Shadow IT: no puedes proteger lo que no puedes ver

Shadow IT: no puedes proteger lo que no puedes ver

Los CIO están teniendo dificultades para mantenerse al día con la explosión de dispositivos, aplicaciones y software no autorizados. ¿Quién debería ser responsable si algo sale mal?

 
 
 
 
 

La democratización de TI significa que la mayoría de los usuarios ya no tienen que rogar, pedir prestado o robar para obtener la tecnología que desean. Cualquier persona con una tarjeta de crédito y una conexión a Internet puede alinear una solución basada en la nube diseñada específicamente para su equipo o su línea de negocios, y muchos lo hacen sin tener en cuenta la seguridad. ¿Quién debería ser responsable si algo sale mal?

“Muchas decisiones de TI ahora se distribuyen en toda la organización a nivel de línea de negocio. Desde el punto de vista de la seguridad, es un escenario de pesadilla, dice Larry Ponemon, fundador del Ponemon Institute, una firma de investigación tecnológica. «Las personas a nivel empresarial pueden no tener ningún conocimiento sobre la seguridad, y pueden estar utilizando estas herramientas de manera que pongan a la organización en gran riesgo». De hecho, una encuesta reciente de Forbes Insights titulada» Brechas de percepción en ciberresiliencia: ¿Dónde están tus puntos ciegos? «Encuentra que más de 1 de cada 5 organizaciones han experimentado un evento cibernético debido a un recurso de TI no autorizado.

Los ejecutivos dicen que les está costando mantenerse al día con la explosión de dispositivos, aplicaciones y software no autorizados. La mayoría de las organizaciones ejecutan más de 100 aplicaciones diferentes, algunas hasta 1,000. Pero ese número puede ser solo una suposición. La compra directa de software como servicio, aplicaciones personales y comerciales y otro software no autorizado por parte de individuos y unidades de negocios hace que sea difícil para los profesionales de TI conocer incluso toda la tecnología o aplicaciones utilizadas en sus organizaciones. Por lo tanto, se vuelve extremadamente desafiante proteger todo el universo de los datos, sistemas y aplicaciones de una organización.

Cuando las unidades de negocios pueden obtener lo que necesitan sin el conocimiento o la aprobación del equipo de TI, es difícil mantener un programa de ciberseguridad efectivo en toda la organización. Esto se jugó primero con el desafío de traer su propio dispositivo (BYOD) en la era de los teléfonos inteligentes, luego con el Internet de las cosas (IoT) y los servicios en la nube.

«Siempre existe una tensión entre el control empresarial y la flexibilidad de la unidad de negocios», dice James Kaplan, socio y co-líder de infraestructura de TI y ciberseguridad en McKinsey. «Muchas organizaciones han descubierto ya sea cómo crear utilidades empresariales efectivas o cómo crear un alto grado de escala y profesionalismo en cada unidad de negocios». Esta tensión es particularmente frecuente en empresas con mucha tecnología operativa, como un hospital, un ferrocarril línea o un fabricante, donde «por muy buenas razones, tiene todo tipo de dispositivos controlados por grupos operativos y no por TI», dice Kaplan. «Pero forman parte de la red de la organización».

Brechas de percepción en ciberresiliencia: ¿Cuáles son sus puntos ciegos?

El lanzamiento de 5G conectará aún más dispositivos y puntos finales a la red empresarial. Para 2023,  Gartner  predice que la cantidad de puntos finales administrados por el CIO promedio se triplicará. Los equipos de seguridad cibernética necesitarán prepararse para la avalancha de aplicaciones de IoT que ocurrirán cuando 5G esté ampliamente disponible,  dice Steve Hunter , director para Asia Pacífico y Japón en ForeScout, una plataforma de control de dispositivos. “La única forma de asegurar la red es saber exactamente qué está conectado y cómo se está utilizando. Cuando las unidades de negocios pueden hacer esto sin asistencia de TI, obtener visibilidad completa se vuelve complejo ”, dice. «Es esencial que brille una luz en cada rincón oscuro de la red ahora para evitar brechas de visibilidad en el futuro».

La supervisión de la red es una forma de ver qué aplicaciones se están ejecutando y quién las está ejecutando. Earl Perkins , vicepresidente de investigación de Gartner, recomienda implementar un programa de descubrimiento, seguimiento y gestión de activos, especialmente al comienzo de cualquier proyecto de IoT. Las organizaciones también pueden desarrollar pautas para dispositivos, servicios en la nube y aplicaciones de terceros, así como acceso restringido a algunas aplicaciones de terceros inseguras, una lista negra de dispositivos, aplicaciones y servicios en la nube inseguros.

Una política de confianza cero para cualquiera que intente iniciar sesión es otra opción, especialmente para partes sensibles de la red. A medida que más dispositivos se conectan a múltiples usuarios,  Merritt Maxim , vicepresidente y director de investigación de Forrester Research, sugiere cambiar el enfoque de seguridad al control de nivel de identidad en lugar del control de nivel de dispositivo. Al hacer que cada usuario se autentique, en lugar de establecer una contraseña estándar para cada dispositivo, las organizaciones pueden comprender los patrones de uso y protegerse mejor contra las vulnerabilidades y el uso indebido. En el futuro, más organizaciones pueden recurrir al aprendizaje automático para señalar intentos de inicio de sesión inusuales.

La encuesta de Forbes Insights encuentra opiniones divididas sobre quién debería ser responsable de la TI paralela: los propios usuarios, el departamento de TI o los proveedores y desarrolladores de cada aplicación. El problema es cuando nadie se hace responsable.

En última instancia, la única forma de mejorar la seguridad de las TI en la sombra es una combinación de ayudar a los usuarios a ser más conscientes y receptivos a los posibles riesgos y vulnerabilidades de toda la tecnología que usan para interactuar con los sistemas empresariales, así como implementar más medidas a prueba de fallas como aquellas descrito arriba. Las organizaciones también deben comprender los protocolos de seguridad para proveedores y desarrolladores de aplicaciones. Los equipos de seguridad y recuperación ante desastres deben incluir TI sombra crítica conocida en sus evaluaciones de amenazas.

«Hay muchos problemas de césped cuando se trata de TI sombra», explica Ponemon. “Se toman decisiones que realmente pueden influir en otras unidades de negocios, y no se comparte mucha información.

«Para conquistar los problemas de resiliencia en el mundo de las TI en la sombra se requiere más colaboración internamente, no hacer que la línea de negocios sea el malo», explica. Los usuarios y los gerentes de línea de negocio deben ser parte de un plan general de resiliencia.

Por  |

Este artículo fue publicado originalmente en Forbes.com; El contenido no ha cambiado.

Nuestro Canal de Noticias en WhatsApp ha sido creado para mantenerte al día con las novedades en Derecho Informático, Tecnologías de la Información TIC y Derecho Tradicional.
Lee y acepta los Términos y condiciones de uso y privacidad de WhatsApp.

Todas las personas que lean la notificación son consideradas usuarias en categoría de navegantes o registradas, por ello Law Tic cumple con el respeto a tu privacidad como esencia de nuestros valores institucionales entre ello está la Responsabilidad: Asumir las condiciones de la norma y las necesidades empresariales de cada cliente que nos motiva para mejorar cada día en nuestros servicios cada día más dinámicos e innovadores sin perder de vista lo importante que es la privacidad de tú información y datos. 

En virtud de lo dispuesto en la Ley 1581 de 2012 y Decreto 1074 de 2015 te anunciamos que a partir del 29/11/2022 se encuentra publicada la versión 2 de la Política De Tratamiento De Datos Personales que podrás consultar en www.lawtic.com.co o solicitar una copia al correo datospersonales@lawtic.com.coLos cambios sustanciales de la política de tratamiento de datos son: 

1. El anuncio de nuestros nuevos encargados como son: a. Microsoft y Google: almacenamiento b. Ribisoft: facturación y nómina electrónica 

2. Nuevos canales físicos de atención: a. Carrera 65 # 49B – 21, oficina 208B, CC Los Sauces.

Resaltamos esta labor de mejoramiento continuo de nuestra compañía debido a la implementación de un modelo propio que permite medir el impacto al tratamiento de datos personales en nuestra organización la cual tiene como ADN la representación juridicial o asesoría empresarial en el ámbito del Derecho informático y nuevas tecnologías. 

SOBRE LOS TÉRMINOS Y CONDICIONES: Todas las personas que lean la notificación son consideradas usuarias en categoría de navegantes o registradas por ello Law Tic en virtud de lo dispuesto en la Ley 527 de 1999 y Ley 1480 de 2011 sobre comercio electrónico te anunciamos que a partir del 29/11/2022 se encuentran publicados la versión 2 de los Términos y condiciones de uso del sitio que podrás consultar en www.lawtic.com.co o solicitar una copia al correo pqrs@lawtic.com.co. Nuestros cambios siempre son pensando en nuestros usuarios del sitio procurando tener una experiencia segura, confiable, e innovadora, ahora contamos con AnaBot estrategia de nuestra compañía que se encarga de generar innovación permanente en nuestros productos y servicios.