Alertan sobre riesgos empresariales por uso de “tecnología alternativa”
Los directores de las áreas de tecnología en las organizaciones están cada vez más preocupados por el descontrol que existe cuando los trabajadores utilizan sus propias aplicaciones y soluciones basadas en la nube, pues esto implica una gran brecha de seguridad, ya que se comparte información sensible y confidencial de la empresa.
Las organizaciones que cambian a una solución basada en la nube están expuestas a que los datos sensibles ahora se muevan libremente entre la empresa y la nube. El uso de aplicaciones no autorizadas en cloud ha creado un riesgo intensificado de la exposición interna/externa de datos, ataques de malware de los proveedores de nubes sospechosas y problemas de visibilidad y seguridad causados por este ¨Shadow IT¨.
Los empleados tienen cada día mayor acceso a estas herramientas que les permiten solucionar problemas específicos de manera muy rápida, sin pasar por las restricciones del área de tecnología.
De igual manera, los proveedores externos que ofrecen servicios como seguros de salud o aire acondicionado, ventilación, etc., tienen acceso a las redes corporativas.
Esto es grave, pues los ciberdelincuentes muy probablemente utilizarán estas rutas indirectas para el ataque. Los delincuentes cibernéticos utilizan dispositivos como impresoras, termostatos, y máquinas expendedoras para poder ingresar y generar grandes ataques.
De acuerdo con un estudio independiente que realizó Blue Coat en Reino Unido con CIOs de empresas de aproximadamente mil empleados, 60% de ellos dijo que había un gran incremento en el uso de tecnología propia o Shadow IT en las organizaciones. Otro 84% estaba preocupado pues esto les hace perder el control sobre el área tecnológica de la empresa.
Es evidente que la solución no puede ser simplemente tratar de prohibir el uso del Shadow IT. No sirve de nada reprender a aquellos que lo utilizan, relegando la función estratégica del departamento de TI a la de un maestro de escuela. Además, es también demasiado tarde para eso, pues llegamos a la era de TI descentralizada.
Los CIOs ahora necesitan manejar las demandas de las unidades de negocio de servicios desde fuera de la organización; tienen que reunir a los servicios dispares, las ubicaciones y las implementaciones en algo cohesivo. La información confidencial que se haya subido y compartido en aplicaciones de la nube sin el conocimiento, el consentimiento, ni el control de los equipos de seguridad de TI puede poner a una organización en riesgo de una fuga de datos costosos o muy embarazosa, o en la violación de las disposiciones normativas locales o regionales.
De igual manera, Shadow data es el contenido sensible que los usuarios suben, guardan o comparten vía aplicaciones de la nube – casi siempre sin el conocimiento del personal de TI—. En otras palabras, sólo porque la organización eligió una aplicación robusta para compartir archivos como Like box u Office 365, no significa que tengan gobernabilidad de los datos.
El informe de Blue Coat y Elastica sobre datos ocultos del segundo trimestre de 2015 revela las amenazas que implica que los empleados utilicen aplicaciones en la nube para las organizaciones.
Entre los hallazgos más sobresalientes se destaca que las empresas no están conscientes de que el 26% de los documentos guardados en la nube han sido ampliamente compartidos, esto significa que cualquier empleado puede acceder a estos, que han sido compartidos externamente con contratistas y distribuidores y, en algunos casos, públicamente accesibles y descubribles a través de Google search.
Igualmente preocupantes son los datos de este estudio que muestran que 1 de cada 10 documentos que se comparten contienen datos sensibles y/o sujetos a regulaciones (48%), información personal (33%), Información de salud confidencial (14%) y datos de tarjetas de pagos (5%).
Los análisis presentados en este reporte revelan que hay tres principales amenazas hacia las organizaciones que utilizan aplicaciones de cloud no autorizadas: robo de datos, destrucción de datos y control de la cuenta.
¿QUÉ HACER PARA SOBRELLEVAR ESTOS SHADOW IT Y SHADOW DATA?
Identificar las aplicaciones de riesgo para asegurar que sus empleados sólo utilizan aplicaciones de la nube segura y servicios apropiados para su organización. Ocupar una solución que permita la visibilidad mediante el descubrimiento de aplicaciones basadas en la nube y proporcione control y gestión centralizada.
Educar a los empleados sobre los riesgos para la seguridad de los documentos que comparten indiscriminadamente, tanto dentro de la organización y con los colaboradores externos. Los documentos más ampliamente compartidos tienen mayor probabilidad de que alguien desconocido acceda a esos datos. Del mismo modo, el área de TI debe aumentar su propio conocimiento y comprensión de lo que sus empleados comparten y con qué amplitud son compartidos.
Conocer sus datos compartidos en la nube: No se puede proteger lo que no puede ver, y eso va para sus datos, así como las propias aplicaciones en la nube. Es recomendable elegir una solución que permita clasificar los documentos cloud almacenados en categorías de negocios (es decir, legal, administración, medicina, etc.). Dicha identificación y clasificación permitirá aplicar con mayor eficacia las medidas de seguridad apropiadas de datos en la nube.
