Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo evitar las shadow TI

Ejecutivos de seguridad ofrecen sus recomendaciones

Shadow TI

[14/03/2016] ¿Qué es lo que tiene en común las complejas políticas de TI, el software obsoleto y la falta de servicios apoyados por TI? Todos contribuyen con la generación de las shadow TI (TI en las sombras), una situación que se produce cuando los empleados eluden los procedimientos para utilizar servicios y software no autorizados. Lo último que los empleados quieren hacer cuando trabajan en un proyecto, es ponerse en contacto con el departamento de TI; entonces ¿cómo es que TI puede proporcionarles [a los empleados] los recursos necesarios para que la shadow TI ya no sea un problema? Algunos profesionales de InfoSec comparten sus sugerencias para la prevención de la shadow TI antes de que se vuelva algo normal.

Dele poder a los dueños de los negocios

Jeff Schilling, CSO de Armor, sugiere:

  • Siga al dinero: Instale procedimientos de contabilidad que requieran toda la tecnología de TI, y en los cuales las adquisiciones de servicios tengan que ser aprobadas por el CIO o su gerente designado.
  • No sea el enemigo: Asóciese con los dueños de su negocio para planificar sus necesidades de tecnología y servicio de TI, para que así usted sea su proveedor preferido.
  • No trate de desafiar las leyes de gravedad: Si la gravedad está empujando a los dueños de su negocio a la nube pública porque es más ágil y capaz de satisfacer sus necesidades, averigüe cómo puede hacer que el dueño del negocio "haga las cosas bien vs. "lo haga por sí mismo.

Fomente una política de puertas abiertas

Morey Haber, vicepresidente de tecnología en BeyondTrust, señala que, para cualquier negocio, la adopción de las siguientes políticas de TI puede ayudar a controlar la proliferación de las shadow TI:

  • Admita/reconozca/acepte que la shadow TI está presente y proporcione un periodo de gracia para que las implementaciones sean puestas bajo la administración de TI sin repercusiones. El personal de seguridad y de TI podrían contribuir positivamente a la organización si se les otorgara el poder necesario.
  • Apoye una política de puertas abiertas a nuevos proyectos, asesoramiento y ayude a proporcionar rápidos consejos para el diseño y la implementación de nuevos proyectos. La shadow TI ocurre debido a las barreras del TI tradicional. Si se adopta una política de puertas abiertas para todos los aspectos, éstas serán removidas completamente.

Priorice la experiencia de usuario final

Kurt Roemer, jefe de Estrategia de Seguridad de Citrix señala que, para evitar la shadow TI, los negocios necesitan enfocarse en la experiencia del usuario final. La razón por la cual evita las políticas de la compañía es porque las aplicaciones y soluciones que se les pide utilizar son muy difíciles de usar o consumen demasiado tiempo. Si la experiencia del empleado es segura y sin problemas, no tendrán necesidad de estar evitando a TI para encontrar soluciones que los ayuden a ser más productivos. Aquí hay algunas buenas prácticas para evitar la shadow TI:

  • Siempre que la shadow TI sea mejor que tratar con el departamento de TI y sus locas reglas, TI perderá clientes.
  • Cuando TI adopte una actitud de primero el cliente y sirva como un asesor de confianza para sus clientes, ambas partes ganarán.
  • Los servicios que TI proporciona deben ser tan buenos o mejores que los que sus clientes puedan obtener por su cuenta de los servicios para el consumidor.
  • Un único inicio de sesión a todas las aplicaciones (especialmente aplicaciones web y de la nube) es una herramienta secreta para recuperar a los clientes, ya que hace que sus vidas sean más fáciles.
  • Las políticas requeridas deben ser automatizadas y contextualizadas a las situaciones específicas a las que los clientes se están enfrentando para, de esta manera, proteger mejor los datos sensibles.

Nótese la ausencia de la palabra "usuarios. Eso es deliberado y es un indicativo de un modo de pensar que restablecerá el valor de TI y reducirá la shadow TI.

Dele a los usuarios lo que quieren con un cloud broker

Travis Greene, estratega de Soluciones de Identidad en Micro Focus señala que los usuarios finales se convierten en shadow TI por una serie de razones:

  • Porque TI no ofrece un servicio (como, por ejemplo, compartir archivos)
  • Porque la norma de TI es muy difícil de usar o no satisface sus necesidades (como, por ejemplo, la adopción de CRM en la nube)
  • Por evitar las políticas de TI

Si los usuarios están evitando a TI para adquirir un servicio, ya sea porque no es ofrecido o no satisface sus necesidades, entonces TI tiene que considerar seriamente añadirlo o permitir el acceso a través de un corredor de nube. El software de los cloud brokers proporciona un único inicio de sesión a las aplicaciones SaaS, ejecuta la solicitud de acceso y las políticas de aprobación, proporciona acceso automático para una mayor comodidad del usuario, y revoca el acceso cuando un usuario cambia los roles o cuando una certificación de acceso indica la necesidad de revocar el acceso.

Céntrese en el comportamiento en vez de en las aplicaciones

Wade Williamson, director de Análisis de Amenazas en Vectra Networks, señala que la shadow TI es, a menudo, enmarcada como un problema de control de aplicaciones. Pero esperar encontrar y gestionar cada nueva aplicación posible, incluyendo aquellas que sus propios chicos de TI construyen, sería como poner orden en una jaula de grillos. En vez de perseguir las aplicaciones, las organizaciones necesitan ser mejores a la hora de reconocer el comportamiento subyacente que todos comparten. ¿En realidad importa si su empleado está copiando sus datos en una cuenta corrupta de Dropbox, su Google Drive personal o un servidor no seguro que tomóen AWS? El comportamiento y el impacto es el mismo. Enfóquese en el comportamiento y, de pronto, un problema amplio se vuelve manejable.

Aprenda cómo están siendo utilizadas las aplicaciones

Chris Morosco, director de Centro de Datos & Estrategia de Nube de Palo Alto Networks, señala que la omnipresencia de la Shadow TI es el resultado del tremendo valor que estas aplicaciones SaaS le están proporcionando a los usuarios finales. Debido a la exposición de los datos y a los riesgos de inserción de amenazas, estos usuarios no pueden funcionar sin un control. Un enfoque radical, como el de simplemente bloquear las aplicaciones, no es el correcto. Interrumpir las aplicaciones importantes del negocio, mientras se bloquean las aplicaciones riesgosas tendrá un gran impacto en el negocio, ya que los usuarios se han acostumbrado a usar estas aplicaciones para realizar sus trabajos diarios.

Para controlar adecuadamente el uso de las aplicaciones SaaS y limitar el impacto de la shadow TI, es necesario tener una visibilidad detallada de las aplicaciones que están siendo utilizadas, cómo es que estas aplicaciones son usadas y quienes la usan. Es así que los informes detallados de cómo es que los usuarios están usando las aplicaciones se convierte en el primer paso crítico. Con ese detalle, ahora, , tiene la capacidad de definir el control granular de las políticas en torno a la utilización de SaaS, lo cual le permite bloquear aplicaciones riesgosas e innecesarias, mientras controla el acceso y el uso de aquellas que son importantes para el negocio.

Restringir a un grupo particular de una aplicación y permitirles, solamente, descargar, pero no cargar es un paso fundamental. Al final todo se reduce a limitar el acceso para evitar el riesgo de exposición e inserción de amenazas sin interrumpir el negocio.

Proporcionar acceso a lo mejor y más nuevo

Frank Mong, head of Network, Endpoint and Cloud Security Strategy de Palo Alto Networks señala que, la shadow TI, normalmente, es el resultado de la incapacidad del área de TI de la empresa para satisfacer las necesidades de los usuarios en el momento oportuno o con el conjunto de herramientas más moderno.

No hay una buena manera de bloquear o parar a la shadow TI, porque siempre habrá una siguiente gran herramienta nueva y brillante que 'resuelve todos los problemas'. TI debería encontrar una manera de permitir que los usuarios accedan a lo mejor y a lo último. Un gran ejemplo son las aplicaciones de intercambio de archivos basadas en la nube. Ya sea Box.net o Dropbox, existe una necesidad y un caso de uso real donde los usuarios necesitan compartir archivos más grandes y pesados. El correo electrónico simplemente no funcionaría. En este caso, el hecho de que TI permita una versión corporativa de Box.net resolvería un gran problema y se aplicarían, en Box, las políticas de visibilidad y seguridad de la misma manera como si estuviera siendo gestionado por la compañía.

Este ejemplo -junto con los cloud access security brokers (CASB)o las nuevas capacidades del firewall para identificar, rastrear y gestionas aplicaciones basadas en la nube- hace que sea más fácil para el área de TI corporativa satisfacer las necesidades de los usuarios de manera oportuna, y apoyar las últimas herramientas geniales. Si el área de TI corporativa pudiera demostrar su agilidad y al mismo tiempo proporcionar la seguridad necesaria, los usuarios dejarían de mirar a la shadow TI en busca de respuestas.

Practique el perdón

Mat Gangwer, líder de Operaciones de Seguridad de Rook Security, señala, por su parte, que gobernar una organización de TI con mano de hierro producirá, en la mayoría de los casos, resultados no deseados. Si a través del monitoreo de contenido o el filtrado de redes usted identifica que algo no aprobado está siendo utilizado, la solución será tan fácil como apagarlo a través de las protecciones de red. Sin embargo, esta práctica, por lo general, hace que los empleados se esfuercen aún más para eludir los controles que tiene en su lugar. Es importante tener un catálogo de servicios disponible para sus empleados. Este catálogo resume los servicios aprobados para el uso. Ser capaz de identificar estos servicios y luego discutir con los empleados de por qué están usando esos en vez de uno de los "servicios aprobados, dará buenos resultados. En la mayoría de los casos, la falta de formación o sensibilización conduce a la aparición e incremento de la shadow TI.

Ryan Francis, CSO (EE.UU.)