Somos humanos, nos atrae el lado oscuro, explorar los límites e intentar sacarles partido
En las empresas, y con respecto a la tecnología, esto se llama el Shadow IT, lo que no está bajo el paraguas o gestionado por el departamento de IT corporativo.
Puede ser porque los usuarios van por delante, el Bring Your Own Device (BYOD), en el que aparecen nuevos riesgos por la realidad creciente de los dispositivos conectados que llevamos encima. El reto está en aislarlos y darles servicio de modo conveniente, sin perjudicar los servicios principales.
Algunas medidas concretas plantean un procedimiento interno para indicar a qué red se deben conectar, por ejemplo, un WIFI de invitados aislado de la red corporativa, para móviles o tabletas personales o utilizar su propia conexión de datos.
Pero más allá del BYOD, todo lo que no está definido o fijado de antemano se puede considerar bajo el libre albedrío del usuario. ¿Qué aplicaciones instalar, que páginas visitar y de cuáles descargar información? ¿A que servicios se accede, cuando y desde dónde?
¿Cómo gestionar el Shadow IT?
¿Planteo políticas muy restrictivas (modelo cerrado) con excepciones muy puntuales? ¿Planteo un modelo de seguridad abierta y cierro servicios cuando detecto problemas con ellos? Estas son algunas de las decisiones que tenemos que tomar como departamento o proveedor de TI, pero sabiendo que no podemos poner puertas al campo, siempre va a haber algún resquicio para el Shadow IT.
La forma más proactiva define de cada elemento, y plantea inspecciones (checklist automatizadas) para confirmar que se cumplen con los estándares en cada parte.
Por otro lado, la forma más reactiva o como comprobación auxiliar están las auditorías regulares, muchas veces como consecuencia de algún susto o un ataque real, ya sea nuestro o del que tenemos conocimiento en el exterior.
Shadow IT y las brechas de seguridad
Los ataques como tal se ha demostrado que en buena medida provienen de los empleados, aunque esta estadística ahora no es tanto debido a ataques conscientes como sí que lo eran antes, sino que muchos de ellos lo son ahora debido a imprudencias que permiten convertirse en fuente de ataques de troyanos externos.
Las revisiones del tráfico saliente hacia sistemas P2P, servicios de compartición de archivos no expresamente autorizados y para los usos concretos pueden representar una brecha de seguridad.
Sistemas como los M2M para gestión de dispositivos o los CASB para el Software As A Service (SaaS) son algunas de las herramientas que tenemos a nuestra disposición para intentar gestionar.
En todo caso los retos y nuevas amenazas que provienen del Shadow IT y la ciberseguridad en general van a ir evolucionado y siendo cada vez más importantes para las empresas. Y todos tendremos que estar en continua evolución para poder dar respuestas adecuadas, tanto en los comportamientos y formación de las personas, los procedimientos corporativos y la tecnología que nos ayude a monitorizar y minimizar riesgos en lo posible.
Social Links: