RESUMO DA SOLUÇÃO Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Posso possibilitar o negócio e, ao mesmo tempo, proteger o conteúdo confidencial com o Microsoft SharePoint? agility made possible™ Você pode. O gerenciamento de acesso orientado a conteúdo da CA para SharePoint detecta, classifica e controla o acesso a informações dinâmicas e confidenciais armazenadas nos ambientes do SharePoint. Isso permite que processos de negócios críticos continuem ao mesmo tempo que os ativos corporativos confidenciais são protegidos. 2 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint resumo executivo Desafio O Microsoft SharePoint testemunhou um crescimento significativo nos últimos anos por meio da ampla adoção de seus recursos de gerenciamento de conteúdo, colaboração e rede social e está no caminho de se tornar o negócio da Microsoft com a maior geração de receita. Foi devido a essa rápida adoção que o termo "Proliferação do SharePoint" foi cunhado. A facilidade com a qual as instâncias do SharePoint podem ser implantadas permitiu que grupos interfuncionais criassem instâncias em toda a organização de maneira rápida, mas às vezes precipitada. A falta de gerenciamento, design e processo resultou não apenas em um grande volume de implantações do SharePoint, mas também no crescimento e na exposição de ativos corporativos confidenciais. Oportunidade Mesmo que as implantações e os dados não estruturados do SharePoint tenham apresentado um crescimento significativo e frequentemente não sejam gerenciáveis, há uma oportunidade para que a empresa conecte de maneira conveniente os funcionários aos recursos do SharePoint e, ao mesmo tempo, proteja os ativos corporativos confidenciais. O gerenciamento de acesso orientado a conteúdo atenua a exposição de dados confidenciais por meio de sua capacidade de aplicar diretivas ao incluir o conteúdo e as identidades do SharePoint em decisões de controle de acesso. Essa abordagem precisa e aprimorada para o controle de acesso possibilita a conexão segura dos usuários a recursos corporativos e, ao mesmo tempo, reduz o risco de comprometimento das informações e não-conformidade. Benefícios O gerenciamento de acesso orientado a conteúdo para SharePoint permite que as organizações sejam beneficiadas das seguintes maneiras: •Custo reduzido de avaliações de risco manuais e ineficientes por meio de detecção e classificação automáticas. •Permissão dos processos de negócios e, ao mesmo tempo, controle do acesso a conteúdos confidenciais por meio de uma autorização aprimorada. •Risco reduzido de comprometimento das informações e não-conformidade regulatória. 3 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Seção 1: Desafio Desafios relacionados a usos e informações do SharePoint Os desafios mais críticos relacionados a informações que as organizações enfrentam ao utilizar o SharePoint muitas vezes são resultado de seus recursos essenciais e usos comuns. Usos comuns do SharePoint A função essencial do SharePoint é sua capacidade de armazenar documentos e imagens confidenciais e, ao mesmo tempo, agir como um local centralizado para colaborar e melhorar as eficiências corporativas. Embora possa centralizar informações e aplicativos para uso corporativo interno, também pode fornecer um fórum para parceiros e terceiros melhorarem seus processos de negócios e compartilhamento de informações dentro dos limites organizacionais. No entanto, são essas mesmas funções essenciais que também podem resultar na exposição e comprometimento de conteúdo confidencial (propriedade intelectual, informações de identificação pessoal, informações não públicas ou informações sobre saúde protegidas). Os usuários podem registrar conteúdo confidencial ou editar e revisar o conteúdo existente manualmente, resultando em uma confidencialidade maior. Esse processo de uso de dados típico pode expor as organizações ao comprometimento de informações confidenciais com pouco ou nenhum controle para proteger a organização. Registro de informações. Muitas vezes, os usuários utilizam o SharePoint como um repositório para armazenar documentação e conteúdos confidenciais. No entanto, frequentemente, a falta de processos definidos ou de design de arquitetura de dados permite o registro de conteúdo confidencial nos locais ou recipientes errados. O resultado é o armazenamento de informações confidenciais em locais inadequados com pouco conhecimento organizacional ou administrativo. Por exemplo, um departamento financeiro pode ter configurado uma instância do SharePoint com subpastas para armazenar documentos financeiros confidenciais, como faturamento de clientes e informações financeiras da empresa. •A finalidade da arquitetura de dados era criar recipientes separados para objetivos e funções organizacionais específicas. •Se os dados errados, como demonstrativos financeiros da empresa, forem carregados, registrados ou movidos para um local inesperado, como faturamento de clientes, a organização pode correr um risco significativo de comprometimento dos dados, com um impacto financeiro direto na empresa. •A falta de processos de gerenciamento de dados muitas vezes resulta na mistura de conteúdo em recipientes sem conhecimento da TI, da segurança ou dos proprietários das informações, fazendo com a organização corra um risco significativo. Colaboração de conteúdo. A colaboração no SharePoint permanece o caso de uso mais proeminente até o momento e um fator significativo na proliferação de informações do SharePoint. No entanto, embora o uso do SharePoint melhore a comunicação e a eficiência dos processos de negócios, também aumenta o risco de exposição de informações corporativas confidenciais. Embora o registro original de conteúdo possa não causar impacto na empresa inicialmente, o processo evolucionário do acesso, colaboração e compartilhamento de conteúdo muitas vezes resulta na criação de um conteúdo confidencial. Diretivas de gerenciamento de acesso que originalmente eram utilizadas para permitir acesso a informações não confidenciais muitas vezes se tornam desatualizadas e ineficientes devido à forma que o conteúdo ganha quando o uso colaborativo ocorre. 4 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Por exemplo, uma empresa que terceiriza funções de negócios essenciais para uma empresa de consultoria de processos de negócios colabora por meio de uma implantação integrada do SharePoint. •No início, nenhuma informação confidencial é compartilhada entre as partes, conforme esperado. •No entanto, durante o processo normal de compartilhamento de informações, um funcionário acrescenta propriedade intelectual a um documento de uma maneira que não está em conformidade com a diretiva corporativa. •Mesmo que processos definidos tenham sido seguidos para compartilhar informações em um ambiente do SharePoint arquitetado adequadamente, a empresa fica exposta devido à natureza da colaboração. Desafios de segurança do SharePoint As implicações de permitir que informações confidenciais sejam armazenadas, compartilhadas e, por fim, expostas no SharePoint resulta em vários desafios que devem ser enfrentados a fim de reduzir os riscos às informações organizacionais. Incapacidade de localizar informações. A mesma falta de design e processo que resulta na exposição de informações confidenciais no SharePoint também contribui para a falta de visibilidade e conhecimento administrativo. Informações que não seguem designs de arquitetura de dados e estratégias de segmentação predefinidas acabarão em locais inesperados ao longo do tempo. Como resultado, os dados confidenciais acabam espalhados em instâncias do SharePoint desconhecidas aos administradores e proprietários das informações. Com visibilidade e conhecimento limitados de onde os ativos de informações mais críticas residem, os níveis de segurança e conformidade podem aumentar significativamente sem o conhecimento da organização. Há anos, as organizações tentam entender o impacto das informações confidenciais por meio de avaliações de risco manuais fornecidas com base no sistema. É claro que essas avaliações se tornam irrelevantes rapidamente, devido à natureza dinâmica dos dados, tornando os resultados obsoletos e quase inutilizáveis. Essa falta de visibilidade em tempo real muitas vezes pode distorcer as percepções das organizações em relação ao local em que seus sistemas e dados mais críticos residem, resultando em decisões de TI e segurança desinformadas e níveis de risco mais elevados. Falta de conhecimento de classificação. Não entender onde as informações confidenciais residem ou são comunicadas causa um impacto direto na capacidade de avaliar o risco organizacional. Muitas vezes, as empresas pressupõem o nível de confidencialidade do conteúdo com base em onde elas acreditam que as informações estão armazenadas, o que faz com que tenham uma imagem incorreta. As organizações devem ser capazes de classificar ativamente as informações dinâmicas em relação às diretivas corporativas e regulatórias a fim de mensurar adequadamente os níveis de risco do SharePoint e priorizar controles de segurança eficazes. A incapacidade de ter essa postura deixa as organizações expostas a riscos financeiros e regulatórios, muitas vezes sem nem mesmo saber. Controles de acesso a informações ineficientes. A falta de visibilidade dos dados e a incapacidade de classificar o conteúdo com base nas diretivas causa um impacto direto na autorização eficaz. As diretivas de gerenciamento do acesso à Web são projetadas para controlar o acesso do usuário a URLs e recipientes com base na pressuposição de que a organização conhece os tipos de dados que residem em um local designado. 5 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint No entanto, muitas vezes as informações são armazenadas involuntariamente nos recipientes errados, resultando na mistura de conteúdo confidencial e acesso sem garantias. Não ter visibilidade de onde as informações confidenciais estão armazenadas juntamente com diretivas de acesso definidas com base na falta de informações deixa uma organização exposta. As organizações devem ser capazes de vincular adequadamente o conteúdo a decisões de controle de acesso a fim de atenuar o risco de comprometimento dos dados. Seção 2: Oportunidade Gerenciamento de acesso orientado a conteúdo para SharePoint A CA Technologies ajuda a enfrentar os desafios relacionados a informações do SharePoint descritos acima com o gerenciamento de acesso orientado a conteúdo. Por meio de detecção de dados automatizada, classificação e controle de acesso orientado a conteúdo, as organizações podem atenuar o risco financeiro e regulatório que resulta da exposição das informações confidenciais no SharePoint. Como funciona o gerenciamento de acesso orientado a conteúdo da CA para SharePoint Muitas vezes, as organizações contam com administradores interfuncionais do SharePoint para garantir que as funções corretas têm o acesso certo aos ativos críticos em aplicativos Web protegidos. No entanto, atingir esses objetivos é improvável devido à variedade de desafios que devem ser enfrentados. A CA Technologies ajuda a controlar o acesso a informações confidenciais armazenadas no SharePoint por meio de sua capacidade de identificar e classificar as informações adequadamente com base em diretivas corporativas e regulatórias e, em seguida, autorizar o acesso com base na identidade e no conteúdo. Detecção de informações. As informações confidenciais espalhadas pelo SharePoint muitas vezes são desconhecidas pelos indivíduos e administradores responsáveis por seu gerenciamento. Para resolver esse problema, o CA DataMinder™ Classification foi projetado para fornecer às organizações visibilidade em tempo real do local de conteúdo dinâmico e confidencial e, ao mesmo tempo, torná-lo consumível para componentes de software de TI e segurança a fim de melhorar sua funcionalidade essencial. O CA DataMinder Classification integra-se a esses componentes de software, incluindo o CA SiteMinder®, por meio de uma API de serviços Web. A API de serviços Web aceita comandos remotos, permitindo verificar e extrair conteúdo dinamicamente à medida que os documentos são alterados. Classificação de conteúdo. A próxima etapa do processo é a classificação de conteúdo. A classificação do nível do sistema não é mais suficiente devido à natureza transitória e dinâmica do conteúdo. Em vez disso, as organizações devem classificar o "conteúdo" com base nas diretivas corporativas e regulatórias internas a fim de mensurar adequadamente o risco às informações. O CA DataMinder Classification classifica de maneira adequada e dinâmica o conteúdo com base em diretivas corporativas e regulatórias predefinidas. Depois de verificar o documento, ele classifica o conteúdo, tornando-o consumível para o CA SiteMinder para, em seguida, aumentar seus recursos essenciais com a inteligência de classificação a fim de tomar decisões de controle de acesso mais informadas. O CA DataMinder Classification melhora a precisão da classificação e, ao mesmo tempo, reduz os falsos positivos por meio de um processo sistemático de descrever, registrar e analisar o conteúdo. 6 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Tipos de classificação Informações de identificação pessoal (PII) Propriedade intelectual (IP) Informações não públicas (NPI) Comportamento do funcionário Tratamento do cliente • Datas de nascimento • Código-fonte • Informações financeiras • Intimidação • Reclamações • Orçamentos e previsões • Infrações • Números dos funcionários • Designs de produtos • Informações de pesquisa • Cadastros de Pessoas Físicas • Solicitações • Informações de patente de cartão de • Listas de crédito clientes • Informações de saúde pessoais • Atividade de fusões e aquisições • Comunicados executivos • Assuntos legais/ regulatórios • Presentes e entretenimento • Comunicados à imprensa • Uso inadequado da Web Controles financeiros no nível de serviço • Materiais de auditoria • Promessas e garantias • Relatórios de despesas • Assédio • Relatórios trimestrais e arquivamentos • Comunicações com reguladores Controle de acesso orientado a conteúdo. Em seguida, o CA SiteMinder utiliza o local e a classificação do conteúdo com identidade para controlar o acesso. Os controles do acesso à Web muitas vezes determinam a URL e a autorização no nível do recipiente com base nos vários atributos, incluindo função, direito e local. É claro que isso ajuda a validar a identidade do usuário para acessar uma URL, mas não valida qual conteúdo deve ser acessado. O CA SiteMinder aproveita vários acessos relacionados a atributos para fornecer recursos de controle de acesso aprimorados. Após a determinação do local e da classificação do conteúdo confidencial pelo CA DataMinder Classification, o CA SiteMinder aplica essas informações a diretivas predefinidas, permitindo um controle de acesso aprimorado. Ao entender a identidade e o conteúdo, a CA Technologies oferece ao usuário certo o acesso ideal ao conteúdo correto, possibilitando processos de negócios e, ao mesmo tempo, protegendo o conteúdo confidencial. Essa capacidade de aproveitar o conteúdo nas diretivas de autorização ajuda a diferenciar o CA SiteMinder da concorrência. 7 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Gerenciamento de acesso orientado a conteúdo da CA para SharePoint 1. O usuário é autenticado no SharePoint pelo CA SiteMinder. 2. Em seguida, o usuário solicita acesso a uma planilha que reside em um recipiente do SharePoint. 3. O CA SiteMinder solicita o tipo de classificação do conteúdo solicitado pelo CA DataMinder Classification. 4. Se a classificação NÃO estiver em cache, o CA DataMinder Classification verifica e classifica o conteúdo em tempo real. 5. O CA DataMinder Classification realiza uma pesquisa em seu cache de classificações conhecidas, retornando um tipo de classificação. Nesse cenário, o tipo de classificação é de cartão de crédito. 6. Em seguida, o CA SiteMinder fornece controle de acesso aprimorado, bloqueando ou permitindo acesso com base em como a classificação é definida na diretiva. Figura A Como funciona o gerenciamento de acesso orientado a conteúdo da CA para SharePoint. 8 Gerenciamento de acesso orientado a conteúdo da CA Technologies para SharePoint Seção 3: Benefícios Reduzir a exposição de informações com o gerenciamento de acesso orientado a conteúdo da CA À medida que as informações se proliferam pelas organizações de conhecimento, o SharePoint continua sendo a base para desenvolver os negócios e melhorar as eficiências. No entanto, como foi discutido, isso tem suas consequências. O gerenciamento de acesso orientado a conteúdo da CA Technologies reduz a exposição de informações ao aproveitar o conteúdo e a identidade para possibilitar um controle de acesso à Web aprimorado. Ajudar a reduzir o custo por meio de detecção e classificação automáticas A falta de visibilidade é um dos fatores que mais contribuem para a exposição de dados. Isso é o resultado de design de arquitetura de dados, permissões e processos de gerenciamento de dados ineficientes. O CA DataMinder Classification atenua essas lacunas de maneira eficiente por meio da detecção de conteúdo automática e dinâmica. Se o conteúdo e a classificação na tentativa de acesso não forem reconhecidos pelo CA DataMinder Classification ou tiverem sido alterados recentemente, ele irá detectar e classificar ativamente o conteúdo quando solicitado pelo CA SiteMinder. O que muitas vezes pode ser um esforço manual e no nível do sistema é automatizado pelo CA DataMinder Classification, reduzindo o tempo, o custo e as imprecisões de avaliações manuais. Possibilitar processos de negócios e, ao mesmo tempo, proteger o conteúdo confidencial Um dos objetivos do gerenciamento do acesso à Web é fornecer um forte equilíbrio entre a permissão dos negócios e a proteção de conteúdo. As tecnologias atuais de gerenciamento do acesso à Web aplicam diretivas com base na finalidade de design original dos recipientes. No entanto, como sabemos, o conteúdo nesses recipientes muda ao longo tempo e, por fim, causa impacto na eficiência dos controles de acesso. O CA SiteMinder ajuda a enfrentar esse desafio ao autorizar o acesso ao conteúdo confidencial por meio de um controle de acesso orientado a conteúdo aprimorado. Agora, as organizações podem permitir que o usuário certo tenha o acesso ideal ao conteúdo correto. Risco reduzido de comprometimento das informações e não-conformidade As informações confidenciais armazenadas no SharePoint podem variar muito com base na indústria, negócio e grupo funcional. Diretivas de dados corporativos e regulatórios são projetadas para proteger a organização e seus clientes no que se trata dos dados utilizados. Informações financeiras, de comportamento do funcionário, de tratamento do cliente, propriedade intelectual e informações de identificação pessoal são tipos de dados relevantes que devem ser classificados e controlados de maneira eficaz a fim de reduzir o risco de comprometimento dos dados e não-conformidade regulatória. O gerenciamento de acesso orientado a conteúdo da CA detecta, classifica e protege informações confidenciais com base em diretivas predefinidas para ajudar a proteger a marca e reduzir o risco de comprometimento dos dados e não-conformidade. 9 Gerenciamento de acesso orientado a conteúdo da CA para SharePoint Seção 4: A vantagem da CA Technologies O gerenciamento de acesso orientado a conteúdo da CA permite que você controle as identidades e o acesso de usuários e, também, a utilização de informações. A proteção e o controle eficaz das informações são obrigatórios para atender aos requisitos de conformidade corporativa e às diretivas de segurança e, ao mesmo tempo, possibilitar processos de negócios críticos. A CA Technologies é líder em gerenciamento de TI há mais de 30 anos, possui mais de 1.000 clientes de segurança e tem o compromisso de continuar a oferecer recursos de segurança inovadores ao mercado. Temos um grupo de especialistas em segurança muito amplo e dedicado que sabe como fazer implantações de segurança bem-sucedidas, além de ajudar nossos clientes a obter um rápido tempo para valorização. A CA Technologies é uma empresa de software e soluções de gerenciamento de TI com experiência em todos os ambientes de TI, de mainframes e sistemas distribuídos a virtuais e na nuvem. A CA Technologies gerencia e protege os ambientes de TI e permite que os clientes forneçam serviços de TI mais flexíveis. Os produtos e serviços inovadores da CA Technologies fornecem a visão e o controle essenciais para as organizações de TI aumentarem a agilidade dos negócios. A maioria das empresas que compõe a lista Global Fortune 500 conta com a CA Technologies para gerenciar seus ecossistemas de TI em constante evolução. Para obter informações adicionais, visite o site da CA Technologies em ca.com. Copyright © 2012 CA. Todos os direitos reservados. Microsoft SharePoint é uma marca comercial registrada ou marca comercial da Microsoft Corporation nos Estados Unidos e/ou outros países. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. Este documento é apenas para fins informativos. A CA não assume responsabilidade pela precisão ou integridade das informações. Na medida do permitido pela lei aplicável, a CA fornece este documento "no estado em que se encontra", sem garantias de nenhum tipo, incluindo, sem limitações, garantias implícitas de comercialização, adequação a uma finalidade específica ou não violação. Em nenhuma circunstância a CA será responsável por qualquer perda ou dano, direto ou indireto, decorrente do uso deste documento, incluindo, sem limitações, perda de lucros, interrupção dos negócios, reputação da empresa ou perda de dados, ainda que a CA seja expressamente informada sobre a possibilidade de tais danos com antecedência. CS2057_0212