Una nueva investigación de CipherCloud ha puesto un número en el uso de aplicaciones y servicios en la nube que están en las sombras dentro de las empresas, y los números son mucho mayores de lo que los líderes empresariales han anticipado.
CipherCloud, un proveedor de seguridad con sede en San José, California, dio a conocer su Reporte de Adopción de Nube y Riesgo, que encuestó a clientes de CipherCloud en América del Norte y Europa. El informe encontró que la empresa promedio utiliza más de 1,100 aplicaciones en la nube y que el 86% de esas aplicaciones en la nube están no sancionadas por los departamentos de TI de las empresas.
"Hay muy poca visibilidad actualmente en muchas organizaciones acerca de la extensión de las TI en las sombras", dijo Will Leichter, director global de seguridad en la nube de CipherCloud.
Además, el informe también encontró que las empresas "subestimaron ampliamente el alcance de las aplicaciones en la nube en las sombras utilizadas por sus organizaciones”. El uso de la nube en las sombras puede poner a las empresas en mayor riesgo de brechas y fugas de datos ya que las aplicaciones y servicios no están controlados o supervisados por los departamentos de TI o los equipos de seguridad de la información. Sin embargo, este tipo de aplicaciones en la nube están creciendo en popularidad dentro de las empresas.
"Ha habido un relajamiento de los controles en general, porque las expectativas de los usuarios han cambiado", explicó Leichter. "Ellos quieren que las cosas sean más rápidas y más fáciles. Ellos traen sus propias aplicaciones”.
Descubrimiento de la nube en las sombras
La investigación de CipherCloud también identificó los tipos de aplicaciones y servicios en la nube más utilizados por las empresas, así como los tipos que conllevan la mayor parte del riesgo, de acuerdo con el CipherCloud Risk Intelligence Lab. Mientras que las aplicaciones de marketing y de colaboración en la nube son líderes en términos de uso corporativo, las aplicaciones editoriales y de carrera en la nube son dos de los líderes en cuanto a factores de riesgo, con una calificación de riesgo del 52% y una calificación de riesgo del 40%, respectivamente, de acuerdo con los datos de puntuación del Risk Intelligence Lab. Las aplicaciones sociales en la nube están entre las primeras en ambas tablas, con un promedio de 254 solicitudes a las que se accesa de manera global y con una clasificación de riesgo del 42%.
CipherCloud se especializa en gateways seguros que encriptan los datos locales antes de que se transfieran a las aplicaciones en la nube, como Microsoft Office 365, Box y Salesforce.com. A principios de este año, la compañía también presentó CipherCloud for Cloud Discovery, un servicio gratuito para ayudar a las empresas a obtener visibilidad en el uso de la nube en las sombras, y también desarrolló una lista de productos de nube que pueden ser descritos como más o menos dignos de confianza y de productos que son notoriamente inseguros.
"Hay un equilibrio entre restringir la capacidad de los usuarios para hacer las cosas y darles alternativas sancionadas", dijo David Berman, director de descubrimiento en la nube en CipherCloud.
Berman explicó que tiene sentido para las empresas permitir un poco de variedad en el uso de la nube. El bloqueo de todas las aplicaciones de nube en la sombra es difícil de hacer en la práctica, dijo, y desde que BYOD se ha vuelto frecuente en la industria, los usuarios esperan más libertad.
"Hay que involucrar un poco de educación de los usuarios para hacer que los empleados entiendan que las nubes son riesgosas y que hay alternativas sancionadas", dijo Berman. "[Pero] tendría sentido bloquear las nubes con riesgo más alto”.
Leichter estuvo de acuerdo, y agregó que muchas de las aplicaciones y servicios en la nube ofrecen mejoras en la productividad de los empleados de la empresa. "Hay literalmente cientos de aplicaciones ahora que hacen que sea muy fácil compartir archivos con cualquier persona", dijo Leichter. "Creo que la gente está usando estos [programas] por motivos legítimos, pero sin duda representan riesgo... En su mayor parte, creo que esta es gente simplemente tratando de hacer su trabajo y usando herramientas que son fáciles de conseguir”.
Leichter explicó que el uso de múltiples servicios de intercambio de archivos se deriva del hecho de que no todas las partes comparten un programa estándar. Si un socio está enviando un archivo a través de Google Drive, pero un empleado solo tiene DropBox, entonces es probable que uno de los dos se adapte mediante la instalación del otro cliente para compartir. Si bien CipherCloud reconoce las muchas aplicaciones de intercambio de archivos legítimas, han encontrado muchas marcas de "imitación" que tenían prácticas de seguridad pobres.
Los hallazgos de CipherCloud son similares a los de la Cloud Security Alliance, que el mes pasado lanzó un estudio sobre el uso de la nube en las sombras en la empresa. El estudio de CSA encontró que más del 70% de los ejecutivos y gerentes de TI encuestados no sabía cuántas aplicaciones y servicios en la nube no autorizadas estaban usando sus empleados.
