agentes de transporte instalados en los servidores de Exchange 2013 tengan acceso al contenido del mensaje. Para obtener más información, vea Descifrado de transporte.
Descifrado de informes de diario: para cumplir los requisitos empresariales o de cumplimiento, las organizaciones pueden usar el registro en diario para conservar el contenido de mensajería. El agente de registro en diario crea un informe de diario para los mensajes enviados al registro en el diario e incluye metadatos acerca del mensaje en el informe. El mensaje original se adjunta al informe de diario. Si el mensaje de un informe de diario está protegido con IRM, el descifrado del informe de diario adjunta una copia del texto del mensaje sin cifrar en el informe de diario. Para obtener más información, vea Descifrado de informe de diarios.
Descifrado de IRM para la búsqueda de Exchange: con el descifrado de IRM para La búsqueda de Exchange, Búsqueda de Exchange puede indexar contenido en mensajes protegidos por IRM. Cuando un administrador de detección realiza una búsqueda de exhibición de documentos electrónicos en contexto, los mensajes protegidos con IRM que se indizaron se devuelven en los resultados de la búsqueda. Para obtener más información, vea Exhibición de documentos electrónicos en contexto.
Nota:
En Exchange 2010 SP1 o posterior, los miembros del grupo de roles de administración de detección pueden obtener acceso a mensajes protegidos mediante IRM obtenidos gracias a una búsqueda de detección y que residen en un buzón de correo de detección. Para habilitar esta funcionalidad, use el parámetro EDiscoverySuperUserEnabled con el cmdlet Set-IRMConfiguration . Para obtener más información, vea Configurar IRM para la búsqueda y la exhibición de documentos electrónicos local de Exchange.
Para habilitar estas características de descifrado, los servidores de Exchange deben tener acceso al mensaje. Esto se logra al agregar el buzón de correo de federación, un buzón del sistema creado por el programa de instalación de Exchange, al grupo de superusuarios del servidor de AD RMS. Para obtener detalles, vea Agregar el buzón de la federación para el grupo de usuarios de AD RMS Super.
Licencia previa
Para ver los mensajes y los datos adjuntos protegidos con IRM, Exchange 2013 adjunta una licencia previa automática a los mensajes protegidos. Esto evita que el cliente deba realizar varios recorridos al servidor de AD RMS para recuperar una licencia de uso y habilita, además, la visualización sin conexión de los mensajes y los datos adjuntos protegidos con IRM. La licencia previa también permite que los mensajes protegidos por IRM se visualicen en Outlook Web App. La licencia previa se habilita de forma predeterminada al habilitar las características de IRM.
Agentes de IRM
En Exchange 2013, la función de IRM se habilita mediante los agentes de transporte en el servicio de transporte de los servidores de buzones de correo. El programa de instalación de Exchange instala los agentes de IRM en un servidor de buzones de correo. No se puede controlar a los agentes IRM mediante las tareas de administración para los agentes de transporte.
Nota:
En Exchange 2013, los agentes de IRM son agentes integrados. Los agentes integrados no están incluidos en la lista de agentes que devuelve el cmdlet Get-TransportAgent. Para obtener más información, vea Agentes de transporte.
En la tabla siguiente se enumeran a los agentes de IRM implementados en el servicio de transporte en servidores de buzones de correo.
Agentes IRM en el servicio de transporte en servidores de buzones de correo
Agente | Evento | Función |
---|---|---|
Agente de descifrado de RMS | OnEndOfData (SMTP) y OnSubmittedMessage | Descifra los mensajes para permitir el acceso a los agentes de transporte. |
Agente de reglas de transporte | OnRoutedMessage | Marca los mensajes que coinciden con las condiciones de la regla de protección de transporte para que el agente de cifrado de RMS aplique la protección de IRM. |
Agente de cifrado de RMS | OnRoutedMessage | Aplica la protección IRM a los mensajes que marcó el agente de reglas de transporte y vuelve a cifrar los mensajes descifrados de transporte. |
Agente de licencias previas | OnRoutedMessage | Adjunta una licencia previa a los mensajes protegidos con IRM. |
Agente de descifrado de informes de diario | OnCategorizedMessage | Descifra los mensajes protegidos con IRM adjuntos a los informes de diario e inserta versiones de texto sin cifrar junto con los mensajes cifrados originales. |
Para obtener más información acerca de los agentes de transporte, vea Agentes de transporte.
Requisitos de IRM
Para implementar IRM en su organización de Exchange 2013, su implementación debe cumplir con los requisitos descritos en la siguiente tabla.
Servidor | Requisitos |
---|---|
Clúster de AD RMS |
|
Exchange |
|
Outlook |
|
Exchange ActiveSync |
|
Nota:
El clúster deAD RMS es el término que se usa para una implementación de AD RMS en una organización, incluida una implementación de servidor única. AD RMS es un servicio web. No necesita la configuración de un clúster de conmutación por error de Windows Server. Para lograr máxima disponibilidad y equilibrio de carga, puede implementar varios servidores de AD RMS en el clúster y usar equilibrio de carga de red.
Importante
En un entorno de producción, no se admite la instalación de AD RMS y de Exchange en el mismo servidor.
Las características de IRM de Exchange 2013 son compatibles con los formatos de archivo de Microsoft Office. Puede ampliar la protección IRM a otros formatos de archivo mediante la implementación de protectores personalizados. Para obtener más información sobre los protectores personalizados, consulte Information Protection and Control Partners in the Microsoft Partner Center (Protección de la información y asociados de control en el Centro de partners de Microsoft).
Configuración y prueba de IRM
Para configurar las características de IRM en Exchange 2013 debe usar el Shell de administración de Exchange. Para configurar las características de IRM, use el cmdlet Set-IRMConfiguration. Puede habilitar o deshabilitar IRM para los mensajes internos, el descifrado de transporte, el descifrado de informes de diario, Exchange Search y Outlook Web App. Para obtener más información sobre cómo configurar características de IRM, consulte Procedimientos de Information Rights Management.
Después de configurar el servidor de Exchange 2013, puede usar el cmdlet Test-IRMConfiguration para realizar pruebas de un extremo a otro de la implementación de IRM. Estas pruebas resultan útiles para comprobar la funcionalidad de IRM de inmediato después de la configuración inicial de IRM y de forma continuada. El cmdlet realiza las siguientes pruebas:
- Inspecciona la configuración de IRM para la organización de Exchange 2013.
- Comprueba el servidor de AD RMS para obtener información sobre la versión y la revisión.
- Comprueba si RMS puede activar un servidor de Exchange al recuperar un certificado de cuenta de derechos (RAC) y un certificado de emisor de licencias de cliente.
- Obtiene plantillas de directiva de derechos de AD RMS desde el servidor de AD RMS.
- Comprueba si el remitente especificado puede enviar mensajes protegidos con IRM.
- Recupera una licencia de uso de superusuario para el destinatario especificado.
- Obtiene una licencia previa para el destinatario especificado.
Extender Rights Management con el conector Rights Management
El conector Microsoft Rights Management (conector RMS) es una aplicación opcional que mejora la protección de datos del servidor de Exchange 2013 mediante servicios de Microsoft Rights Management en la nube. Una vez instalado, el conector RMS proporciona protección de datos continua mientras dure la información y, como estos servicios son personalizables, puede definir el nivel de protección que necesita. Por ejemplo, puede limitar el acceso a los mensajes de correo electrónico a determinados usuarios o establecer permisos de solo vista en ciertos mensajes.
Para obtener más información sobre el conector RMS y sobre cómo instalarlo, consulte Conector Rights Management.