Remedia las brechas en tu sistema de gobierno de acceso a datos con una gestión eficiente de identidad y accesos.
Gobierno de acceso a datos desmitificado.
Gobierno de acceso a datos desmitificado.
Cuanto mayor sea el tamaño de una organización, más empleados tendrá y en consecuencia, más datos procesará. Con la implementación de las políticas para dispositivos propios (BYOD), los datos de una organización ya no se limitan a servidores de archivos seguros. Los datos confidenciales pueden llegar a dispositivos personales, soluciones de almacenamiento en la nube, plataformas de colaboración y más. Además, debido a la falta de políticas estrictas de acceso a datos en la mayoría de las organizaciones, los empleados generalmente desconocen quién tiene acceso a sus archivos y cuántas acciones abiertas tienen, entre otras variables. Estas circunstancias plantean un gran desafío para los administradores de TI; ¿cómo se hace un DAG infalible?
Brechas en su proceso de DAG.
Los administradores de TI a menudo no se dan cuenta de que las soluciones de DAG no abordan algunas brechas importantes y que ponen en peligro a toda la organización. Un DAG inseguro es una bomba de tiempo. Imagine lo que sucedería si un miembro descontento descubriera los datos personales de los principales ejecutivos de su organización. Con tanto en juego, es crucial que los administradores de TI identifiquen las brechas en su sistema DAG y las rectifiquen.
Ingrese sus datos para desbloquear el artículo completo
- 1Compleja red de permisos
- 2No hay un proceso automatizado de aprobación de privilegios
- 3Falta de conocimiento de los derechos a nivel del sistema
- 4Visibilidad reducida de los permisos a nivel de archivo y carpeta
- 5No hay monitoreo de integridad de archivos
- 6Sin alcance para la detección automatizada de comportamiento anómalo
- 7Sin mecanismo de alerta
La mayoría de las soluciones de DAG se centran en la clasificación de datos y son ineficaces a la hora de analizar los permisos de recursos críticos. Si bien la diferenciación de los datos en función de la sensibilidad es crucial, definir permisos claros para los datos en toda la organización también es igualmente importante. Veamos un ejemplo:
El grupo de administradores tiene acceso a un recurso crítico para la empresa.
Sin embargo, un técnico, cuando se agrega temporalmente a un grupo llamado "Administradores de piso" que son responsables de la administración de recursos en un piso específico, obtiene automáticamente los derechos de acceso del grupo principal, que es el grupo de Administradores. ¡Debido a esta herencia, el técnico ahora tiene acceso a todos los secretos de la empresa!
Como puede ver, un sistema DAG es inútil si los permisos se manejan mal. Para administrar eficazmente los permisos de datos confidenciales:
- Identifique la arquitectura de permisos y membresías grupales en su organización.
- Acuerde un modelo de permisos específico para toda la organización.
- Evalúe la situación de los permisos existentes de sus servidores de archivos y determine si se adhiere al modelo de permisos.
- Analice si las acciones abiertas son necesarias. Eduque a los propietarios de datos para que no otorguen acceso al grupo "Todos".
- Asigne permisos con límite de tiempo que caduquen una vez que se logre el objetivo.
- Limpia los permisos innecesarios.
Para asignar acceso a datos confidenciales, es imprescindible comprender primero el tipo de datos y para qué se utilizan. Para esto, es esencial involucrar al propietario de los datos y otras partes interesadas. Por ejemplo, sería mejor si se obtiene la aprobación de un gerente de finanzas antes de elevar los permisos de lectura de un usuario final en los registros financieros. Las soluciones de DAG más populares no tienen ningún mecanismo de aprobación para validar una solicitud de acceso antes de asignar el acceso requerido al usuario apropiado.
Si bien la mayoría de las soluciones comerciales de DAG se centran en quién tiene qué nivel de acceso a los datos compartidos, a menudo se olvidan de identificar quién tiene acceso al dispositivo que almacena los datos críticos. Los administradores con acceso a un servidor de archivos crítico pueden tener control total sobre todos los archivos en ese sistema, independientemente de sus permisos compartidos. Por ejemplo, Raymond, un desarrollador de software que tiene acceso a los servidores de producción, puede ver todos los archivos ubicados en ellos sin necesidad de este acceso. Una parte importante de las violaciones de datos se atribuyen a los infiltrados que tienen acceso directo a los dispositivos que almacenan datos críticos. Es importante tener en cuenta los derechos a nivel de sistema para que su proceso DAG sea exitoso.
Es crucial evaluar los permisos existentes de carpetas y archivos importantes, así como determinar si alguna carpeta tiene un recurso compartido abierto. Sin embargo, en la red de permisos enredados, el uso de herramientas nativas para tratar de evaluar manualmente qué usuario tiene qué nivel de acceso a qué carpeta, puede ser un proceso engorroso y propenso a errores. Lo que realmente necesita es un sistema de informes que escanee periódicamente todas sus carpetas y muestre los permisos de cada usuario privilegiado.
Si bien la protección de datos confidenciales es esencial, también lo es el monitoreo continuo para identificar y controlar contratiempos de seguridad. Imagínese si tuviera un sistema implementado que pudiera registrar fácilmente quién realizó cambios en su base de datos de empleados. Identificar de manera proactiva si la integridad de un archivo o carpeta se ha visto comprometida ayuda a prevenir una violación de datos.
Identificar el comportamiento inusual de los usuarios y generar alertas inmediatas puede ayudarlo a prevenir una violación de seguridad potencial o continua. Supongamos que Susan, una usuaria final, ha pasado mucho más tiempo que su media hora típica viendo archivos que contienen detalles del cliente. Esta es una desviación de su comportamiento normal y podría indicar que podría estar copiando información confidencial. Si su organización cuenta con un sistema de análisis de comportamiento, puede identificar fácilmente tales anomalías y tomar el curso de acción requerido. La mayoría de las soluciones de DAG no proporcionan análisis de comportamiento y no pueden ayudarlo con la detección automatizada del comportamiento extraño del usuario.
Si bien es útil contar con medidas proactivas como la supervisión de la integridad de los archivos y los mecanismos de detección del comportamiento del usuario, estas medidas son ineficaces si no existe un mecanismo de alerta. Esto se debe a que usted, como administrador, no puede sentarse frente a su monitor todo el día esperando que tenga lugar un acceso a archivos anormal o no autorizado. La obtención de notificaciones en tiempo real sobre actividades inusuales, permisos de acceso y cambios de archivos es vital cuando está abrumado con muchas responsabilidades.
¡Por ejemplo, Alex, un nuevo empleado que trabaja en el turno de noche, intentó varias veces acceder a un archivo que contiene la receta secreta de su famosa salsa de búfalo! Si tiene un mecanismo de alerta establecido para ese archivo, recibirá notificaciones en su teléfono o sistema de escritorio sobre los numerosos intentos fallidos de acceso.
Cómo la gestión eficiente de identidad y accesos puede ayudarte a cerrar la brecha.
Una solución eficaz de administración de identidad y accesos como ManageEngine AD360 complementa su proceso de DAG al permitirle mantenerse proactivamente al tanto de su administración de seguridad de almacenamiento.
Administración de permisos simplificada
AD360 le permite acceder a informes específicos de permisos que le brindan información sobre qué usuario tiene qué permiso en qué carpeta. Una vez que haya entendido claramente el ecosistema de permisos, también puede usar AD360 para asignar, elevar o eliminar fácilmente los permisos NTFS y compartir permisos de varias carpetas a la vez.
Monitoreo de integridad de archivos
AD360 le permite rastrear cualquier cambio realizado en sus archivos y carpetas, ya sea autorizado o no autorizado. Por ejemplo, puede identificar fácilmente la lista de archivos que fueron creados, eliminados, movidos, renombrados, copiados y pegados, y más.
Monitoreo de acceso a archivos basado en la nube
Con AD360, puede identificar fácilmente los cambios realizados en las carpetas públicas de Exchange local y Exchange Online. AD360 también le permite identificar la lista de archivos de OneDrive for Business que fueron cargados, accedidos, modificados, renombrados, descargados y más.
Alertas en tiempo real
AD360 le permite configurar alertas en tiempo real para cuando el permiso de un archivo crítico se escala o se produce un acceso no autorizado. También puede configurar las alertas que se enviarán por correo electrónico.
Flujo de trabajo basado en aprobación de varios niveles
Una regla general para mejorar la seguridad es enviar solicitudes para la elevación de los derechos de acceso a través de un flujo de trabajo optimizado para obtener las aprobaciones necesarias antes de otorgar los derechos de acceso. AD360 le permite emplear un poderoso flujo de trabajo que se puede personalizar para obtener múltiples aprobaciones y cumplir automáticamente con la solicitud al final del flujo de trabajo. De esta manera, puede obtener fácilmente la aprobación del propietario de los datos antes de elevar los permisos de cualquier usuario.
Monitoreo de cambios de permisos
Con AD360, puede rastrear fácilmente todos los permisos de archivos o carpetas y acceder a los cambios. Además, puede identificar todas las operaciones del servidor de archivos realizadas por un usuario específico. También puede elegir un servidor y descubrir todas las operaciones realizadas en él.
Análisis de comportamiento del usuario
Con AD360, puede realizar un seguimiento del comportamiento de los usuarios y configurar alertas que se generarán cuando los usuarios presenten un comportamiento anómalo.
Informes predeterminados, listos para cumplimiento
AD360 ofrece informes predeterminados que le ayudan a lograr el cumplimiento con HIPAA, SOX, PCI DSS, FISMA, GDPR y otras regulaciones de protección de datos.