Seguridad de SharePoint en acción: las prácticas recomendables impulsan una colaboración segura. agility made possible

Transcripción

1 Seguridad de SharePoint en acción: las prácticas recomendables impulsan una colaboración segura agility made possible

2 Una de las aplicaciones con mayor implementación en la actualidad, Microsoft SharePoint Server, ha ganado su lugar como el sistema predilecto de ECM (administración de contenido empresarial) y colaboración entregando una experiencia del usuario rica y una funcionalidad sólida. Pero, la misma cualidad que hace que SharePoint esté tan generalizada (su capacidad para coordinar equipos globales y facilitar la ejecución de iniciativas de negocio estratégicas y a gran escala) también es el motivo por el que presenta inconvenientes de seguridad únicos. Analice estos desafíos: La facilidad con la que se pueden implementar los sitios, usualmente con poca a ninguna intervención del equipo de TI, crea escenarios expansivos que son difíciles de seguir y controlar. Tener más sitios significa tener más usuarios, pero no todos deben tener acceso universal a todas las áreas y los documentos compartidos. La constitución no estructurada y centrada en la información de SharePoint anula la capacidad de TI de identificar dónde se encuentran documentos específicos y asignar un nivel apropiado de confidencialidad. Estos ejemplos señalan un tema común: SharePoint les brinda la capacidad a los usuarios de administrar la información y las interacciones de la manera que mejor se adecúe a sus necesidades. Pero este entorno, generalmente, implica que TI no pueda ejercer el mismo grado de control que puede implementar en otros recursos clave del negocio. 02

3 los desafíos de la seguridad centrada en los documentos Más que las otras características, la naturaleza colaborativa y centrada en los documentos de SharePoint es la mayor fuente de problemas para los equipos de TI que deben garantizar que la información se publique y se comparta de manera segura, y que el acceso a ella también sea seguro. SharePoint está repleta de documentos. Y con una multitud de iteraciones y formatos, comprender el propósito de cada documento (y determinar el nivel de confidencialidad) implica un esfuerzo significativo, incluso, para las áreas de TI más sofisticadas y que cuentan con un personal experto. Si bien el nombre del documento y la identidad del creador, como la hoja de cálculo del CFO (director de finanzas) publicada con el nombre Proyecciones financieras_pf 2013, puede ofrecer pistas sobre el nivel correspondiente de confidencialidad, esta metodología no es ni remotamente efectiva. Sin conocer el contenido exacto de cada documento, el personal de TI sólo realiza suposiciones sobre los riesgos y las consideraciones de seguridad. TI necesita un método sistemático, gobernado por un conjunto uniforme de políticas para identificar la confidencialidad de un documento específico y asignar los controles de seguridad apropiados. Pero el entorno dinámico de SharePoint y el volumen extremo, y el crecimiento rápido, de la información que contiene hacen que revisar y evaluar cada elemento antes de su publicación sea imposible. Lo que es más, debido a que los documentos se actualizan constantemente, se transfieren entre sitios y se comparten interna y externamente, TI estará persiguiendo un objetivo que se encuentra en constante movimiento.

4 SharePoint requiere un enfoque de la seguridad varias capas varias capas varias capas TI se encuentra en una posición precaria en cuanto a la seguridad de SharePoint. Por un lado, es claro que muchos sitios tienen información de propiedad intelectual confidencial que se debe proteger. Sin embargo, por otro lado, los usuarios esperan cierta libertad al trabajar en SharePoint. Por lo que si bien las actividades, como navegar entre sitios y leer, modificar y actualizar documentos, se deben controlar, también son la esencia de la experiencia que ofrece SharePoint. Como resultado, TI debe encontrar un punto medio entre una seguridad demasiado permisiva y otra que sea tan restrictiva que obstaculice la experiencia colaborativa que es el fin del software. Pero no existe un único enfoque mágico que pueda entregar el equilibrio necesario. Por este motivo, TI debe implementar una metodología de varias capas que sea integral y flexible de manera de proteger apropiadamente el entorno de SharePoint sin dificultar las interacciones de los usuarios finales. 04

5 las tres capas de la seguridad efectiva de SharePoint Una estrategia efectiva para proteger los documentos confidenciales en SharePoint, al igual que la manera en que los usuarios interactúan con esta información, implica tres controles específicos: 3 seguridad del ciclo de vida Los documentos deben estar protegidos mientras se los crea y transfiere en, hacia o desde SharePoint. 1 2 seguridad de los documentos Los controles deben determinar quién puede y no puede acceder a los documentos según su confidencialidad relativa. seguridad de los sitios Los usuarios necesitan autenticación formal y autorización para ingresar a ciertos sitios. 05

6 seguridad de los sitios Desafíos Confirmar la identidad verdadera del usuario. Controlar el acceso a sitios específicos y desde ellos. Proporcionar acceso sencillo a los sitios internos, de nube o de socios de negocios. administrar las políticas de seguridad en los entornos. realizar el seguimiento de las acciones realizadas. Lo que hace falta Autenticación: validar las credenciales mediante id. y contraseña o, incluso, una tarjeta inteligente o un análisis biométrico. Inicio de sesión único: autenticación continua y transparente que permita a los usuarios moverse libremente entre los sitios aprobados sin volver a ingresar las credenciales. Autorización basada en políticas: pautas para imponer la autorización del sitio o del subsitio y otorgar acceso según el rol del usuario, su ubicación u otros criterios. Administración centralizada: para permitir la supervisión de las políticas en SharePoint desde una única ubicación. Auditoría y generación de reportes: registro de eventos para un análisis de tendencias y examinar brechas u otras actividades cuestionables. seguridad de los documentos Desafíos analizar el contenido y asignar un nivel de seguridad. Implementar el acceso basado en la confidencialidad. Lo que hace falta Análisis y clasificación de los documentos: se deben identificar las palabras clave y los patrones, como números de tarjetas de crédito, para determinar la confidencialidad relativa de un documento. Control del acceso basado en el contenido: se debe otorgar acceso a los usuarios a un sitio o un documento según qué haya en un área específica. 06 seguridad del ciclo de vida Desafíos Proteger la información durante toda su existencia en SharePoint. determinar el contexto de una interacción según roles y la confidencialidad del documento. Implementar la seguridad en varios puntos de interacción. Lo que hace falta Protección basada en riesgos en estos puntos: Publicación: para identificar cuándo un documento se cargó en el sitio incorrecto y mantener la información confidencial en el área correcta. Acceso: para determinar si un documento debe ser exclusivo para ciertos roles. Almacenamiento: para analizar sitios, identificar dónde están los documentos y realizar la acción correspondiente si la confidencialidad cambia. Distribución: para proteger la información confidencial a medida que se transfiere interna y externamente.

7 ejemplos prácticos de las prácticas recomendables de seguridad de SharePoint El objetivo final de esta metodología de varias capas es simple: conectar de manera segura a los usuarios con los datos que necesitan y hacerlo de manera que no se suprima el valor inherente que entrega SharePoint al negocio y sus clientes y socios de negocios. Los siguientes escenarios ilustran las maneras en que estas prácticas recomendables se pueden emplear para aumentar la seguridad del entorno de SharePoint de una organización, incluidas las interacciones que tienen lugar cada día. 07

8 seguridad de los sitios y de los documentos en acción Este ejemplo ilustra cómo las primeras dos capas de un modelo de seguridad efectivo basado en las prácticas recomendables de SharePoint (seguridad de los sitios y de los documentos) trabajan en conjunto para administrar el acceso a SharePoint y proteger los datos que se encuentran en sitios específicos. Se presentan dos actores: Michael, CEO (director general) de Forward, Inc.; y John, representante de Acme Corporation, socio de negocios externo de HH. RR. de Forward, Inc. 1 Al comienzo del día laboral, John inicia sesión en el portal del socio de negocios de Forward, Inc. con su nombre de usuario asignado y la contraseña. Como John es representante de un proveedor de servicios de HH. RR. externo, el departamento de TI de Forward, Inc. le proporcionó credenciales que le otorgan acceso a sitios que contienen documentos básicos de HH. RR. y nada más. Esta autorización permite que John vea una hoja de cálculo completada con información de los empleados, localizar lo que necesita y seguir con su día laboral. 2 08

9 A continuación, aparece Michael. Como usuario interno, Michael simplemente inicia sesión en la red corporativa de Forward, Inc. y, como el inicio de sesión único está activo en segundo plano, accede a SharePoint sin volver a ingresar las credenciales. 3 4 Michael también está interesado en revisar información de los empleados, por lo que navega al sitio que contiene la misma hoja de cálculo que John vio antes. Pero, en vez de únicamente leer la información, Michael desea agregar SSN (números de seguridad social) a la lista de empleados. Michael tiene la aprobación del departamento de TI interno. Al otro día, John vuelve a iniciar sesión en SharePoint para obtener datos adicionales de la hoja de cálculo de información de empleados. Pero cuando intenta verla, se le deniega acceso porque la inclusión de los SSN modificó el contenido del documento, lo que cambió su grado de confidencialidad e hizo que no fuera apropiado para una audiencia externa. 5 09

10 seguridad del ciclo de vida en acción Este segundo escenario examina cómo prácticas recomendables bien implementadas pueden proteger la integridad de la información durante todo el ciclo de vida: desde la publicación hasta el almacenamiento del documento en SharePoint y su envío a una fuente externa. Este ejemplo específico muestra cómo las medidas correctas pueden proteger los documentos durante la publicación. Volveremos a seguir a John, quien fue contratado por la compañía Forward, Inc. para trabajar en el departamento de finanzas. Este nuevo puesto le otorga a John las credenciales de sitio y documento necesarias para ver áreas de SharePoint que contienen información financiera. Esta nueva autorización le permite a John cargar una hoja de cálculo con una proyección en un sitio básico de finanzas para que la revise y comente un colega. 1 Pero, como la organización tiene controles que pueden reconocer el contenido confidencial en el momento en el que se lo publica, John recibe una advertencia y se le solicita que publique el documento en un área más segura de SharePoint. Cuando se los implementa correctamente, estos mismos controles se pueden aprovechar para evitar que los documentos confidenciales se guarden en ubicaciones de escasa seguridad. 10

11 2!Más adelante en la semana, John ubica un archivo PDF existente de unos datos de facturación que desea almacenar en un área que está disponible centralmente para los miembros clave del equipo de finanzas. Elige un sitio de reportes financieros, carga el documento y da por terminado su trabajo del día. Durante la noche, un análisis automatizado (diseñado para analizar documentos almacenados y comparar su contenido con los sitios en los que se encuentran) marca el PDF porque contiene información de facturación de clientes, pero está en un sitio con restricciones de acceso mínimas. Por esto, a la mañana siguiente, cuando John accede al sitio de reportes, no ve el PDF que guardó el día anterior. En su lugar, encuentra una notificación que indica que se lo ha cambiado a un área más segura de SharePoint. 11

12 Este último ejemplo ilustra las maneras en que los controles sólidos de seguridad basados en el ciclo de vida siguen protegiendo la información vulnerable a medida que se la distribuye fuera del entorno de SharePoint. 1 Esta vez, John desea enviar por correo electrónico la hoja de cálculo de la proyección que cargó recientemente en el sitio de un socio de negocios externo. Pero antes de que el mensaje deje la bandeja de salida de John, una advertencia le informa que está enviando información privada y que, según políticas corporativas incorporadas en las medidas de seguridad de SharePoint, necesita la aprobación del supervisor para poder enviar el mensaje. 12

13 SharePoint ha resultado ser un recurso importante para el negocio y el departamento de TI por el rol clave e integral que juega en la ejecución de iniciativas internas y externas. Sin embargo, cuando no se implementan medidas de seguridad efectivas y completas, una gran cantidad de formas de riesgo pueden menoscabar el valor inherente de la aplicación. Por este motivo, es esencial que las organizaciones empleen prácticas recomendables para ayudar a garantizar la seguridad del sitio y los documentos y durante todo el ciclo de vida de cada elemento publicado en SharePoint y distribuido desde allí. Pero, las organizaciones primero deben comprender sus entornos de SharePoint. Deben saber qué grupos pueden acceder actualmente a SharePoint, qué documentos están almacenados allí y si su uso está limitado a los usuarios internos o está disponible para las audiencias externas. Con esta información, las compañías deben realizarse estas preguntas sobre la implementación de las prácticas recomendables de seguridad: Lo más importante para el negocio es asignar una combinación de capacidades coherentes de autenticación, de autorización o de inicio de sesión único? La colaboración con información confidencial es tan frecuente que los controles basados en el contenido y de acceso al documento deberían ser una prioridad? La incapacidad de controlar dónde se encuentra la información confidencial ocasiona un riesgo mayor de exposición? Finalmente, las organizaciones no deben sentir que están solas en el proceso. En cambio, deben trabajar con un socio de negocios que tenga una trayectoria comprobada sobre la evaluación de los riesgos de seguridad en varios entornos de SharePoint, y las soluciones de administración de identidades y accesos que hacen que las prácticas recomendables sean una realidad. 13

14 CA Technologies (NASDAQ: CA) es una empresa de soluciones y software de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los productos y servicios innovadores de CA Technologies ofrecen una información detallada y el control esencial para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de la lista Global Fortune 500 confía en CA Technologies para administrar sus cambiantes ecosistemas de TI. Si desea obtener más información, visite CA Technologies en ca.com/ar. Copyright 2012 CA. Todos los derechos reservados. Microsoft y SharePoint son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos o en otros países. Todas las marcas registradas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal cual, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida con antelación y expresamente de la posibilidad de dichos daños.