agility made possible

Transcripción

1 RESUMEN SOBRE LA SOLUCIÓN CA Content-Aware Access Management for SharePoint puedo habilitar las actividades de negocios y a la vez proteger el contenido confidencial dentro de Microsoft SharePoint? agility made possible

2 Sí puede. CA Content-Aware Access Management for SharePoint detecta, clasifica y controla el acceso a información dinámica y confidencial almacenada en entornos de SharePoint. Esto hace posible que los procesos importantes de negocios continúen mientras que se protegen activos corporativos confidenciales. 2

3 resumen Desafío Microsoft SharePoint ha experimentado un crecimiento significativo en los últimos años gracias a la amplia adopción de sus capacidades de administración de contenido, colaboración y red social, y se encamina a convertirse en el negocio de mayor generación de ingresos de Microsoft. Debido a esta rápida adopción es que se acuñó el término SharePoint Sprawl (expansión de Sharepoint). La facilidad con que se pueden implementar las instancias de SharePoint ha permitido que los grupos de funciones cruzadas establezcan instancias de manera rápida aunque, en algunos casos, precipitadamente. La falta de administración, diseño y proceso dio como resultado no sólo un extenso volumen de implementaciones de SharePoint sino también el crecimiento y exposición de activos corporativos confidenciales. Oportunidad Si bien las implementaciones y datos no estructurados de SharePoint evidencian un crecimiento significativo y, a veces, inmanejable, existe una oportunidad para que el negocio conecte a los empleados con los recursos de SharePoint cómodamente y la vez proteja activos corporativos confidenciales. La administración de acceso basada en contenido mitiga la exposición de datos privados a través de su capacidad de aplicar políticas mediante la inclusión de contenido e identidades de SharePoint en las decisiones de control de acceso. Este enfoque preciso y específico del control de acceso posibilita la conexión segura de los usuarios con recursos empresariales al tiempo que reduce el riesgo del compromiso de información y de incumplimiento normativo. Beneficios La Administración de acceso basada en contenido para SharePoint permite que las organizaciones se beneficien de las siguientes maneras: Menor costo de las evaluaciones de riesgo manuales e ineficaces a través de la detección y clasificación automática Activación de procesos de negocios mientras que controla el acceso a contenido confidencial mediante la autorización específica Menor riesgo de exposición de la información y de incumplimiento normativo 3

4 Sección 1: Desafío Usos de SharePoint y desafíos de la información Los desafíos más significativos en el ámbito de la información que enfrentan las organizaciones cuando trabajan con SharePoint suelen ser el resultado de sus principales capacidades y usos habituales. Usos comunes de SharePoint La función central de SharePoint es su capacidad de almacenar documentos e imágenes confidenciales a la vez que actúa como ubicación centralizada para colaborar y mejorar eficiencias laborales. Si bien puede centralizar la información y las aplicaciones para su uso corporativo interno, también puede proporcionar un foro para que tanto socios de negocios como terceros mejoren los procesos de negocios y el uso compartido de la información en todas las fronteras de las organizaciones. No obstante, estas mismas funciones principales pueden generar la exposición y el compromiso del contenido confidencial (propiedad intelectual, información de identificación personal, información no pública o información de salud protegida). Los usuarios pueden publicar contenido confidencial en forma manual o editar y revisar el contenido existente, lo cual ocasiona un incremento de la confidencialidad. Este proceso habitual de uso de los datos puede exponer a las organizaciones ante un riesgo de la información confidencial con muy pocos o nulos controles que protejan a la organización. Publicación de la información. Los usuarios suelen aprovechar SharePoint como repositorio para almacenar contenido y documentos confidenciales. Sin embargo, muy frecuentemente la falta de procesos definidos o de diseño de arquitectura de datos permite que se publique contenido confidencial en ubicaciones o contenedores incorrectos. El resultado es que la información confidencial se almacena en ubicaciones inconvenientes con escaso conocimiento organizativo o administrativo. Por ejemplo, es posible que un departamento de finanzas instale una instancia de SharePoint con subcarpetas para almacenar documentos financieros confidenciales como la facturación de clientes e información financiera corporativa. El propósito de la arquitectura de datos era crear contenedores independientes para determinados fines y funciones organizativas. Si datos que no corresponden, como los estados de cuenta financieros de la corporación, se cargaran, publicaran o movieran a una ubicación imprevista como facturación de clientes, la organización correría un riesgo significativo de exposición de datos con un impacto financiero directo en el negocio. La falta de procesos de administración de los datos suele ocasionar la mezcla de contenido entre los contenedores desconocidos para el área de TI o de seguridad, o bien para los propietarios de la información, lo cual implica un gran riesgo para la organización. Colaboración de contenido. La colaboración dentro de SharePoint permanece como el caso de uso más prominente hasta la fecha y un factor significativo en la expansión de información de SharePoint. Sin embargo, mientras que el uso de SharePoint mejora la comunicación y la eficacia de los procesos de negocios, también aumenta el riesgo de exponer información corporativa confidencial. Si bien la publicación original de contenido podría, en principio, carecer de impacto en el negocio, el proceso evolutivo del acceso al contenido, la colaboración y el intercambio suelen culminar en la creación de contenido confidencial. Las políticas de administración del acceso que se pensaron originalmente para permitir el acceso a información no confidencial a menudo se tornan desactualizadas e ineficaces debido a la forma que adopta el contenido a medida que se produce el uso colaborativo. 4

5 Por ejemplo, una empresa que subcontrata externamente funciones centrales de negocios para una empresa consultora de procesos de negocios colabora a través de una implementación de SharePoint integrada. En un principio, no se comparte información confidencial entre las partes, como es de esperar. No obstante, durante el proceso normal de intercambio de información un empleado adjunta propiedad intelectual a un documento de una forma que no cumple con la política corporativa. Aun cuando se siguieron procesos definidos para compartir información dentro de un entorno de SharePoint con la estructura apropiada, la empresa está expuesta debido a la naturaleza de la colaboración. Los desafíos en la protección de SharePoint Las consecuencias de hacer posible el almacenamiento, el uso compartido y, en última instancia, la exposición de la información confidencial de SharePoint ocasiona diversos desafíos que se deben enfrentar a fin de reducir los riesgos existentes para la información de la organización. Incapacidad para encontrar información. La misma falta de diseño y proceso que lleva a la exposición de la información confidencial en SharePoint también contribuye a la falta de visibilidad y conocimientos administrativos. La información que no cumple con los diseños predefinidos para la arquitectura de datos y las estrategias de segmentación probablemente acabará en ubicaciones no deseadas con el transcurso del tiempo. En consecuencia, los datos confidenciales acaban diseminados dentro de SharePoint y en todas las instancias allí, desconocidas para los administradores y los propietarios de la información. Con visibilidad y conocimientos limitados sobre el lugar en que residen los más importantes activos informativos, los niveles de riesgo de la seguridad y el cumplimiento pueden aumentar de modo alarmante, sin conocimiento de la organización. Durante años, las organizaciones han intentado comprender el impacto de la información confidencial a través de evaluaciones de riesgo manuales realizadas sistema por sistema. Dada la naturaleza dinámica de los datos, estas evaluaciones se volvían irrelevantes rápidamente y sus resultados se consideraban obsoletos y casi inutilizables. Esta falta de visibilidad en tiempo real a menudo puede distorsionar la visión de una organización sobre el lugar donde residen sus sistemas y datos más significativos, lo que provoca decisiones de TI y seguridad basadas en datos erróneos y el aumento de los niveles de riesgo. Falta de conocimientos sobre clasificación. Si no se comprende dónde reside la información confidencial o si esto se comunica directamente, esto afecta directamente la capacidad de evaluar el riesgo organizativo. Las empresas suelen formular suposiciones sobre el nivel de confidencialidad del contenido según dónde creen que se almacena la información, lo cual, al final, les brinda una perspectiva errónea. Las organizaciones deben ser capaces de clasificar activamente la información dinámica en relación con las políticas corporativas y normativas a fin de medir con precisión los niveles de riesgo de SharePoint y dar prioridad a los controles eficaces de seguridad. La incapacidad de hacerlo así a menudo deja a las organizaciones expuestas al riesgo financiero y normativo, en ocasiones sin que nadie esté en conocimiento de ello. Controles ineficaces de acceso a la información. La falta de visibilidad de los datos y la incapacidad para clasificar contenido en base a políticas afecta directamente a la autorización efectiva. Las políticas de administración de acceso web están diseñadas para controlar el acceso de usuarios a las URL y contenedores basándose en la suposición de que la organización conoce los tipos de datos que residen dentro de una ubicación designada. 5

6 No obstante, la información suele ser almacenada dentro de contenedores equivocados, sin que se sepa, lo que provoca la mezcla de contenido confidencial y el acceso sin garantías. La falta de visibilidad sobre el lugar donde se almacena la información confidencial, conjuntamente con políticas de acceso basadas en información errónea genera que la organización quede expuesta. Las organizaciones deben ser capaces de vincular con exactitud el contenido con las decisiones de control de acceso, para mitigar el riesgo del compromiso de datos. Sección 2: Oportunidad Administración de acceso basada en contenido para SharePoint CA Technologies ayuda a resolver los desafíos de la información en SharePoint anteriormente mencionados con la solución Content-Aware Access Management. A través de la detección y clasificación automatizada de datos y el control de acceso basado en contenido, las organizaciones pueden mitigar el riesgo financiero y normativo que se genera con la exposición de información confidencial en SharePoint. Cómo funciona CA Content-Aware Access Management for SharePoint Las organizaciones suelen depender de administradores de SharePoint con funciones cruzadas para garantizar que los roles adecuados tengan el acceso correcto a los activos importantes dentro de aplicaciones web protegidas. No obstante, la concreción de estas metas es improbable debido a la variedad de desafíos que se deben superar. CA Technologies puede ayudar a controlar el acceso a información confidencial almacenada dentro de SharePoint gracias a su capacidad de identificar y clasificar con exactitud la información basándose en políticas corporativas y normativas, y luego autorizar el acceso a partir de la identidad y el contenido. Detección de información. La información confidencial diseminada en las áreas de SharePoint suele ser desconocida para los individuos y administradores responsables de su administración. Para resolver este problema, CA DataMinder Classification está diseñada para ofrecer visibilidad en tiempo real de la ubicación de contenido dinámico y confidencial y al mismo tiempo se aplica a la TI y los componentes de software de seguridad para mejorar sus funcionalidad principal. CA DataMinder Classification se integra con estos componentes de software, incluido CA SiteMinder, a través de una API de servicios web. La API de servicios web acepta comandos remotos que le permiten para analizar y extraer de manera activa el contenido a medida que cambian los documentos. Clasificación de contenido. El siguiente paso del proceso es la clasificación de contenido. La clasificación de nivel de sistema ya no resulta suficiente dada la naturaleza transitoria y dinámica del contenido. En lugar de ello, las organizaciones deben clasificar contenido basándose en políticas internas corporativas y normativas para poder medir el riesgo de la información con precisión. CA DataMinder Classification clasifica el contenido de modo preciso y dinámico basándose en políticas corporativas y normativas predefinidas. Una vez que se analizó el documento, procede a clasificar el contenido y aplicarlo a CA SiteMinder para luego aumentar sus capacidades principales con inteligencia de clasificación, de modo tal de tomar decisiones de control de acceso con mayor fundamento. CA DataMinder Classification es capaz de mejorar la precisión de la clasificación y al mismo tiempo reducir los falsos positivos a través de un proceso sistemático de describir, registrar y analizar contenido. 6

7 Tipos de clasificación Información de identificación personal (PII) Propiedad intelectual (IP) Información no pública (NPI) Conducta del empleado Tratamiento del cliente Controles financieros Fechas de nacimiento Núm. de empleados Núm. de seguro social Información de tarjetas de crédito Información privada de salud Código de fuente Diseños de producto Información de investigación Solicitudes de patentes Listas de clientes Información financiera Actividad de fusiones y adquisiciones Comunicación ejecutiva Asuntos judiciales y normativos Intimidación Obsequios y gastos de representación Comunicación de prensa Uso inapropiado de la web Quejas Infracciones de nivel de servicio Promesas y garantías Acoso Presupuestos y previsiones Materiales de auditorías Reportes de gastos Reportes y archivamientos Comunicaciones con entes reguladores Control de acceso basado en contenido. Así, CA SiteMinder es capaz de utilizar la ubicación y la clasificación de contenido con la identidad para controlar el acceso. Los controles de acceso web suelen determinar la autorización de URL y de nivel de contenedor basándose en distintos atributos, como función, privilegio y ubicación. Esto, por supuesto, ayuda a validar la identidad del usuario para su acceso a una URL, pero no valida a cuál contenido se debería tener acceso. CA SiteMinder puede aprovechar los distintos atributos relacionados con el acceso para brindar mejores capacidades de control de acceso. Una vez que CA DataMinder Classification determinó la ubicación y la clasificación de contenido confidencial, CA SiteMinder aplica esta información a las políticas predefinidas que habilitan el control de acceso específico. A través de la comprensión de la identidad y el contenido, CA Technologies puede ofrecer al usuario correcto el acceso adecuado al contenido correspondiente, y así permite los procesos de negocios a la vez que protege el contenido confidencial. Esta capacidad de aprovechar el contenido dentro de sus políticas de autorización ayuda a que CA SiteMinder se distinga de la competencia. 7

8 CA Content-Aware Access Management for SharePoint 1. El usuario es autenticado en SharePoint por CA SiteMinder. 2. Luego el usuario solicita acceso a una hoja de cálculo que reside dentro de un contenedor de SharePoint. 3. CA SiteMinder solicita el tipo de clasificación del contenido requerida desde CA DataMinder Classification. 4. Si la clasificación NO está en la memoria caché, CA DataMinder Classification analiza el contenido y lo clasifica en tiempo real. 5. CA DataMinder Classification realiza una búsqueda dentro de su memoria caché de las clasificaciones conocidas, y devuelve un tipo de clasificación. En este escenario, el tipo de clasificación es una clasificación de tarjeta de crédito. 6. A continuación, CA SiteMinder proporciona un control de acceso específico y bloquea o permite el acceso basándose en el modo en que la clasificación está definida dentro de la política. Ilustración A. Cómo funciona CA Content-Aware Access Management for SharePoint. 8

9 Administración de acceso basada en contenido de CA Technologies para Sharepoint Sección 3: Beneficios Reduzca la exposición de la información con CA Content-Aware Access Management A medida que la información confidencial prolifera en todas las organizaciones que manejan conocimientos, SharePoint se mantiene como la piedra angular en el impulso de avance de los negocios y la mejora de las eficiencias. Esto, como ya se analizó, no ocurre sin generar consecuencias. La Administración de acceso basada en contenido de CA Technologies reduce la exposición de la información al aprovechar tanto el contenido como la identidad para permitir un control de acceso web específico. Ayuda a reducir costos a través de la detección y clasificación automáticas La falta de visibilidad es uno de los principales contribuyentes a la exposición de los datos. Es la consecuencia de la ineficacia del diseño de la arquitectura de datos y de los procesos de administración de autorizaciones y datos. CA DataMinder Classification puede mitigar eficazmente estas brechas mediante la detección automática y dinámica de contenido. Si CA DataMinder Classification no conoce el contenido ni la clasificación a los que se intenta acceder, o bien si ha cambiado recientemente, detectará y clasificará de forma activa el contenido cuando lo solicite CA SiteMinder. Lo que suele ser un esfuerzo manual y de nivel de sistema, se automatiza mediante CA DataMinder Classification reduciendo el tiempo, el costo y las imprecisiones de las evaluaciones manuales. Activación de procesos empresariales al mismo tiempo que se brinda protección al contenido confidencial Una de las metas de la administración de acceso web es brindar un firme equilibrio entre la activación de negocios con la protección de contenido. Las actuales tecnologías de administración de acceso web aplican políticas basándose en la intención del diseño original de los contenedores. Sin embargo, como ya sabemos, el contenido dentro de éstos cambia con el tiempo y afecta en última instancia a la eficacia de los controles de acceso. CA SiteMinder puede ayudar a superar este desafío con la autorización de acceso a contenido confidencial otorgada mediante un control de acceso específico basado en contenido. Ahora, las organizaciones pueden permitir que el usuario indicado tenga el acceso correspondiente al contenido correcto. Reducción del riesgo de exposición de la información e incumplimiento La confidencialidad de la información almacenada en SharePoint puede variar ampliamente según la industria, el negocio y el grupo funcional. Las políticas corporativas y normativas de datos están diseñadas para proteger a la organización y a sus clientes con respecto a la forma en que se administran los datos. La información sobre las finanzas, el comportamiento de los empleados, el trato hacia los clientes, la propiedad intelectual y la identificación personal son todos tipos relevantes de datos que se deben clasificar y controlar con eficacia para reducir el riesgo de exposición de los datos y de incumplimiento normativo. CA Content-Aware Access Management es capaz de detectar, clasificar y proteger información confidencial basándose en políticas predefinidas y así ayuda a proteger la marca y reducir el riesgo de compromiso de datos e incumplimiento normativo. 9

10 Sección 4: La ventaja de CA Technologies CA Content-Aware no sólo le permite controlar las identidades y los accesos del usuario sino también el uso de la información. La protección y los controles de la información eficaces son imperativos para cumplir con los requisitos de cumplimiento corporativo y las políticas de seguridad y a la vez, activar procesos de negocios significativos. CA Technologies ha sido líder en la administración de TI durante más de 30 años, tiene más de 1000 clientes de seguridad y está comprometido a seguir llevando capacidades de seguridad innovadoras al mercado. Tenemos un grupo extenso y dedicado de expertos en seguridad que saben cómo hacer implementaciones de seguridad exitosas y ayudar a nuestros clientes a acelerar el tiempo de evaluación. CA Technologies es una compañía de software y soluciones de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio. La mayor parte de las compañías Global Fortune 500 confía en CA Technologies para administrar sus cambiantes ecosistemas de TI. Si desea obtener más información, visite CA Technologies en ca.com. Copyright 2012 CA. Todos los derechos reservados. Microsoft SharePoint es una marca registrada de Microsoft Corporation en los Estados Unidos o en otros países. Todas las marcas registradas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En tanto y en cuanto lo permitan las leyes aplicables, CA proporciona este documento tal y como está sin ninguna clase de garantía, incluidas, entre ellas, garantías implícitas de comercialización, de adecuación para un fin determinado o de inexistencia de infracciones. En ningún caso CA será responsable por cualquier pérdida o daño, directo o indirecto, derivado del uso del presente documento, incluidos, entre otros, el lucro cesante, la interrupción de la actividad comercial, la pérdida del fondo de comercio o de datos, aún cuando CA haya recibido notificación acerca de la posibilidad de dichos daños. CS2057_0212