Encendiendo la luz de la seguridad sobre shadow IT

Negocios

Corey Nachreiner, CTO de WatchGuard Technologies, dedica este artículo a shadow IT, el uso de productos y servicios de TI externos sin el conocimiento o aprobación del departamento de TI.

Casi todos en el mundo de las TI conocen el término “shadow IT”. El uso de productos y servicios de TI externos y generalmente basados en la nube sin el conocimiento o aprobación del departamento de TI es motivo de creciente preocupación entre los CIO y los líderes tecnológicos en todo el mundo. En el año 2000, sólo un 20% del gasto tecnológico de una organización quedaba fuera del presupuesto del departamento de TI, según Gartner. Pero, los tiempos han cambiado mucho. Gartner prevé que el gasto en tecnología fuera del departamento de TI supondrá el 90% del presupuesto total a finales de esta década. ¡Eso es mucho shadow IT! Con el auge de los servicios cloud y las soluciones SaaS, las empresas están luchando para adaptarse y recuperar el control.

Shadow ITMuchos comparan shadow IT con el salvaje Oeste, ya que permite a los empleados y departamentos operar independientemente sin la supervisión y el soporte de TI. Esta falta de control centralizado es alarmante para el liderazgo y las TI. Muchos lo ven como una práctica costosa e ineficiente que socava la capacidad de una empresa para gestionar de manera eficaz y coordinada sus activos tecnológicos.

Pero aquí hay un problema mayor en juego: la ¡SEGURIDAD! Shadow IT puede presentar algunos riesgos y preocupaciones de seguridad graves.

Imagine este escenario: cada departamento de su empresa está utilizando su propio servicio para compartir archivos sin su permiso: Dropbox, Google Drive, Box, etc. Dado que estas aplicaciones cloud se basan en servidores y redes externas que están fuera de su control, no están obligados a contar con herramientas de gestión tradicional, monitorización o seguridad. Por lo tanto, podrían hacer que su compañía quede abierta a una gran cantidad de problemas externos de seguridad y cumplimiento normativo. Y lo más importante aún, como el departamento de TI está en la sombra son incapaces virtualmente de monitorizar y mitigar estos problemas.

¿Cuáles son algunos de los riesgos reales que presenta shadow IT?

  • Fugas de datos. Los servicios cloud, como Dropbox, han sufrido brechas en el pasado, que se traducen en la filtración de las contraseñas de los clientes. Si uno de sus empleados coloca archivos corporativos sensibles en Dropbox, un atacante podría tener acceso a esos archivos.
  • La presentación de los ataques queda fuera de su control. Un servicio cloud es sólo un servidor y una red en otro lugar. Se expone a los mismos riesgos de seguridad que su red. Partimos de la base de que el proveedor cloud implementa controles de seguridad y sigue buenas prácticas, pero realmente no lo sabemos. Las organizaciones de TI necesitan una oportunidad para sopesar la seguridad de sus partners externos y decidir si vale la pena el riesgo potencial por el valor que aportan.
  • Incumplimientos normativos inesperados. Usted es responsable de proteger los datos (y la información de sus clientes) que mueva fuera de su red. Adoptar servicios cloud ya crea situaciones delicadas, puesto que se tiene menos visibilidad sobre cómo los proveedores externos gestionan sus datos; pero, ahora, imagine que ni siquiera sabía que los datos sensibles habían sido trasladados fuera de la red en un primer momento.
  • Pérdida de control de datos. Por ejemplo, suponga que un empleado sube una lista de clientes a la nube con su contraseña, y luego es despedido o deja la compañía. Ese empleado todavía tiene acceso a su lista de clientes, y usted no tiene capacidad para eliminarlo.

Shadow IT 1Teniendo en cuenta que shadow IT y los servicios cloud seguirán ganando popularidad, las corporaciones tienen que estar preparadas para gestionar los riesgos asociados a estos servicios. Tenga en cuenta los siguientes consejos cuando necesite arrojar luz sobre shadow IT:

  1. Establecer servicios de TI o directrices y políticas SaaS claras. Si no ha informado a sus empleados sobre cómo solicitar un nuevo servicio de TI, o qué política sigue su organización sobre el uso de servicios SaaS externos, es casi seguro que los utilicen sin pedir ayuda o permiso. Después de todo, muchos de estos servicios cloud son gratis, rápidos y fáciles de usar. Por eso, toda la seguridad comienza con políticas. Si no quiere que sus empleados utilicen ciertos servicios sin autorización, es necesario hacérselo saber explícitamente. Igualmente, se debe establecer un procedimiento claro para solicitar rápidamente estos servicios cuando los empleados realmente los necesiten. Posiciónese como una organización de TI moderna y no será evitada.
  1. Ayude proactivamente a los usuarios a obtener los servicios que necesitan. Si se acerca con regularidad a los distintos departamentos de su organización para asegurarse de que cuentan con los servicios de TI que necesitan, se darán cuenta de que usted está allí para ayudarles a hacer su trabajo. Esto promoverá que le consulten cada vez que necesiten algo, en vez de verle como un obstáculo.
  1. Si los departamentos están pasando por alto a TI, averigüe por qué y soluciónelo. Los empleados sólo quieren hacer su trabajo. Cuando configuran servicios externos de shadow IT, por lo general, lo hacen para optimizar el rendimiento de sus responsabilidades en el trabajo. Necesita saber por qué le saltan. ¿No hay una política formal establecida? ¿El departamento de TI ha establecido una estrategia para negar las nuevas aplicaciones que solicitan los empleados? ¿Tienen los servicios que se ofrecen el visto bueno de la empresa y estos no funcionaron en el pasado? ¿Se retrasa el departamento de TI, con una larga ETA para la entrega de nuevos servicios? Estas son las preguntas que necesita hacer si se quiere entender el motivo.
  1. Averiguar lo que los usuarios REALMENTE necesitan antes de ofrecer un nuevo servicio de TI. Cuando los departamentos necesiten hacer algo nuevo, recopile la totalidad de sus requerimientos y supuestos de uso. Esto ayuda a asegurar que el departamento de TI puede ofrecer un servicio que realmente funciona para los usuarios, de modo que no eludan el sistema y decidan encontrar soluciones por su cuenta. Por ejemplo, las peticiones de servicio de hoy probablemente incluyen flujos de trabajo modernos, como apps que operan igualmente en plataformas móviles como en las tradicionales. Si no puede ofrecer los servicios que funcionan de forma segura y eficiente desde cualquier lugar del mundo y en cualquier dispositivo, los usuarios pueden tratar de esquivar al departamento de TI.
  1. A veces, el servicio cloud es la opción mejor y más segura. Recuerde, el problema con shadow IT no es necesariamente que alguien haya optado por externalizar algo y llevarlo a la nube, sino el hecho de que lo han realizado sin su conocimiento o aprobación. En algunos casos, los servicios cloud pueden ser la opción más segura y mejor, siempre y cuando los responsables de TI puedan gestionar y supervisar los datos que se comparten dentro de la nube. Al final, evitar shadow IT no se trata de que todo se cree internamente en la empresa, sino de que las personas adecuadas formen parte de esa toma de decisiones.
  1. Contar con herramientas de visibilidad que puedan identificar shadow IT. Hoy, los firewalls y dispositivos de gestión unificada de amenazas (UTM) de próxima generación incorporan nuevas capacidades que les permiten identificar las diferentes aplicaciones que se comunican a través de una red en particular, independientemente de los puertos o protocolos que esas aplicaciones utilizan. En realidad, los buenos appliances incluso tienen inspección de HTTPS, por lo que los escurridizos servicios shadow IT no pueden ir más allá sin la monitorización. Si posee uno de estos modernos dispositivos de seguridad, y tiene buenas herramientas de información y visibilidad, puede utilizarlos para ayudar a descubrir cuándo los departamentos pueden haber comenzado a usar un nuevo servicio sin aprobación previa. Esto permitirá que el departamento de TI se acerque a los usuarios que utilizan un servicio externo y, o bien averigua si se puede ofrecer una solución alternativa, o bien incorpora el nuevo servicio con la supervisión y procedimientos adecuados.
  1. SaaSElija sus batallas. La seguridad trata de gestionar riesgos, y algunos tipos de datos pueden ser más o menos importantes que otros. Ciertas ofertas SaaS tratan con datos que pueden ser menos sensibles o que implican menor riesgo para su empresa. En esos casos, puede ser mejor dejarlo estar, y reservar esfuerzos para los de alto riesgo o circunstancias de alta prioridad.
  1. Bloquear las apps más peligrosas como último recurso. Las tecnologías de identificación y de control de aplicaciones mencionadas con anterioridad también tienen la capacidad de bloquear algunos servicios. Si el departamento de TI identifica que se están utilizando las aplicaciones más peligrosas y que en ningún caso se puede permitir acceso a los empleados, puede bloquearlas. Sin embargo, recuerde que si no se puede encontrar una solución aprobada para ayudar a los empleados con sus necesidades específicas, continuarán buscando alternativas sin aprobación.

 

Lea también :