En Raona, llevamos tiempo apostando por Paperless como una fuerza transformadora de las prácticas empresariales que aporta grandes beneficios, no tanto por el ahorro en papel como por la automatización y la optimización de procesos que conlleva. Y recientemente, Microsoft ha impulsado una nueva solución llamada Microsoft Purview que promete resolver una de las grandes inquietudes en la digitalización de procesos: la protección de la información y el Compliance de las políticas de seguridad de la empresa. Veamos en qué consisten y como su implantación conjunta puede aportar grandes beneficios a aquellos que dudan de entrar en el complejo mundo de la protección avanzada de la información.
Aunque la digitalización de los procesos es algo imparable y la generalización de las infraestructuras en la nube y del SaaS es inevitable, no ha evitado una amplia corriente de resistencia al cambio en muchos sectores tradicionales que siguen viendo poco controlables y seguras estas plataformas. A los sectores con mucha información sensible como farmacéuticas, financieras o aseguradoras se les suman aquellas empresas que tienen núcleos de información concretos a proteger de forma más estricta: contratos, propiedad intelectual, estrategia empresarial, diseños, desarrollo de productos, … Sin duda, pocas son las empresas que no deban darle prioridad al Data Governance, aunque normalmente no han desplegado políticas específicas por su alto coste de gestión y la falta de definición de la información sensible a proteger.
Microsoft Purview es la apuesta de este fabricante para generalizar la implementación de soluciones avanzadas de Compliance y Protección de la Información en los entornos de Microsoft 365, incluyendo Office, Sharepoint, Teams y Outlook. Lanzado a mediados de 2022, se trata de un nuevo branding para soluciones tecnológicas para el Data Governance ya existentes en sus plataformas, que se enfoca a simplificar el mensaje a los potenciales compradores de estas soluciones, el Chief Compliance Officer (CCO) o el Director de Seguridad de la Información (DSI), según lo llame cada sector.
Este conjunto de herramientas unifica su nombre, prescindiendo del origen tecnológico que tuvieron, y aportando una propuesta de valor clara: identificar los Riesgos de seguridad, implementar políticas transversales de seguridad en todas las plataformas tecnológicas de Microsoft y establecer un Data Governance que llegue a nivel de protección atómico del dato que las empresas requieren.
Dada la multitud de herramientas disponibles, aquellas que todo responsable debe conocer y considerar son las siguientes:
1.- Microsoft Information Protection (MIP)
Esta solución ofrece un amplio conjunto de herramientas basadas en identificar patrones en los datos, clasificarlos según la sensibilidad de la información contenida y aplicar restricciones a las acciones que se puede realizar con ellos. Se trata por lo tanto de una aproximación restrictiva que evita los riesgos limitando cosas como descargar, enviar por email o sacar una captura de pantalla de cualquier contenido con cierto nivel de sensibilidad. Fácil de comprender para los usuarios, requiere una ingente labor de consultoría para establecer los niveles de sensibilidad y de administración para crear reglas automatizadas que los apliquen de forma dinámica a todos los contenidos generados.
2.- Data Loss Prevention (DLP)
El Data Governance se implementa en esta tecnología desde una aproximación preventiva que busca evitar la circulación de información sensible dentro y, sobre todo, fuera del perímetro de la empresa. Creado para herramientas de comunicación como Exchange y Teams, monitoriza la circulación de mensajes y ficheros adjuntos para bloquear aquellos contenidos que están restringidos por las políticas de seguridad de la empresa y alertan a los administradores de estas incidencias para que puedan crear excepciones o detectar posibles fugas de información protegida.
3.- Microsoft Compliance Manager
Finalmente, el Compliance Manager es el portal que unifica la supervisión de todos los riesgos potenciales detectados, la implementación de políticas de protección y las posibles exposiciones que deben ser subsanadas cuanto antes. Este entorno centraliza la aproximación proactiva a los riesgos de seguridad, ejecutando procesos de supervisión de la configuración y el nivel de cumplimiento que se está consiguiendo. Desde él, se pueden acceder a numerosas herramientas adicionales de Auditoría, Data Governance o Communication Compliance que complementan las posibilidades de actuación que tiene el responsable de Compliance corporativo.
El gran potencial de Microsoft Purview que ven los responsables en su aplicación choca con dos grandes frenos que suelen postergar su implementación: los costes de licencias y la complejidad de la clasificación de la información corporativa. Los costes no son menores en este caso, ya que no están incluidos en Office 365 y buscan incentivar a la organización a cambiarlas por licencias de Microsoft 365 -mucho más caras-, con el impacto que, al ser para todos los usuarios, incrementa en buena medida la factura mensual. Además, la dedicación requerida en consultores y usuarios de negocio es significativa, dado que deben organizar y tipificar sus ficheros, analizar la sensibilidad de los documentos y evitar que un exceso de celo convierta en poco funcional la protección de la información.
¿Y qué aporta la visión Paperless de Raona que puede facilitar la validación de Purview en la cultura de la organización? Precisamente, el enfoque orientado a la optimización del ciclo de vida del documento -digital o en papel- facilita establecer su sensibilidad, implementar las políticas adecuadas y formar a los usuarios para saber qué implica la protección de su contenido. Nuestra solución Paperless Now se orienta a un único tipo de documento custodiado en un sitio personalizado de Sharepoint y durante el proceso de subida se aplican las etiquetas adecuadas según su sensibilidad.
Ese es el éxito de la combinación de Paperless y las tecnologías de Purview: escoger qué documentos proteger, limitar el alcance del proyecto y focalizar la gestión de la seguridad en aquellos contenidos que lo requieren. Así, se optimiza el ciclo de vida de documentos sensibles como Contratos con Clientes, Propiedad Intelectual o contenidos de los Comités de Dirección, incorporando MIP y DLP sin afectar al resto de procesos de la empresa. Además, se reduce enormemente el coste de implantación, ya que se pagan sólo las licencias de los usuarios que deban acceder a estos documentos y se focaliza el diseño de la protección en los contenidos que lo requieren.
En Raona hemos implementado estas soluciones en un gran número de clientes, adaptando la solución a las necesidades de cada empresa. Contamos con consultores expertos en digitalización de procesos y implantación de soluciones Microsoft, así que estaremos encantados de analizar juntos el escenario y encontrar la mejor solución para ayudaros a que Microsoft Purview ayude a proteger la información sensible de vuestra empresa de una forma asequible y gestionable, mejorando el ciclo de vida de los documentos importantes de la empresa. ¿Hablamos?
