Information Rights Management is DRM op zakelijk niveau (vandaar dat het ook wel Enterprise Digital Rights Management wordt genoemd). Deze techniek maakt het mogelijk de controle over digitale documenten strak ter hand te houden.

Elke organisatie heeft tegenwoordig een grote hoeveelheid informatie in diverse systemen staan. Deze informatie bestaat zowel uit gestructureerde data (database) als ongestructureerde data (bestanden). Voor data in databases is een scala aan oplossingen voorhanden om er voor te zorgen dat het niet mogelijk is via “achterdeurtjes” bij de gegevens te komen.

Voor bestanden, denk hierbij aan documenten, spreadsheets, foto’s etc, zijn er veel minder opties. Soms bieden applicaties mogelijkheden om gegevens te beveiligen, maar die gaan meestal niet veel verder dan een wachtwoord. Meestal kan dit wachtwoord met een kleine inspanning worden gekraakt, of er zijn bedrijven die dat tegen een kleine financiële vergoeding willen doen.

De meeste organisaties zijn zich er gelukkig van bewust dat zich binnen de grote hoeveelheid informatie bedrijfskritische- of geheime informatie bevindt. De methode die er toe moet leiden dat medewerkers hier bewust mee omgaan is het bekende “tekenen voor geheimhouding”.

De vraag is, wordt het daar veiliger van? Het antwoord kan kort samengevat worden in drie letters: nee. Het geeft ongetwijfeld een gevoel van (schijn) veiligheid bij diverse functionarissen binnen de organisatie, maar onder de streep levert het niets op.

Als we nader gaan kijken naar het beveiligen van bestanden, of beter gezegd, waar men bestanden tegen wil beveiligen, dan komen we uit bij:

Beveiligen tegen menselijke fouten: Waar gewerkt wordt vallen spaanders. Stel, je wilt een document versturen naar een externe persoon, maar je verzendt per ongeluk het verkeerde document. Wat nu als het document dat verzonden is ook nog bedrijfskritische- of geheime informatie bevat?

Beveiligen tegen medewerkers met administratieve rechten: Stel, u ontvangt een mail met een aangehecht document. U slaat het document op op een file share van uw afdeling zodat uw collega’s er ook notie van kunnen nemen. Voor de zekerheid maakt u ook nog een kopie op uw harde schijf. Welke beheerders hebben nu toegang tot het document? Uw mail beheerder en een ieder die administratieve rechten heeft op het Windows domein. Wat nu als het document de beoogde reorganisatie van de IT afdeling beschrijft?

Beveiligen tegen te vroeg lezen: De Miljoenennota. Elk jaar is het weer feest rond de Miljoenennota. Dit jaar was de persoon die (bewust) gelekt heeft zo eerlijk het toe te geven. Maar de kern van het probleem is dat de media en de Eerste en Tweede Kamer de Miljoenennota van te voren onder embargo krijgen, en dus eigenlijk “tekenen” voor geheimhouding. Waar gewerkt wordt vallen spaanders - soms bewust, soms onbewust.

Uiteindelijk valt meestal niet meer te achterhalen wie wat (fout) heeft gedaan. Eigenlijk zou men het zo willen regelen dat de media en de Kamers de nota onder embargo krijgen, maar dat de eigenaar (in dit geval het kabinet) dynamisch kan ingrijpen op de rechten (denk aan openen, printen, printscreen, kopiëren etc.) en kan traceren wie en wanneer toegang heeft gezocht. Overigens is het bij dergelijke waardevolle bestanden raadzaam reeds tijdens het schrijven gebruik te maken van de extra beveiliging. Niet alleen bij de media en de Kamers vallen spaanders…

Mogelijkheid tot verwijderen: Stel, u hebt een document geschreven. Dit document hebt u naar een aantal collega’s verzonden ter beoordeling. Na een aantal dagen blijkt dat uw document volledig achterhaald is. Uw ultieme wens is dat het op alle plekken verwijderd wordt. Is dit haalbaar?

Elektronische abonnementen: Uitgevers houden zich nu bezig met het uitgeven van informatie op papier waar men zich op kan abonneren. In deze tijd is het een uitdaging voor uitgevers om over te schakelen op digitale uitgaven. De reden dat uitgevers hier nog nauwelijks gebruik van maken is dat zij de uitgaven nog niet aan een persoon kunnen koppelen. En als zij dat al kunnen, dan is het voor uitgevers op dit moment niet mogelijk kopiëren tegen te gaan. De ultieme wens van elke uitgever is het uitgeven van elektronische abonnementen waarbij kopiëren onmogelijk wordt gemaakt.

Dit zijn slechts enkele voorbeelden waarbij bestanden extra beschermd kunnen of moeten worden. Er zijn legio andere voorbeelden; denk bijvoorbeeld aan diefstalbeveiliging, accountmanagers die hun offertes beperkt geldig en dus leesbaar willen laten zijn, maar ook service organisaties die er zorg voor willen dragen dat het personeel altijd de laatste versie van service handboeken gebruikt.

Er zijn op dit moment in de markt van Information Rights Managment (IRM) een aantal oplossingen die kunnen helpen om beveiliging van bestanden naar een hoger plan te tillen. Sommige oplossingen gaan verder dan andere qua functionaliteit en ondersteunde formaten. De belangrijkste functionele eisen die bij een evaluatie meegenomen moeten worden zijn:

• Eenvoudig in gebruik voor eindgebruiker
  
• Naadloze integratie met desktop applicaties
  
• Dynamische rechtenstructuur
  
• Brede ondersteuning van bestandsformaten
  
• Online en Offline gebruik

Dat IRM op dit moment een ‘hot topic’ is wordt wel bewezen door het feit dat op YouTube diverse video’s van aanbieders te vinden zijn die in het kort weergeven hoe hun IRM oplossing werkt.

Voor sommigen blijft het een leuk speeltje, maar bij een nadere analyse blijkt dat IRM tegenwoordig het verschil kan maken. Het bewust laten uitlekken van de Miljoenennota dit jaar is daar een sprekend voorbeeld van. Opgemerkt dient wel te worden dat IRM geen tovermiddel is: personen die kwaad, kunnen dit zelfs met IRM beveiligde bestanden nog steeds doen. Het verschil is wel dat men zeer bewust acties zal moeten ondernemen om de IRM beveiliging te omzeilen.

In de markt zijn nu een aantal initiatieven te ontdekken van bedrijven en instellingen die voorzichtig met IRM aan de slag gaan. Een voorbeeld is de daisy-rom die onder andere door bibliotheken wordt aangeboden. Een goed initiatief, maar het is wel een hardware oplossing. Voor het lezen van een daisy-rom heb je een daisy-speler nodig. Voor dagelijks gebruik in bedrijven en instellingen is dit geen oplossing. De oplossing zal gezocht moeten worden in een stukje software op de computer die de bovengenoemde functionaliteiten bezit.

Diverse leveranciers bieden op dit moment IRM (software) oplossingen aan. Kijk bijvoorbeeld eens op YouTube maar je kunt ook direct bij leveranciers ter rade gaan. Enige leveranciers die op IRM gebied oplossingen aanbieden zijn Oracle, ECM, Adobe en Liquid Machines.

Arjan ten Hoopen is als Fusion Middleware Solution Specialist Enterprise 2.0 werkzaam binnen Oracle.

Reageer