Protege los datos de tu empresa con Windows Information Protection (WIP)

Se aplica a:

  • Windows 10, versión 1607 y versiones posteriores
  • En Windows 10 Mobile, versión 1607 y posteriores

Obtén más información sobre las características y las funcionalidades que se admiten en cada edición de Windows en Comparar las ediciones de Windows10.

A medida que aumenta el uso en las empresas de los dispositivos propios de los empleados, también aumenta el riesgo de pérdida de datos de forma accidental a través de aplicaciones y servicios como, por ejemplo, el correo electrónico, las redes sociales o la nube pública, que están fuera del control de la empresa. Por ejemplo, cuando un empleado envía imágenes de la ingeniería más reciente desde su cuenta de correo personal, copia y pega información de productos en un tweet o guarda un informe de ventas en curso en su almacenamiento en la nube pública.

Windows Information Protection (WIP), anteriormente denominado Protección de datos de empresa (EDP), ayuda a proteger contra esta fuga de datos en potencia sin interferir de ninguna manera con la experiencia de los empleados. WIP también ayuda a proteger las aplicaciones y los datos de la empresa contra la pérdida accidental de datos en dispositivos de empresa y dispositivos personales que los empleados llevan al trabajo sin necesidad de cambios en el entorno u otras aplicaciones. Por último, la tecnología de protección de datos Azure Rights Management también funciona con WIP para ampliar la protección de los datos que salen del dispositivo, como cuando se envían datos adjuntos de correo electrónico desde una versión consciente de la empresa de un cliente de correo de administración de derechos.

Importante

Aunque WIP puede detener las pérdidas accidentales de datos de empleados honestos, no está pensado para impedir que los usuarios malintencionados quiten datos empresariales. Para obtener más información acerca de las ventajas que proporciona WIP, vea ¿Por qué usar WIP? más adelante en este tema.

Vídeo: Proteger los datos empresariales para que no se copien accidentalmente en el lugar incorrecto

Requisitos previos

Necesitarás este software para ejecutar WIP en tu empresa:

Sistema operativo Solución de administración
Windows10, versión 1607 o posterior Microsoft Intune

O bien

Microsoft Endpoint Configuration Manager

O bien

La solución actual de administración de dispositivos móviles (MDM) de terceros para toda la empresa. Consulta la documentación que acompaña al producto para obtener información acerca de las soluciones MDM de terceros. Si la MDM de terceros no dispone de soporte técnico de la interfaz de usuario para las directivas, consulta la documentación EnterpriseDataProtection CSP.

¿Qué es el control de datos de empresa?

Colaboración eficaz significa que necesitas compartir datos con otras personas de tu empresa. Este uso compartido puede ser desde un extremo donde todos tienen acceso a todo sin ningún tipo de seguridad, a otro extremo donde no se puede compartir nada y todo está muy protegido. La mayoría de las empresas se ubican en algún lugar entre los dos extremos, donde el éxito está equilibrado entre proporcionar el acceso necesario y que exista la posibilidad de divulgar datos inapropiados.

Como administrador, puedes dar respuesta a la pregunta de quién obtiene acceso a los datos mediante el uso de controles de acceso, como credenciales de empleado. Sin embargo, solo porque alguien tiene derecho a acceder a los datos no garantiza que los datos se mantendrán dentro de las ubicaciones seguras de la empresa. Esto significa que, si bien los controles de acceso son un buen comienzo, no son suficientes.

Al final, todas estas medidas de seguridad tienen una cosa en común: los empleados solo tolerarán estas molestias antes de buscar formas para superar las restricciones de seguridad. Por ejemplo, si no permites que los empleados compartan archivos mediante un sistema protegido, los empleados buscarán una aplicación externa que es muy probable que no tenga controles de seguridad.

Uso de sistemas de prevención contra pérdida de datos

Para ayudar a solucionar esta falta de seguridad, las empresas desarrollaron sistemas de prevención de pérdida de datos (también conocidos como DLP). Los sistemas de prevención contra pérdida de datos necesitan:

  • Un conjunto de reglas acerca de cómo el sistema puede identificar y clasificar los datos que necesita para estar protegido. Por ejemplo, un conjunto de reglas puede contener una regla que identifique los números de tarjeta de crédito y otra regla que identifique los números de la Seguridad Social.

  • Un modo de analizar los datos de la empresa para ver si coinciden con alguna de las reglas definidas. Actualmente, Microsoft Exchange Server y Exchange Online proporcionan este servicio para correos electrónicos en tránsito, mientras que Microsoft SharePoint y SharePoint Online proporcionan este servicio para el contenido almacenado en bibliotecas de documentos.

  • La capacidad de especificar qué sucede cuando los datos coinciden con una regla, incluso si los empleados pueden omitir la aplicación. Por ejemplo, en Microsoft SharePoint y SharePoint Online, el sistema de prevención contra pérdida de datos de Microsoft permite avisar a los empleados que compartieron datos, como información confidencial, y que los compartieron de todos modos (con una entrada del registro de auditoría opcional).

Desgraciadamente, los sistemas de prevención contra pérdida de datos tienen sus propios problemas. Por ejemplo, cuanto menos detallado sea el conjunto de reglas, se crean más falsos positivos, lo que lleva a los empleados a creer que las reglas ralentizan su trabajo y necesitan omitirse para seguir siendo productivos, lo que puede llevar a que los datos se bloqueen de forma incorrecta o se den a conocer incorrectamente. Otro problema importante es que los sistemas de prevención contra pérdida de datos deben implementarse ampliamente para resultar eficaces. Por ejemplo, si una empresa usa un sistema de prevención contra pérdida de datos para el correo electrónico, pero no para recursos compartidos de archivos o almacenamiento de documentos, es posible que los datos salgan por los canales desprotegidos. Pero quizás el mayor problema con los sistemas de prevención de pérdida de datos es que proporciona una experiencia desgarrada que interrumpe el flujo de trabajo natural de los empleados al detener algunas operaciones (como enviar un mensaje con datos adjuntos que el sistema etiqueta como confidenciales) al tiempo que permite a otros, a menudo de acuerdo con reglas sutiles que el empleado no ve y no puede comprender.

Usar sistemas de administración de derechos de información

Para ayudar a solucionar los posibles problemas de los sistemas de prevención contra pérdida de datos, las empresas han desarrollado sistemas de administración de derechos de información (también conocidos como IRM). Los sistemas de administración de derechos de información incrustan protección directamente en los documentos, de modo que, cuando un empleado crea un documento, determina qué tipo de protección se le aplicará. Por ejemplo, un empleado puede elegir si el documento no se puede reenviar, imprimir, compartir fuera de la organización, etc.

Después de establecer el tipo de protección, la aplicación cifra el documento para que solo las personas autorizadas puedan abrirlo, incluso entonces, solo en aplicaciones compatibles. Después de que un empleado abra el documento, la aplicación se convierte en responsable del cumplimiento de las protecciones especificadas. Dado que la protección viaja con el documento, si una persona autorizada lo envía a una persona no autorizada, la persona no autorizada no podrá leerlo ni cambiarlo. Sin embargo, para que esto funcione de manera eficaz, los sistemas de administración de derechos de información necesitan que implementes y configures un servidor y un entorno de cliente. Además, como solo los clientes compatibles pueden trabajar con documentos protegidos, es posible que el trabajo de los empleados se interrumpa inesperadamente si intentan usar una aplicación no compatible.

¿Y qué pasa cuando un empleado abandona la empresa o anula la inscripción de un dispositivo?

Por último, existe el riesgo de pérdida de datos de la empresa cuando un empleado abandona la empresa o anula la inscripción de un dispositivo. Anteriormente, solo se borraban todos los datos corporativos, junto con otros datos personales, del dispositivo.

Ventajas de WIP

WIP proporciona:

  • Separación obvia entre los datos personales y corporativos, sin necesidad de que los empleados cambien de entornos o aplicaciones.

  • Protección de datos adicional para aplicaciones de línea de negocio sin necesidad de actualizar las aplicaciones.

  • Capacidad de borrar datos corporativos de dispositivos inscritos en MDM de Intune, dejando solamente los datos personales.

  • Uso de informes de auditoría para realizar seguimientos y acciones correctoras.

  • Integración con el sistema de administración existente (Microsoft Intune, Microsoft Endpoint Configuration Manager o el sistema actual de administración de dispositivos móviles (MDM) para configurar, implementar y administrar WIP para su empresa.

Motivos para usar WIP

WIP es el mecanismo de administración de aplicaciones móviles (MAM) en Windows 10. WIP le ofrece una nueva forma de administrar la aplicación de directivas de datos para aplicaciones y documentos en sistemas operativos de escritorio de Windows 10, junto con la capacidad de quitar el acceso a datos empresariales de dispositivos personales y empresariales (después de la inscripción en una solución de administración empresarial, como Intune).

  • Cambia tu concepto de la aplicación de directivas de datos. Como administrador de la empresa, debes mantener el cumplimiento de la directiva de datos y del acceso a datos. WIP ayuda a proteger la empresa en dispositivos corporativos y de propiedad de los empleados, incluso cuando el empleado no usa el dispositivo. Cuando los empleados crean contenido en un dispositivo protegido de la empresa, pueden guardarlo como documento de trabajo. Si es un documento de trabajo, se convertirá en datos de empresa mantenidos localmente.

  • Administra los documentos, las aplicaciones y los modos de cifrado de la empresa.

    • Copiar o descargar datos de empresa. Cuando un empleado o una aplicación descargan contenido de una ubicación como SharePoint, un recurso compartido de red o una ubicación web empresarial, mientras usa un dispositivo protegido WIP, WIP cifra los datos en el dispositivo.

    • Uso de aplicaciones protegidas. Las aplicaciones administradas (aplicaciones que **** has incluido en la lista Aplicaciones protegidas de la directiva de WIP) pueden acceder a los datos de tu empresa e interactuarán de forma diferente cuando se usan con aplicaciones no permitidas, no empresariales o solo personales. Por ejemplo, si se establece la administración WIP en Bloquear, tus empleados podrán copiar en una aplicación protegida y pegar en otra aplicación protegida, pero no en aplicaciones personales. Imagine persona de recursos humanos quiere copiar una descripción del trabajo de una aplicación protegida al sitio web de carrera interna, una ubicación protegida por la empresa, pero comete un error e intenta pegarla en una aplicación personal en su lugar. La acción de pegar produce un error y aparece una notificación que indica que la aplicación no pudo pegar los datos debido a una restricción de directiva. Entonces, la persona de RR. HH. realiza la acción de pegar correctamente en el sitio web de empleo y funciona sin problemas.

    • Aplicaciones administradas y restricciones. Con WIP puedes controlar qué aplicaciones tienen acceso y pueden usar los datos de tu empresa. Después de agregar una aplicación a la lista de aplicaciones protegidas , esta se considera de confianza para los datos empresariales. Todas las aplicaciones que no aparecen en esta lista se detienen para que no tengan acceso a los datos de la empresa, en función del modo de administración de WIP.

      No tienes que modificar aplicaciones de línea de negocio que nunca toquen datos personales para enumerarlos como aplicaciones protegidas; solo tienes que incluirlas en la lista de aplicaciones protegidas.

    • Decidir el nivel de acceso a los datos. WIP te permite bloquear, permitir invalidaciones o auditar las acciones de uso compartido de datos entre los empleados. Ocultar invalidaciones detiene la acción inmediatamente. Si se permite la invalidación, se comunica al empleado que hay un riesgo, pero se le permite seguir compartiendo los datos, aunque se registra y se audita la acción. Silent simplemente registra la acción sin detener nada que el empleado podría haber invalidado al usar esa configuración; recopilar información que puede ayudarte a ver patrones de uso compartido inadecuado para que puedas realizar acciones educativas o buscar aplicaciones que se deben agregar a tu lista de aplicaciones protegidas. Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).

    • Cifrado de datos en reposo. WIP te ayuda a proteger los datos de empresa en archivos locales y en medios extraíbles.

      Aplicaciones como Microsoft Word funcionan con WIP para proteger tus datos en archivos locales y medios extraíbles. Se hace referencia a estas aplicaciones como conscientes de la empresa. Por ejemplo, si un empleado abre el contenido cifrado WIP desde Word, modifica el contenido y, a continuación, intenta guardar la versión editada con un nombre diferente, Word aplica automáticamente WIP en el documento nuevo.

    • Evita la revelación accidental de datos en espacios públicos. WIP protege los datos de su empresa para que no se compartan en espacios públicos, como la nube pública, de forma accidental. Por ejemplo, si Dropbox™ no está en la lista de aplicaciones permitidas, los empleados no pueden sincronizar archivos cifrados con su almacenamiento en la nube personal. En cambio, si el empleado almacena el contenido en una aplicación de la lista de aplicaciones permitidas, como Microsoft OneDrive para la Empresa, los archivos cifrados se sincronizan libremente con la nube de la empresa y se conserva el cifrado localmente.

    • Evitar la revelación accidental de datos en otros medios extraíbles. WIP te ayuda a evitar que los datos de empresa se pierdan al copiarlos o transferirlos a un medio extraíble. Por ejemplo, si un empleado copia datos de empresa en una unidad de Bus serie universal (USB) que también tiene datos personales, los datos de empresa permanecen cifrados, pero no así los datos personales.

  • Eliminar el acceso a datos de empresa en dispositivos protegidos por la empresa. WIP proporciona a los administradores la posibilidad de revocar datos de empresa desde uno o varios dispositivos de MDM, y dejar solamente los datos personales. Esto es una ventaja cuando el empleado deja la empresa o si roban un dispositivo. Después de determinar que se debe eliminar el acceso a los datos, puedes usar Microsoft Intune para anular la inscripción del dispositivo. De este modo, cuando se conecte a la red, se revocará la clave de cifrado del usuario para el dispositivo y los datos de la empresa serán ilegibles.

    Nota

    Para la administración de dispositivos Surface, se recomienda usar la rama actual de Microsoft Endpoint Configuration Manager.
    Microsoft Endpoint Manager también le permite revocar datos de empresa. Sin embargo, lo hace mediante el restablecimiento de fábrica del dispositivo.

Cómo funciona WIP

WIP te ayuda a abordar los desafíos diarios de la empresa. Incluidos:

  • Ayudar a evitar la pérdida de datos de empresa, incluso en los dispositivos pertenecientes a los empleados que no se pueden bloquear.

  • Reducir la frustración de los empleados debido a las directivas restrictivas de administración de datos en los dispositivos de empresa.

  • Ayudar a mantener la propiedad y el control de los datos de empresa.

  • Ayudar a controlar el acceso a la red y a los datos y el uso compartido de datos en aplicaciones que no cuentan con reconocimiento de empresa.

Escenarios empresariales

Actualmente, WIP contempla estos escenarios empresariales:

  • Puedes cifrar datos empresariales en dispositivos pertenecientes a los empleados y pertenecientes a la empresa.

  • Puedes borrar los datos empresariales de equipos administrados forma remota, incluidos los equipos pertenecientes a los empleados, sin que ello afecte a los datos personales.

  • Puedes proteger aplicaciones específicas que puedan tener acceso a datos empresariales que sean claramente reconocibles para los empleados. También puedes detener el acceso de las aplicaciones no protegidas a datos empresariales.

  • Los empleados no verán interrumpido su trabajo de ninguna manera al cambiar entre aplicaciones personales y empresariales mientras las directivas de empresa estén implementadas. No es necesario cambiar de entorno ni iniciar sesión varias veces.

Modos de protección de WIP

Los datos empresariales se cifran automáticamente después de que se carguen en un dispositivo desde un origen de la empresa o si un empleado marca los datos como corporativos. A continuación, cuando los datos empresariales se escriben en el disco, WIP usa el Sistema de cifrado de archivos (EFS) que proporciona Windows para protegerlo y asociarlo con la identidad de la empresa.

La directiva de WIP incluye una lista de aplicaciones de confianza protegidas para obtener acceso y procesar datos corporativos. Esta lista de aplicaciones se implementa mediante la funcionalidad AppLocker, que permite controlar qué aplicaciones se pueden ejecutar e informar al sistema operativo Windows que las aplicaciones pueden editar datos corporativos. Las aplicaciones que se incluyen en esta lista no tienen que modificarse para abrir datos corporativos porque, al estar en la lista, Windows puede determinar si les concede acceso. Sin embargo, como novedad para Windows10, los desarrolladores de aplicaciones pueden usar un nuevo conjunto de interfaces de programación de aplicaciones (API) para crear aplicaciones habilitadas que pueden usar y editar datos personales y empresariales. Una gran ventaja para trabajar con aplicaciones habilitadas es que las aplicaciones de uso dual, como Microsoft Word, pueden usarse con menos preocupación sobre el cifrado de datos personales por error porque las API permiten a la aplicación determinar si los datos son propiedad de la empresa o personal.

Nota

Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP).

Puedes establecer la directiva de WIP para que use uno de los cuatro modos de protección y administración:

Modo Descripción
Bloquear WIP busca prácticas de uso compartido inapropiado de datos y evita que el empleado complete la acción. Esto puede incluir compartir datos de empresa con aplicaciones no protegidas por la empresa además de compartir datos de empresa entre aplicaciones o intentar compartir fuera de la red de tu organización.
Permitir invalidaciones WIP busca usos compartidos inapropiados de datos y advierte a los empleados si realizan acciones potencialmente no seguras. Sin embargo, este modo de administración permite a los empleados invalidar la directiva y compartir los datos, registrando la acción en el registro de auditoría.
Silencio WIP se ejecuta en modo silencioso y registra el uso compartido inapropiado de datos, pero no detiene ninguna advertencia causada por la interacción de los empleados que se hubiera realizado durante el modo Permitir invalidaciones. Las acciones no autorizadas siguen detenidas, como, por ejemplo, el intento de acceso inapropiado de aplicaciones a un recurso de red o datos protegidos por WIP.
Desactivado WIP está desactivo y no ayuda a proteger ni auditar los datos.

Tras desactivar WIP, se intentan descifrar los archivos etiquetados de WIP en las unidades conectadas localmente. Ten en cuenta que la información de directiva y descifrado anterior no se vuelve a aplicar automáticamente si vuelves a activar la protección WIP.

Desactivar WIP

Puedes desactivar Windows Information Protection y todas las restricciones, descifrando de todos los dispositivos administrados mediante WIP y revertiendo al estado antes de WIP, sin perder datos. Sin embargo, esto no se recomienda. Si decides desactivar WIP, siempre puedes volver a activarlo, pero no se volverá a aplicar automáticamente la información de descifrado y directivas.

Pasos siguientes

Una vez decidas usar WIP en tu empresa, debes:

Nota

Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre cómo contribuir a este tema, consulte Editing Windows it professional documentation.