Llegamos a ustedes gracias a:



Noticias

'TI en la sombra': Profesionales de TI comparten la culpa

[05/12/2013] Cuando los usuarios finales eluden al departamento de TI y comienzan a usar aplicaciones SaaS sin su permiso, los profesionales de TI se quejan de una plaga llamada TI en la sombra. Pero al parecer los profesionales también están operando en la sombra, de acuerdo a una encuesta.
El reporte llamado The Hidden Truth behind Shadow IT (La verdad oculta detrás de las TI en la sombra), fue una colaboración entre la consultora Frost & Sullivan y McAfee. La encuesta preguntó a 300 profesionales de TI y a 300 empleados de negocios si habían usado aplicaciones SaaS en sus trabajos sin aprobación oficial. 80% admitió que sí lo había hecho, y solo el 19% de los empleados de negocio y el 17% de los de TI afirmaban ser inocentes.
La idea de la amenaza de las TI en la sombra ha crecido con la expansión en el uso de las aplicaciones de nube, que de manera fácil y económica se pueden usar sin que el departamento de TI sepa nada, y mucho menos con alguna aprobación en base a las políticas de seguridad.
Para el departamento de TI, la reacción generalmente ha sido Oh pobre TI. Si tan solo pudiéramos evitar que los empleados hagan esto, sostiene Jennifer Geisler, directora senior de la división de seguridad de red de McAfee.
De los profesionales de TI que han admitido su complicidad, el 42% afirmó que lo hicieron porque se encuentran familiarizados y cómodos con el uso de estos servicios. Un tercer grupo afirmó que el proceso de aprobación por parte de TI para las nuevas aplicaciones de software es demasiado lento o engorroso, es decir, afirmando lo mismo que dicen los gerentes de negocio. Un cuarto grupo afirmó que el software no aprobado satisface de mejor manera mis necesidades que su equivalente aprobado por TI.
Los tipos favoritos de aplicaciones SaaS no aprobadas para los 600 encuestados se encontraban relacionados con la productividad del negocio, medios sociales, compartir archivos, almacenamiento y copias de respaldo. Las aplicaciones SaaS no aprobadas más populares incluían Microsoft Office 365, Google Apps, LinkedIn y Facebook, Dropbox y Apple iCloud. Muchos incluso afirmaron que estaban planeando incrementar este uso no aprobado para cosas como el almacenamiento de datos relacionado a los sistemas ERP y a los departamentos financieros y legales.
El reporte también indica que estos empleados reconocen los riesgos y la responsabilidad en lo que están haciendo.
Un poco menos de la mitad señalaron su gran preocupación por la posible exposición o robo de los datos, o simplemente no estar en capacidad de recuperar los datos desde la aplicación de nube. El 22% admitió que ya habían experimentado algún incidente de seguridad con los medios sociales, mientras que el 16% señaló algún incidente relacionado con la seguridad al compartir archivos, hacer copias de respaldo o realizar un almacenamiento.
A pesar de que sus experiencias les han causado gran preocupación, más del 80% de los encuestados presumiblemente se sienten justificados para continuar con el uso de servicios no aprobados sin asegurarse de que se apliquen políticas de protección de TI, señala el reporte. Existe la sensación de que el fin justifica los medios, añade el estudio
¿Qué se puede hacer con la TI en la sombra, especialmente si se toma en cuenta que los empleados de TI están tan involucrados como los demás? Geisler afirma que el primer paso es determinar las políticas, el chief information security officer debe establecer el tono en términos de confrontar la necesidad del uso del SaaS de una forma tal que satisfaga los requerimientos de compliance y seguridad. También se pueden aplicar tecnologías para monitorear y controlar el SaaS, ya que desactivar completamente el SaaS puede ser difícil de lograr. El SaaS generalmente es una forma creativa de hacer negocios, especialmente con los empleados más jóvenes, señala el reporte. Pero aquellos que se encuentran a cargo de la seguridad TI tienen que establecer formas viables para controlar contraseñas, la administración de identidades y accesos, encriptamiento y prevención de pérdida de datos, por ejemplo, como parte del uso del SaaS. Dado que el personal de TI ha confesado que es parte del problema de la TI en la sombra, Geisler sugiere que el departamento de TI ya no puede seguir apuntando con el dedo a los demás en la compañía.
Ellen Messmer, Network World (EE.UU.)