Copia de Millicom-Tigo realiza la primera llamada holográfica en Latinoamérica
Ocho de cada 10 ejecutivos realiza alguna actividad que pone en riesgo la información de su organización
octubre 9, 2019
Todos

Shadow IT: no puedes proteger lo que no puedes ver

Copia de Robots. Los abogados del futuro

Shadow IT: no puedes proteger lo que no puedes ver

 

Los CIO están teniendo dificultades para mantenerse al día con la explosión de dispositivos, aplicaciones y software no autorizados. ¿Quién debería ser responsable si algo sale mal?

La democratización de TI significa que la mayoría de los usuarios ya no tienen que rogar, pedir prestado o robar para obtener la tecnología que desean. Cualquier persona con una tarjeta de crédito y una conexión a Internet puede alinear una solución basada en la nube diseñada específicamente para su equipo o su línea de negocios, y muchos lo hacen sin tener en cuenta la seguridad. ¿Quién debería ser responsable si algo sale mal?

“Muchas decisiones de TI ahora se distribuyen en toda la organización a nivel de línea de negocio. Desde el punto de vista de la seguridad, es un escenario de pesadilla, dice Larry Ponemon, fundador del Ponemon Institute, una firma de investigación tecnológica. “Las personas a nivel empresarial pueden no tener ningún conocimiento sobre la seguridad, y pueden estar utilizando estas herramientas de manera que pongan a la organización en gran riesgo”. De hecho, una encuesta reciente de Forbes Insights titulada” Brechas de percepción en ciberresiliencia: ¿Dónde están tus puntos ciegos? “Encuentra que más de 1 de cada 5 organizaciones han experimentado un evento cibernético debido a un recurso de TI no autorizado.

Los ejecutivos dicen que les está costando mantenerse al día con la explosión de dispositivos, aplicaciones y software no autorizados. La mayoría de las organizaciones ejecutan más de 100 aplicaciones diferentes, algunas hasta 1,000. Pero ese número puede ser solo una suposición. La compra directa de software como servicio, aplicaciones personales y comerciales y otro software no autorizado por parte de individuos y unidades de negocios hace que sea difícil para los profesionales de TI conocer incluso toda la tecnología o aplicaciones utilizadas en sus organizaciones. Por lo tanto, se vuelve extremadamente desafiante proteger todo el universo de los datos, sistemas y aplicaciones de una organización.

Cuando las unidades de negocios pueden obtener lo que necesitan sin el conocimiento o la aprobación del equipo de TI, es difícil mantener un programa de ciberseguridad efectivo en toda la organización. Esto se jugó primero con el desafío de traer su propio dispositivo (BYOD) en la era de los teléfonos inteligentes, luego con el Internet de las cosas (IoT) y los servicios en la nube.

“Siempre existe una tensión entre el control empresarial y la flexibilidad de la unidad de negocios”, dice James Kaplan, socio y co-líder de infraestructura de TI y ciberseguridad en McKinsey. “Muchas organizaciones han descubierto ya sea cómo crear utilidades empresariales efectivas o cómo crear un alto grado de escala y profesionalismo en cada unidad de negocios”. Esta tensión es particularmente frecuente en empresas con mucha tecnología operativa, como un hospital, un ferrocarril línea o un fabricante, donde “por muy buenas razones, tiene todo tipo de dispositivos controlados por grupos operativos y no por TI”, dice Kaplan. “Pero forman parte de la red de la organización”.

Brechas de percepción en ciberresiliencia: ¿Cuáles son sus puntos ciegos?

El lanzamiento de 5G conectará aún más dispositivos y puntos finales a la red empresarial. Para 2023,  Gartner  predice que la cantidad de puntos finales administrados por el CIO promedio se triplicará. Los equipos de seguridad cibernética necesitarán prepararse para la avalancha de aplicaciones de IoT que ocurrirán cuando 5G esté ampliamente disponible,  dice Steve Hunter , director para Asia Pacífico y Japón en ForeScout, una plataforma de control de dispositivos. “La única forma de asegurar la red es saber exactamente qué está conectado y cómo se está utilizando. Cuando las unidades de negocios pueden hacer esto sin asistencia de TI, obtener visibilidad completa se vuelve complejo ”, dice. “Es esencial que brille una luz en cada rincón oscuro de la red ahora para evitar brechas de visibilidad en el futuro”.

La supervisión de la red es una forma de ver qué aplicaciones se están ejecutando y quién las está ejecutando. Earl Perkins , vicepresidente de investigación de Gartner, recomienda implementar un programa de descubrimiento, seguimiento y gestión de activos, especialmente al comienzo de cualquier proyecto de IoT. Las organizaciones también pueden desarrollar pautas para dispositivos, servicios en la nube y aplicaciones de terceros, así como acceso restringido a algunas aplicaciones de terceros inseguras, una lista negra de dispositivos, aplicaciones y servicios en la nube inseguros.

Una política de confianza cero para cualquiera que intente iniciar sesión es otra opción, especialmente para partes sensibles de la red. A medida que más dispositivos se conectan a múltiples usuarios,  Merritt Maxim , vicepresidente y director de investigación de Forrester Research, sugiere cambiar el enfoque de seguridad al control de nivel de identidad en lugar del control de nivel de dispositivo. Al hacer que cada usuario se autentique, en lugar de establecer una contraseña estándar para cada dispositivo, las organizaciones pueden comprender los patrones de uso y protegerse mejor contra las vulnerabilidades y el uso indebido. En el futuro, más organizaciones pueden recurrir al aprendizaje automático para señalar intentos de inicio de sesión inusuales.

La encuesta de Forbes Insights encuentra opiniones divididas sobre quién debería ser responsable de la TI paralela: los propios usuarios, el departamento de TI o los proveedores y desarrolladores de cada aplicación. El problema es cuando nadie se hace responsable.

En última instancia, la única forma de mejorar la seguridad de las TI en la sombra es una combinación de ayudar a los usuarios a ser más conscientes y receptivos a los posibles riesgos y vulnerabilidades de toda la tecnología que usan para interactuar con los sistemas empresariales, así como implementar más medidas a prueba de fallas como aquellas descrito arriba. Las organizaciones también deben comprender los protocolos de seguridad para proveedores y desarrolladores de aplicaciones. Los equipos de seguridad y recuperación ante desastres deben incluir TI sombra crítica conocida en sus evaluaciones de amenazas.

“Hay muchos problemas de césped cuando se trata de TI sombra”, explica Ponemon. “Se toman decisiones que realmente pueden influir en otras unidades de negocios, y no se comparte mucha información.

“Para conquistar los problemas de resiliencia en el mundo de las TI en la sombra se requiere más colaboración internamente, no hacer que la línea de negocios sea el malo”, explica. Los usuarios y los gerentes de línea de negocio deben ser parte de un plan general de resiliencia.

 

Por  |

Este artículo fue publicado originalmente en Forbes.com; El contenido no ha cambiado.

Deja un comentario