En el mundo actual de la Internet de todo, estamos más conectados que nunca antes, lo que significa más oportunidades para las amenazas a la seguridad y las violaciones de datos. Para concienciar sobre la importancia de la seguridad, celebraremos el Mes Nacional de Concienciación sobre la Seguridad Cibernética (NCSAM) compartiendo durante todo el mes contenido centrado en la seguridad. Cada lunes de octubre, compartiremos una nueva entrada del blog de seguridad de nuestros expertos. Disfrútelo!
Únete a la conversación en Twitter con #NCSAM y #CyberAware.
—–
¿Quién sabe qué maldad acecha en el corazón de su organización? La Sombra sabe.
Este es un juego de palabras basado en un viejo programa de radio llamado La Sombra (se convirtió en una película bastante olvidable protagonizada por Alec Baldwin en los 90). Pero el juego de palabras captura una verdad preocupante. Su organización se enfrenta a una creciente amenaza de seguridad: La Sombra IT.
Estamos ahora en el punto, al menos en el mundo occidental, donde la mayoría de las personas en edad de trabajar han pasado los últimos 20 o 30 años usando la tecnología. Casi todo el mundo se siente cómodo con ideas como la instalación de software, la conexión a redes y algunos fundamentales de la nube. Saben cómo funcionan los ordenadores y cómo comprar e instalar software.
A esta realidad se le suma el hecho de que el software empresarial se ha consumido: ahora es muy fácil para cualquier persona de su organización hacer girar un servidor, configurar un software de gestión de proyectos en línea o instalar software en sus portátiles. Hace unos pocos años, esto requería pasar por un proceso de adquisición y obtener la aprobación del equipo de TI, que entonces especificaba un dispositivo/software y lo instalaba.
Ese mismo proceso de adquisición que una vez se proporcionó a toda la organización se ha convertido ahora en la razón misma por la que muchos equipos recurren a soluciones no aprobadas: a menudo se deniegan las solicitudes de programas informáticos o recursos, y cuando se aprueban las solicitudes, la instalación suele ser demasiado lenta para cumplir los plazos del solicitante.
¿Qué es Shadow IT y cómo sucede?
Armados con una tarjeta de crédito corporativa y una conexión a Internet, los empleados están encontrando sus propias soluciones. Traen sus propios dispositivos a la empresa. El software que quieren funciona en la nube. No hay nada que instalar. Es probable que los empleados de su empresa estén utilizando docenas de soluciones como Basecamp, DropBox u Office 365 que pueden o no tener la licencia o el mantenimiento adecuados, o pueden duplicar otras soluciones que usted ofrece como departamento de TI. ¿Y quién puede culparlos? Muchos equipos de TI se están aislando al dificultar las cosas para los usuarios y se consideran un obstáculo para hacer las cosas. Y cuando esto ocurre, la gente se dirigirá a Shadow IT para satisfacer sus necesidades.
¿Cuáles son las preocupaciones de Shadow IT?
Los individuos ven a Shadow IT como una buena solución para sus problemas. Pero la proliferación de soluciones tecnológicas no aprobadas en su organización aumenta su huella técnica y puede crear algunos grandes dolores de cabeza. El primero se hace evidente cuando se pide a la TI que resuelva problemas causados por aplicaciones incompatibles. ¿Cómo puede anticiparse a estos problemas cuando ni siquiera sabe qué soluciones técnicas utiliza su organización?
Este es un lugar donde la TI puede ayudar a toda la organización. Pero tienen que ponerse al frente de la tendencia y entender quién está usando qué. Hay herramientas de empresas, como Microsoft, Okta y One Login, que pueden configurar nuevos usuarios en servicios como SalesForce, Office 365 y otras soluciones SaaS, todo a través de una sola cuenta, que permite a TI mantener y administrar todas esas licencias desde una ubicación centralizada, mientras que los usuarios tienen una experiencia fluida para obtener las herramientas que quieren y necesitan. Al centrarse en añadir valor a los usuarios y no sólo en aumentar el control, es más probable que el usuario adopte las herramientas y las directrices. El entrenamiento de evangelistas en todos los rangos también ayudará.
Una preocupación aún mayor con la tecnología de la sombra es la seguridad. Sin controles sobre qué servicios se usan, quién los usa y qué límites se ponen a los datos de los clientes, Shadow IT puede ser un desastre de seguridad a la espera de ocurrir. ¿Qué sucede si un vendedor motivado descarga los datos de los clientes desde una aplicación SaaS a su dispositivo móvil personal para que pueda hacer llamadas de camino al trabajo cada mañana y luego el teléfono se pierde o es robado? ¿Alguien lo sabrá? ¿Puede su organización permitirse esa responsabilidad? ¿Estos dispositivos y aplicaciones deshonestos rompen sus cumplimientos?
Y no son sólo teléfonos o computadoras. Los empleados que traen dispositivos de IO al trabajo y los agregan a la red pueden abrir sus sistemas a importantes riesgos de seguridad. ¿Su equipo de TI vigila todo el tráfico de la red y sabe de dónde viene? ¿Está correctamente confinado? ¿Implemente una buena segmentación de la red que divida cualquier dispositivo con datos seguros y reduzca su riesgo de seguridad? ¿Se están parcheando las cosas adecuadamente?
En realidad, puede que sea imposible volver a meter al genio en la botella y poner fin a la «Informática de las Sombras» para siempre. Pero hay unas cuantas cosas que su equipo de tecnología puede hacer para mantenerse al tanto del problema.
Cómo prevenir la sombra IT
Primero, piense en otros empleados de la compañía como sus clientes, porque en un sentido muy real lo son. La informática está ahí para apoyarlos y capacitarlos. ¿Cómo puedes ofrecer una «experiencia de producto» que sea la mejor de su clase? Cuando TI se olvida de esta función crítica de apoyo, surge la TI de la sombra.
A continuación, debe sentarse con los distintos departamentos de su organización para hablar de sus necesidades tecnológicas. ¿Qué soluciones necesitan que la TI no proporciona actualmente? ¿Qué software están usando ahora? ¿Qué aplicaciones web? ¿Qué servicios en la nube utilizan para apoyar su trabajo? ¿Y qué valor obtienen de cada uno de ellos?
*Crédito adicional para aquellos que se sientan con diferentes departamentos y equipos para obtener una mejor comprensión de sus metas y problemas e identificar tecnologías que puedan ayudarles a abordar esas necesidades que ni siquiera conocen.
Al hablar con cada departamento, puede que descubra que el 20% de ellos están usando esta aplicación o el 50% están usando aquella. Ayude a estos «clientes internos» a acceder a estas soluciones a través de los canales adecuados, identifique mejores soluciones que proporcionen más características o valor de lo que actualmente obtienen, o negocie mejores precios para los servicios que utilizan, basándose en el número total de licencias que la organización necesita. Como mínimo, podrá identificar los posibles problemas simplemente sabiendo quién está usando qué.
Si Shadow IT se ha convertido en un problema en su organización (y es casi seguro que así sea), mi recomendación sería pensar en la experiencia de usuario de su cliente interno como si fuera un gerente de producto. Eduque a los usuarios sobre los riesgos que pueden tener sus acciones. A continuación, proporcione o cree herramientas que permitan a su empresa ver y compartir las aplicaciones que están utilizando. Averigüe por qué están usando las herramientas que tienen y edúquese sobre las necesidades de los otros equipos de su organización. Luego reúnase con ellos.
Shadow IT va a suceder. Así que cuanto más puedas rodearlo con tus brazos y apoyarlo, antes podrás mitigar los riesgos y sacarlo de las sombras para siempre.
Aprende más sobre cómo puedes educar a tu equipo de TI con nuestra guía.
Trae la guía: Profesionales de la informática y aprendizaje permanente: Los retos y oportunidades que afectan a tu equipo