Trabajo con la puntuación de riesgoWorking with the risk score

El Catálogo de aplicaciones en la nubeThe Cloud App Catalog

El Catálogo de aplicaciones en la nube proporciona una imagen completa de todo lo que puede identificar Cloud Discovery.The Cloud App Catalog gives you a full picture of what Cloud Discovery identifies. Cloud Discovery analiza los registros de tráfico del catálogo de aplicaciones en la nube de Cloud App Security de más de 15 000 aplicaciones en la nube que se clasifican y se puntúan en función de más de 60 factores de riesgo, a fin de proporcionar visibilidad continua del uso de la nube, Shadow IT y el riesgo que Shadow IT supone para la organización.Cloud Discovery analyzes your traffic logs against Cloud App Security's cloud app catalog of over 15,000 cloud apps that are ranked and scored based on more than 60 risk factors, to provide you with ongoing visibility into cloud use, Shadow IT, and the risk Shadow IT poses into your organization. El catálogo de aplicaciones en la nube evalúa el riesgo de las aplicaciones en la nube en función de certificaciones normativas, estándares del sector y procedimientos recomendados.The Cloud app catalog rates risk for your cloud apps based on regulatory certification, industry standards, and best practices. En el catálogo de aplicaciones en la nube se ejecutan cuatro procesos complementarios para mantenerlo actualizado:Four complementary processes run in the Cloud app catalog to keep it up to date:

  1. Extracción de datos automatizada directamente desde la aplicación en la nube (para atributos como el cumplimiento de SOC 2, los términos de servicio, la dirección URL de inicio de sesión, la directiva de privacidad y la ubicación de la sede central).Automated data extraction directly from the cloud app (for attributes such as SOC 2 compliance, terms of service, logon URL, privacy policy, and HQ location).
  2. Extracción de datos automatizada avanzada mediante algoritmos de Cloud App Security (para atributos como encabezados de seguridad HTTP).Automated advanced data extraction for data by Cloud App Security's algorithms (for attributes such as HTTP security headers).
  3. Análisis continuo por parte del equipo de analistas de la nube de Cloud App Security (para atributos como el cifrado en reposo).Continuous analysis by the Cloud App Security cloud analyst team (for attributes such as encryption at rest).
  4. Solicitudes de revisión de los clientes, según las solicitudes de envío de clientes para realizar cambios en el catálogo de aplicaciones en la nube.Customer-based revision requests, based on customer submission requests for changes to the Cloud app catalog. Todas las solicitudes se someten al examen del equipo de analistas de la nube y se actualizan en función de sus conclusiones.All requests are reviewed by our cloud analyst team and updated based on their findings.

El Catálogo de aplicaciones en la nube

Cada vez es mayor la demanda de aplicaciones en la nube por parte de las unidades de negocio, como solución para sus necesidades en constante evolución.The demand by business units for cloud apps as a solution to their changing needs is growing. El Catálogo de aplicaciones en la nube permite elegir con criterio qué aplicaciones se adaptan mejor a los requisitos de seguridad de la organización y a la necesidad de mantenerse al día de los estándares de seguridad, las vulnerabilidades y las infracciones más recientes.The Cloud app catalog enables you to wisely choose which apps fit your organization's security requirements, and the need to up to date with the latest security standards, vulnerabilities and breaches. Por ejemplo, si quiere comparar las aplicaciones CRM y asegurarse de que están bien protegidas, puede usar la página del Catálogo de aplicaciones en la nube para filtrar las aplicaciones que le interesan. En la página del Catálogo de aplicaciones en la nube, en Buscar por categoría, seleccione CRM.For example, if you want to compare CRM apps and make sure they are adequately secured, you can use the Cloud app catalog page to filter for relevant apps you want: In the Cloud app catalog page, under Browse by category select both CRM.

Después, use los filtros Avanzados y establezca Factor de riesgo de cumplimiento > SOC 2 en igual a True; Factor de riesgo de cumplimiento > ISO 27001 en igual a True; Factor de riesgo para la seguridad > Cifrado de datos en reposo en igual a True; Factor de riesgo para la seguridad > Cifrado de datos en reposo en igual a True; Factor de riesgo para la seguridad > Pista de auditoría de administración en igual a True; y Factor de riesgo para la seguridad > Pista de auditoría de usuario en igual a True.Then, use the Advanced filters and set Compliance risk factor > SOC 2 equals True; Compliance risk factor > ISO 27001 equals True; Security risk factor > Data at rest encryption equals True; Security risk factor > Data at rest encryption equals True; Security risk factor > Admin audit trail equals True and Security risk factor > User audit trail equals True.

Filtros del Catálogo de aplicaciones en la nube

Una vez que se hayan filtrado los resultados, puede revisar las aplicaciones correspondientes y buscar la que mejor se adapte a sus necesidades.After the results are filtered, you can review the relevant apps and find the one that best fits your needs.

Filtros del Catálogo de aplicaciones en la nubeCloud App Catalog filters

Hay filtros básicos y avanzados en el Catálogo de aplicaciones en la nube.There are basic and advanced Cloud App Catalog filters. Para aplicar un filtro complejo, use la opción avanzada, que incluye lo siguiente:To achieve a complex filter use the advanced option which includes all of the following:

  • Etiquetas de aplicación: las etiquetas le permiten personalizar el Catálogo de aplicaciones en la nube.App tags: Tags enable you to customize the Cloud App Catalog. Puede seleccionar la etiqueta Autorizada o No autorizada, o bien puede crear etiquetas personalizadas para las aplicaciones.You can select from either Sanctioned, Unsanctioned or you can create custom tags for apps. Estas etiquetas pueden usarse como filtros para profundizar un poco más en los tipos de aplicaciones específicos que quiere investigar.These tags can then be used as filters for deeper diving into specific types of apps that you want to investigate.
  • Aplicaciones y dominios: permite buscar aplicaciones específicas o aplicaciones usadas en dominios concretos.Apps and domains: Enables you to search for specific apps or apps used in specific domains.
  • Categorías: el filtro de categorías, que se encuentra a la izquierda de la página, permite buscar tipos de aplicaciones en función de categorías de aplicaciones, como aplicaciones de redes sociales, aplicaciones de almacenamiento en la nube, etc. Puede seleccionar varias categorías a la vez o una sola categoría y, después, aplicarles los filtros básicos y avanzados.Categories: The categories filter, which is located on the left of the page, enables you to search for types of apps according to app categories, for example Social network apps, Cloud storage apps, etc. You can select multiple categories at a time, or a single category, and then apply the basic and advanced filters on top of these.
  • Factor de riesgo de cumplimiento: permite buscar normas, certificaciones y compatibilidades específicas que puede cumplir la aplicación (HIPAA, ISO 27001, SOC 2, PCI-DSS, etc.).Compliance risk factor: Lets you search for a specific standards, certification and compliances that the app may comply with (HIPAA, ISO 27001, SOC 2, PCI-DSS, etc.).
  • Factor de riesgo general: permite buscar factores de riesgo generales, como la popularidad entre los consumidores, la configuración regional del centro de datos, etc.General risk factor: Lets you search for general risk factors such as Consumer popularity, Data center locale, etc.
  • Puntuación de riesgo: permite filtrar las aplicaciones según su puntuación de riesgo, de modo que pueda centrarse, por ejemplo, en revisar únicamente las aplicaciones de mucho riesgo.Risk score: Lets you filter apps by risk score so that you can focus on, for example, reviewing only very risky apps.
  • Factor de riesgo para la seguridad: permite filtrar en función de medidas de seguridad específicas (por ejemplo, cifrado en reposo, autenticación multifactor, etc.).Security risk factor: Enables you to filter based on specific security measures (such as Encryption at rest, multi-factor authentication, etc.).

Sugerir un cambioSuggesting a change

Si encuentra una nueva aplicación en el entorno que Cloud App Security todavía no ha puntuado, un nuevo factor de riesgo, una actualización de puntuación o datos de la aplicación que no están actualizados, puede solicitar una revisión de la aplicación:If you find a new app in your environment that hasn't been scored by Cloud App Security, a new risk factor, or a score update, or app data that is outdated, you can request a review of the app:

Para sugerir una nueva aplicación:To suggest a new app:

  1. En la parte superior de la página Aplicaciones detectadas, haga clic en los tres puntos y seleccione Sugerir nueva aplicación.At the top of the Discovered apps page, click the three dots and then select Suggest new app.

Sugerir una aplicación a Cloud App Security

  1. En la ventana emergente Sugerir nueva aplicación de nube, rellene la información relativa a la nueva aplicación, incluidos el nombre y el dominio de la aplicación.In the Suggest new cloud app popup, fill in details about the new app including the name and domain of the app.

Ventana emergente para sugerir una aplicación a Cloud App Security

  1. Se recomienda activar la casilla para permitir que los analistas de Cloud App Security se pongan en contacto con usted en caso de que necesiten más información sobre la aplicación. De este modo, también podrán avisarle cuando se haya completado el análisis.We recommend selecting the checkbox to enable Cloud App Security analysts to contact you in case additional information about the app is needed, and so that you can be updated when the analysis is complete.

Para actualizar un factor de riesgo, puntuación o datos de la aplicación:To update a risk factor, score, or update app data:

  1. En la página Catálogo de aplicaciones en la nube, en la fila de la aplicación que quiere actualizar, haga clic en los tres puntos que aparecen al final de la fila y seleccione Solicitar actualización de puntuación.In the Cloud App Catalog page, in the app row you want to update, click the three dots at the end of the row and select Request score update.

Solicitar actualización de puntuación

  1. En la ventana emergente Sugerencia de mejora, seleccione si quiere solicitar una actualización de puntuación, sugerir un nuevo factor de riesgo o actualizar los datos de una aplicación.In the Suggest an improvement popup, select whether you want to request a score update, suggest a new risk factor or update app data.

Sugerencia de mejora a Cloud App Security

  1. Se recomienda activar la casilla para permitir que los analistas de Cloud App Security se pongan en contacto con usted en caso de que necesiten más información sobre la aplicación. De este modo, también podrán avisarle cuando se haya completado el análisis.We recommend selecting the checkbox to enable Cloud App Security analysts to contact you in case additional information about the app is needed, and so that you can be updated when the analysis is complete.

Personalización de la puntuación de riesgoCustomizing the risk score

Cloud Discovery proporciona datos importantes sobre la credibilidad y la confianza de las aplicaciones en la nube que se usan en el entorno.Cloud Discovery provides you with important data regarding the credibility and reliability of the cloud apps that are used across the environment. En el portal, cada aplicación detectada se muestra junto a una puntuación total que representa la evaluación de Cloud App Security de la madurez de uso de esta aplicación en concreto para las empresas.Within the portal, each discovered app is displayed along with a total score, representing Cloud App Security's assessment of this particular app's maturity of use for enterprises. La puntuación total de cualquier aplicación es un promedio ponderado de tres subpuntuaciones relacionadas con las tres subcategorías que Cloud App Security tiene en cuenta al evaluar la confiabilidad:The total score of any given app is a weighted average of three sub-scores relating to the three sub-categories which Cloud App Security considers when assessing reliability:

  • General: esta categoría se refiere a aspectos básicos sobre la empresa que produce la aplicación, incluidos su dominio, año de fundación y popularidad.General - This category refers to basic facts about the company that produces the app, including its domain, founding year and popularity. Estos campos están diseñados para reflejar la estabilidad de la empresa en el nivel más básico.These fields are meant to portray the company's stability on the most basic level.

  • Seguridad: la categoría de seguridad tiene en cuenta todos los estándares relacionados con la seguridad física de los datos usados por la aplicación detectada.Security - The security category takes into account all standards dealing with the physical security of the data utilized by the discovered app. Esto incluye campos como autenticación multifactor, cifrado, clasificación de los datos y propiedad de los datos.This includes fields such as multi-factor authentication, encryption, data classification and data ownership.

  • Cumplimiento normativo: esta categoría muestra qué estándares comunes de cumplimiento de procedimientos recomendados cumple la empresa que produce la aplicación.Compliance - This category displays which common best-practice compliance standards are upheld by the company that produces the app. La lista de especificaciones incluye estándares como HIPAA, CSA y PCI-DSS.The list of specifications includes standards such as HIPAA, CSA and PCI-DSS.

Cada una de las categorías se compone de muchas propiedades específicas.Each of the categories is comprised of many specific properties. Según el algoritmo de puntuación, cada propiedad recibe una puntuación preliminar de entre 0 y 10, en función del valor.According to our scoring algorithm, each property receives a preliminary score between 0 and 10, depending on the value. En consecuencia, los valores True/False recibirán 10 o 0, mientras que propiedades continuas como la antigüedad del dominio recibirán un valor determinado del espectro.True/False values will receive 10 or 0 accordingly, whereas continuous properties such as domain age will receive a certain value within the spectrum. La puntuación de cada propiedad se pondera con todos los demás campos existentes en la categoría para crear la subpuntuación de esta.The score of each property is weighted against all other existing fields in the category, to create the category's sub-score. Si encuentra una aplicación sin puntuar, eso normalmente indica que sus propiedades son desconocidas y que, por lo tanto, no se ha puntuado.If you encounter an unscored app, it usually indicates an app whose properties are unknown and is therefore unscored.

Es importante dedicar un minuto a revisar y modificar las ponderaciones predeterminadas otorgadas a la configuración de puntuación de Cloud Discovery.It is important to take a minute to review and modify the default weights given to the Cloud Discovery score configuration. De forma predeterminada, todos los distintos parámetros evaluados tienen la misma ponderación.By default, all the various parameters evaluated are given an equal weight. Si hay determinados parámetros que son más o menos importantes para la organización, es importante cambiarlos de la siguiente forma:If there are certain parameters that are more or less important to your organization, it's important to change them as follows:

  1. En el portal, en el icono de configuración, seleccione Configuración de Cloud Discovery.In the portal, under the settings icon, select Cloud Discovery settings.

  2. En Configurar métrica de puntuación, deslice el valor Importancia para cambiar la ponderación del campo o la categoría de riesgo a Omitido, Bajo, Medio, Alto o Muy alto.Under Configure score metric, slide the Importance to change the weight of the field or the risk category to Ignored, Low, Medium, High or Very High.

  3. Además, puede establecer si determinados valores no están disponibles o no son aplicables en el cálculo de la puntuación.In addition, you can set whether certain values are either not available or not applicable in the score calculation. Cuando se incluyen, los valores no aplicables tienen una contribución negativa a la puntuación calculada.When included, N/A values have a negative contribution to the calculated score.

puntuaciónscore

Toda la información necesaria para entender cómo se apilan nuestras puntuaciones de riesgo está disponible en el portal de Cloud App Security.All the information needed in order to understand how our risk scores are stacking up is available in the Cloud App Security portal. Para entender mejor el peso de un factor de riesgo en la categoría de riesgo específica, utilice el botón “i” situado a la derecha de cada nombre de campo en el perfil de la aplicación.To better understand a risk factor’s weight in specific risk category, use the “i” button to the right of each field name in the app’s profile). Esto proporciona información sobre cómo Cloud App Security puntúa exactamente un factor de riesgo específico.This provides information about how exactly Cloud App Security scores a specific risk factor. La puntuación es el valor del factor de riesgo en una escala de 1 a 10 + su peso en la categoría de riesgo:The score is the value of the risk factor on a scale of 1-10 + its weight in the risk category:

cálculo del riesgo

Para comprender el peso de una categoría de riesgo en la puntuación total de una aplicación, mantenga el mouse sobre la puntuación de la categoría de riesgo:In order to understand a risk category's weight in an app’s total score, hover over the risk category score:

peso de la categoría de riesgo

Reemplazar la puntuación de riesgoOverriding the risk score

Puede reemplazar la puntuación de riesgo de una aplicación sin cambiar la forma en que se pondera, para obtener resultados inmediatos para la organización.You can override the risk score of an app without changing the way it is weighted so that you get immediate results for your organization. Por ejemplo, si la puntuación de riesgo de una aplicación de LOB que usa es 8 y la organización la ha autorizado y la recomienda, podría interesarle cambiar la puntuación de riesgo a 10.For example, if the risk score of an LOB app you use is 8 and it is sanctioned and encouraged by your organization, you might want to change the risk score to 10.

Para reemplazar la puntuación de riesgo, en la tabla Aplicaciones detectadas o en el Catálogo de aplicaciones en la nube, haga clic en los tres puntos que aparecen a la derecha de cualquier aplicación y seleccione Override risk score (Reemplazar la puntuación de riesgo).To override the risk score, in the Discovered apps table or in the Cloud app catalog, click the three dots to the right of any app and select Override risk score.

reemplazar la puntuación de riesgo de una aplicación detectada de Cloud App Security

Después de actualizar la puntuación, puede incluir notas en la aplicación en las que explique a los demás administradores las razones empresariales por las que ha modificado la puntuación de la aplicación.After you update the score, you can include app notes to make your business justification for modifying this app score clear to other administrators.

También puede agregar notas para que el motivo de este cambio le quede claro a los usuarios que revisen la aplicación.You can also add notes to make the justification of the change clear when anyone reviews the app.

Consulte tambiénSee Also

Actividades diarias para proteger el entorno de nubeDaily activities to protect your cloud environment

Los clientes Premier también pueden elegir Cloud App Security directamente desde el Portal Premier.Premier customers can also choose Cloud App Security directly from the Premier Portal.