Proteggere i dati aziendali con Windows Information Protection (WIP)

Si applica a:

  • Windows10 versione 1607 e successive
  • Windows10 mobile, versione 1607 e successive

Scopri di più sulle caratteristiche e le funzionalità supportate in ogni edizione di Windows in Confrontare le edizioni di Windows 10.

Il continuo aumento dei dispositivi di proprietà dei dipendenti usati in ambito aziendale è accompagnato anche da maggiori rischi di perdita accidentale dei dati tramite app e servizi al di fuori del controllo dell'azienda, come e-mail, social media e cloud pubblico. Questo può ad esempio avvenire quando un dipendente invia le foto di progettazione più recenti dal proprio account e-mail personale, copia e incolla informazioni su un prodotto in un tweet o salva un report sulle vendite in corso in uno spazio di archiviazione pubblico sul cloud.

Windows Information Protection (WIP), in precedenza denominato Protezione dei dati aziendali, aiuta a prevenire le potenziali perdite di dati senza interferire in altro modo con l'esperienza dei dipendenti. Windows Information Protection consente inoltre di proteggere le app e i dati aziendali dalle perdite di dati accidentali nei dispositivi dell'azienda e nei dispositivi personali che i dipendenti portano al lavoro senza che sia necessario apportare modifiche all'ambiente o ad altre app. Infine, anche un'altra tecnologia di protezione dei dati, Azure Rights Management, funziona con Windows Information Protection per estendere la protezione per i dati che lasciano il dispositivo, ad esempio quando gli allegati e-mail vengono inviati da una versione enterprise di un client di posta Rights Management.

Importante

Mentre WIP può impedire perdite accidentali di dati da parte di dipendenti onesti, non è destinato a impedire ai partecipanti al programma Insider dolo di rimuovere i dati aziendali. Per altre informazioni sui vantaggi forniti da WIP, vedere perché usare WIP? più avanti in questo argomento.

Video: proteggere i dati aziendali dall'essere copiati accidentalmente nella posizione sbagliata

Prerequisiti

Per usare la funzionalità Windows Information Protection nella tua organizzazione è necessario questo software:

Sistema operativo Soluzione di gestione
Windows10 versione 1607 o successiva Microsoft Intune

-OPPURE-

System Center Configuration Manager

-OPPURE-

La soluzione aziendale corrente di terze parti di gestione dei dispositivi mobili (MDM, Mobile Device Management) Per informazioni sulle soluzioni MDM di terze parti, vedi la documentazione fornita con il prodotto. Se usi un sistema MDM di terze parti che non dispone del supporto dell'interfaccia utente per i criteri, fai riferimento alla documentazione sul CSP EnterpriseDataProtection.

Che cos'è il controllo dei dati aziendali?

Una collaborazione efficace significa che è necessario condividere i dati con altri utenti all'interno della tua azienda. Questo tipo di condivisione può andare da un estremo, in cui chiunque ha accesso a tutti i dati senza alcuna protezione, fino all'estremo opposto, in cui gli utenti non possono condividere alcun dato ed è tutto estremamente protetto. La maggior parte delle aziende si trova tra i due estremi, uno scenario in cui il successo è bilanciato tra la concessione dell'accesso necessario e la potenziale divulgazione accidentale dei dati.

In qualità di amministratore, puoi risolvere il problema di chi ha accesso ai tuoi dati usando i controlli di accesso, ad esempio le credenziali per i dipendenti. Tuttavia, il semplice fatto di disporre di diritti di accesso ai dati non garantisce che tali dati rimarranno all'interno di un luogo sicuro nell'azienda. Questo vuol dire che se i controlli di accesso sono un ottimo punto di partenza, non sono sufficienti.

In conclusione, tutte queste misure di sicurezza hanno una cosa in comune: i dipendenti sono disposti a tollerare solo una scomodità minima prima di cercare alternative per aggirare le restrizioni di sicurezza. Ad esempio, se i dipendenti non sono autorizzati a condividere file tramite un sistema protetto, faranno ricorso a un'app esterna che molto probabilmente non disporrà degli opportuni controlli di sicurezza.

Uso dei sistemi di prevenzione della perdita dei dati

Per risolvere questa insufficienza di sicurezza, le aziende hanno sviluppato sistemi di prevenzione della perdita dei dati (noti anche come DLP). I sistemi di prevenzione della perdita dei dati richiedono:

  • Un set di regole sul modo in cui il sistema può identificare e classificare i dati da proteggere. Può contenere, ad esempio, una regola che identifica i numeri di carta di credito e un'altra che identifica i codici fiscali.

  • Un modo per eseguire la scansione dei dati aziendali per vedere se corrispondono a una delle regole impostate. Attualmente, Microsoft Exchange Server e Exchange Online forniscono questo servizio per i messaggi e-mail in transito, mentre Microsoft SharePoint e SharePoint Online lo mettono a disposizione per i contenuti archiviati nelle raccolte documenti.

  • La possibilità di specificare cosa accade quando i dati corrispondono a una regola, ad esempio se i dipendenti possono ignorarne l'imposizione. Ad esempio, in Microsoft SharePoint e SharePoint Online il sistema di prevenzione della perdita dei dati Microsoft consente di avvertire i dipendenti se i dati condivisi includono informazioni sensibili, condividendoli comunque (con una voce del log di controllo opzionale).

Sfortunatamente, i sistemi di prevenzione della perdita dei dati presentano alcuni problemi. Ad esempio, quanto più il set di regole è dettagliato, tanto più vengono creati falsi positivi, inducendo i dipendenti a credere che le regole rallentano il lavoro e pertanto vanno ignorate per mantenere la produttività, portando potenzialmente a una situazione in cui i dati verranno erroneamente bloccati o rilasciati impropriamente. Un altro dei problemi principali è che i sistemi di prevenzione della perdita dei dati devono essere ampiamente implementati per risultare efficaci. Ad esempio, se la tua azienda usa un sistema di prevenzione della perdita dei dati per l'e-mail, ma non per le condivisioni file o per l'archiviazione dei documenti, è possibile che la perdita di dati avvenga attraverso canali non protetti. Ma probabilmente il problema principale dei sistemi di prevenzione della perdita dei dati è che costituiscono un'esperienza fastidiosa che interrompe il naturale flusso di lavoro dei dipendenti arrestando alcune operazioni (come l'invio di un messaggio con un allegato che il sistema contrassegna come sensibile) e consentendone altre, spesso in base a sottigliezze delle regole che il dipendente non può vedere né capire.

Uso dei sistemi Information Rights Management

Per risolvere i potenziali problemi dei sistemi di prevenzione della perdita dei dati, le aziende hanno messo a punto sistemi Information Rights Management, noti anche come sistemi IRM. I sistemi Information Rights Management integrano la protezione direttamente nei documenti, in modo che quando un dipendente crea un documento, determina quale tipo di protezione applicare. Ad esempio, un dipendente può scegliere di interrompere l'inoltro, la stampa o la condivisione all'esterno dell'organizzazione di un documento e così via.

Dopo avere impostato il tipo di protezione, l'app in cui è stato creato il documento provvede a crittografarlo, in modo che solo gli utenti autorizzati possano aprirlo e, anche allora, solo con le app compatibili. Dopo che un dipendente apre il documento, l'app diventa responsabile dell'applicazione delle protezioni specificate. Dal momento che la protezione è associata al documento, se un utente autorizzato lo invia a uno non autorizzato, quest'ultimo non sarà in grado di leggerlo o modificarlo. Tuttavia, per il corretto funzionamento dei sistemi Information Rights Management è necessario distribuire e configurare sia un ambiente server che uno client. E, dal momento che con i documenti protetti possono essere usati solo client compatibili, l'attività di un dipendente potrebbe interrompersi in modo imprevisto se tenta di usare un'app non compatibile.

E cosa succede quando un dipendente lascia l'azienda o annulla la registrazione di un dispositivo?

Il rischio di una perdita di dati sussiste anche quando un dipendente lascia l'azienda o annulla la registrazione di un dispositivo. In precedenza, si procedeva semplicemente alla cancellazione di tutti i dati aziendali dal dispositivo, insieme a eventuali altri dati personali contenuti nel dispositivo.

Vantaggi di Windows Information Protection

Windows Information Protection offre:

  • L'ovvia separazione tra dati personali e aziendali, senza richiedere ai dipendenti di cambiare ambiente o app.

  • Protezione dei dati aggiuntiva per le app line-of-business esistenti senza che risulti necessario aggiornare le app.

  • Possibilità di cancellare i dati aziendali dai dispositivi registrati in MDM Intune senza toccare i dati personali.

  • Uso di report di controllo per tenere traccia dei problemi e delle azioni correttive.

  • Integrazione con il sistema di gestione esistente (Microsoft Intune, System Center Configuration Manager o il sistema di gestione dei dispositivi mobili (MDM) corrente) per configurare, distribuire e gestire Windows Information Protection per la tua azienda.

Perché usare Windows Information Protection

WIP è il meccanismo MAM (Mobile Application Management) in Windows 10. WIP offre un nuovo modo per gestire le imposte dei criteri di dati per le app e i documenti nei sistemi operativi desktop di Windows 10, oltre alla possibilità di rimuovere l'accesso ai dati aziendali sia dai dispositivi aziendali che da quelli personali (dopo l'iscrizione in un'organizzazione soluzione di gestione, ad esempio Intune).

  • Una nuova prospettiva sull'applicazione dei criteri relativi ai dati. Gli amministratori aziendali hanno l'esigenza di mantenere la conformità dei criteri relativi ai dati e dell'accesso ai dati. WIP consente di proteggere le aziende sia nei dispositivi aziendali che in quelli di proprietà dei dipendenti, anche quando il dipendente non usa il dispositivo. Quando i dipendenti creano contenuto in un dispositivo con protezione aziendale, possono scegliere di salvarlo come documento di lavoro. Un documento di lavoro viene gestito localmente come dati aziendali.

  • Gestisci i documenti aziendali, le app e le modalità di crittografia.

    • Copia o download dei dati aziendali. Quando un dipendente o un'app scarica contenuto da una posizione come SharePoint, una condivisione di rete o una posizione Web aziendale, durante l'uso di un dispositivo protetto tramite Windows Information Protection, quest'ultimo crittografa i dati nel dispositivo.

    • Uso delle app protette. Le app gestite (app incluse nell'elenco delle app protette nei criteri WIP) possono accedere ai dati aziendali e interagiranno in modo diverso quando vengono usate con app non consentite, non aziendali o personali. Ad esempio, se la gestione WIP è impostata su blocca, i dipendenti possono copiare e incollare da un'app protetta a un'altra app protetta, ma non alle app personali. Immaginate che una persona HR voglia copiare una descrizione del lavoro da un'app protetta al sito Web interno della carriera, una posizione protetta dall'organizzazione, ma goofs e tenti di incollare in un'app personale. L'azione Incolla non riesce e viene visualizzata una notifica per segnalare che l'operazione non è possibile a causa di restrizioni imposte dai criteri. Se il dipendente incolla correttamente le informazioni nel sito Web delle posizioni aperte, l'operazione funziona senza problemi.

    • App gestite e restrizioni. Con Windows Information Protection puoi controllare quali app possono accedere ai dati dell'organizzazione e usarli. Dopo aver aggiunto un'app all'elenco delle app protette, l'app è considerata attendibile con i dati aziendali. Tutte le app non incluse in questo elenco non sono autorizzate ad accedere ai dati dell'organizzazione, a seconda della modalità di gestione di Windows Information Protection.

      Non è necessario modificare le app line-of-business che non toccano mai i dati personali per elencarli come app protette; è sufficiente includerle nell'elenco delle app protette.

    • Decisione del livello di accesso ai dati. Windows Information Protection ti consente di bloccare, consentire l'override o controllare le azioni di condivisione di dati dei dipendenti. Quando si nascondono le sostituzioni, l'azione viene immediatamente interrotta. mentre l'override segnala la presenza di un rischio al dipendente pur consentendogli di continuare con la condivisione dei dati durante la registrazione e il controllo dell'azione. Silent registra semplicemente l'azione senza arrestare qualsiasi operazione che il dipendente abbia potuto eseguire l'override durante l'uso di tale impostazione; raccolta di informazioni che consentono di visualizzare i modelli di condivisione non appropriata in modo da poter eseguire azioni educative o trovare app da aggiungere all'elenco delle app protette. Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).

    • Crittografia dei dati archiviati. Windows Information Protection consente di proteggere i dati aziendali in file locali e su supporti rimovibili.

      Le app come Microsoft Word interagiscono con Windows Information Protection per garantire una protezione continua dei dati in file locali e supporti rimovibili. Queste app vengono definite "in grado di riconoscere le funzionalità aziendali". Ad esempio, se un dipendente apre contenuto crittografato con Windows Information Protection da Word, modifica il contenuto e quindi tenta di salvare la versione modificata con un nome diverso, Word applica automaticamente Windows Information Protection al nuovo documento.

    • Prevenzione della divulgazione accidentale dei dati in spazi pubblici. Windows Information Protection consente di proteggere i dati aziendali dalla condivisione accidentale in spazi pubblici, come il cloud pubblico. Ad esempio, se Dropbox™ non è incluso nell'elenco delle app protette, i dipendenti non saranno in grado di sincronizzare i file crittografati con il proprio archivio cloud personale. Se invece il dipendente archivia il contenuto in un'app nell'elenco delle app protette, come Microsoft OneDrive for business, i file crittografati possono essere sincronizzati liberamente con il cloud aziendale, mantenendo la crittografia localmente.

    • Prevenzione della divulgazione accidentale dei dati in supporti rimovibili. Windows Information Protection consente di evitare la divulgazione dei dati aziendali durante la copia o il trasferimento in supporti rimovibili. Ad esempio, se un dipendente copia dati aziendali in un'unità USB (Universal Serial Bus) che contiene anche dati personali, i dati aziendali rimangano crittografati anche se quelli personali non lo sono.

  • Rimozione dell'accesso ai dati aziendali da dispositivi con protezione aziendale. Windows Information Protection offre agli amministratori la possibilità di revocare i dati aziendali da uno o più dispositivi registrati in Gestione di dispositivi mobili, senza toccare i dati personali. Questo è un vantaggio quando un dipendente lascia la società o in caso di furto del dispositivo. Dopo aver determinato che è necessario rimuovere l'accesso ai dati, puoi usare Microsoft Intune per annullare la registrazione del dispositivo. In tal modo, quando questo si connette alla rete, la chiave di crittografia dell'utente per il dispositivo viene revocata e i dati aziendali diventano illeggibili.

    Nota

    Per la gestione dei dispositivi Surface è consigliabile utilizzare l'opzione Current Branch di System Center Configuration Manager.
    System Center Configuration Manager consente inoltre di revocare i dati aziendali. Tuttavia, questa operazione viene eseguita tramite il ripristino delle impostazioni predefinite del dispositivo.

Funzionamento di Windows Information Protection

Windows Information Protection consente di risolvere le sfide quotidiane dell'organizzazione, tra cui:

  • Evitare le perdite di dati aziendali, anche nei dispositivi dei dipendenti che non possono essere bloccati.

  • Ridurre la frustrazione dei dipendenti a causa di criteri restrittivi di gestione dei dati nei dispositivi aziendali.

  • Mantenere la proprietà e il controllo dei dati aziendali.

  • Controllare l'accesso alla rete e ai dati e la condivisione dei dati per le app che non sono in grado di riconoscere le funzionalità aziendali.

Scenari aziendali

Windows Information Protection supporta attualmente questi scenari aziendali:

  • Puoi crittografare i dati aziendali in dispositivi di proprietà del dipendente e dell'azienda.

  • Puoi cancellare da remoto i dati aziendali nei computer gestiti, inclusi i computer di proprietà dei dipendenti senza effetti sui dati personali.

  • Puoi proteggere le app specifiche che possono accedere ai dati aziendali chiaramente riconoscibili per i dipendenti. Puoi anche impedire l'accesso ai dati aziendali alle app non protette.

  • I dipendenti non subiranno interruzioni durante il passaggio tra app personali e aziendali mentre sono attivi i criteri aziendali. Non occorre cambiare ambiente o eseguire più volte l'accesso.

Modalità di protezione di Windows Information Protection

I dati di un'organizzazione vengono crittografati automaticamente dopo essere stati caricati in un dispositivo da un'origine aziendale o se un dipendente li contrassegna come aziendali. Quindi, quando i dati aziendali vengono scritti su disco, Windows Information Protection usa il servizio Encrypting File System (EFS) di Windows per proteggerli e associarli alla tua identità aziendale.

I criteri WIP includono un elenco di app attendibili protette per l'accesso e l'elaborazione dei dati aziendali. Questo elenco di app viene implementato tramite la funzionalità AppLocker, che controlla quali app possono essere eseguite e segnala al sistema operativo Windows che le app sono autorizzate a modificare i dati aziendali. Le app incluse in questo elenco non devono essere modificate per aprire i dati aziendali dal momento che la loro presenza nell'elenco consente a Windows di determinare se concedere l'accesso. Tuttavia, una novità per Windows 10 consiste nella possibilità per gli sviluppatori di app di usare un nuovo set di API (Application Programming Interface) per creare app con riconoscimento dei dati aziendali, in grado di usare e modificare sia i dati personali che quelli aziendali. Un vantaggio enorme dell'uso delle app con riconoscimento dei dati aziendali è dato dal fatto che le app a doppio uso, come Microsoft Word, possono essere usate con minor timore di crittografare per errore i dati personali perché le API consentono all'app di determinare se le informazioni sono di proprietà dell'azienda o dell'utente.

Nota

Per informazioni su come raccogliere i file di registro di controllo, vedi Come raccogliere i registri eventi di controllo di Windows Information Protection (WIP).

Per l'impostazione dei criteri di Windows Information Protection puoi scegliere tra quattro modalità di protezione e gestione:

Modalità Descrizione
Blocca Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e impedisce al dipendente di completare l'azione. Questo può includere la condivisione di dati aziendali in app senza protezione aziendale, oltre alla condivisione di dati aziendali tra app o il tentativo di condivisione all'esterno della rete dell'organizzazione.
Consenti sostituzioni Windows Information Protection controlla se vengono eseguite operazioni di condivisione dei dati non appropriate e segnala ai dipendenti l'esecuzione di operazioni potenzialmente non sicure. Tuttavia, questa modalità di gestione permette al dipendente di ignorare i criteri e condividere comunque i dati, registrando l'azione nel log di controllo.
Invisibile all'utente Windows Information Protection viene eseguito in modo invisibile all'utente, registrando le attività di condivisione dei dati inappropriate, senza arrestare alcuna attività per cui verrebbe chiesta l'interazione del dipendente in modalità Consenti sostituzioni. Le azioni non consentite, come quella di un'app che prova in modo non appropriato ad accedere a una risorsa di rete o a dati protetti da Windows Information Protection, continuano a essere arrestate.
Disattivato Windows Information Protection è disattivato e non esegue alcuna attività di controllo o protezione dei dati.

Dopo aver disattivato Windows Information Protection, viene eseguito il tentativo di decrittografare qualsiasi file con tag di Windows Information Protection nelle unità collegate localmente. Tieni presente che le precedenti informazioni di decrittografia e sui criteri non vengono riapplicate automaticamente se riattivi Windows Information Protection.

Disattivare Windows Information Protection

Puoi disattivare del tutto Windows Information Protection e le relative restrizioni, decrittografando tutti i dispositivi gestiti da WIP e tornando allo stato precedente, senza perdita di dati. Tuttavia, questa scelta non è consigliata. Se scegli di disattivare WIP, puoi sempre riattivarlo, ma le informazioni per la decrittografia e i criteri non saranno applicate di nuovo automaticamente.

Passaggi successivi

Dopo aver deciso di usare WIP nella tua organizzazione, dovrai:

Nota

Aiutaci a migliorare questo argomento fornendoci modifiche, aggiunte e feedback. Per informazioni su come contribuire a questo argomento, vedere modifica della documentazione di Windows IT Professional.