jueves, 14 de julio de 2016

Paradojas de un CIO en tiempos de Shadow IT

¿Qué tienen en común los CIO de un banco importante, una siderúrgica y una constructora en este nuevo mundo en el que se disuelve el perímetro de seguridad tradicional?

Todos han encontrado cientos de aplicaciones no autorizadas en la nube siendo utilizadas por los empleados de la compañía. Más que eso, se encontraron con que la información confidencial se comparte con otros empleados o públicamente a través de estas aplicaciones. Esto puede parecer un problema típico del entorno de nube, pero en realidad está más relacionado con el comportamiento de una nueva generación de usuarios de negocios. Si este usuario quiere hacer algo para mejorar su productividad y generar resultados, lo hará. Si es necesario descargar una aplicación a través de su teléfono inteligente, la descargará y la utilizará en el ambiente de trabajo.

Por lo tanto, los directores de TI de hoy en día se enfrentan a una paradoja. Por un lado, saben que el negocio demanda ciertas aplicaciones y servicios en la nube. Por otro lado, estas mismas aplicaciones pueden presentar una variedad de riesgos de seguridad. Si el departamento de TI, niega el acceso a estas aplicaciones, puede ser visto como un obstáculo a la mayor productividad. Pero permitir que las aplicaciones en la nube se utilicen de manera indiscriminada, sin ningún tipo de control, puede significar a la empresa violaciones de seguridad que podrían costar a los CIO sus puestos de trabajo.

La resolución, según todos los indicios, parece otra paradoja: dar libertad de elección a los usuarios sin perder el control y la visibilidad. Pero, ¿cómo? El camino señalado por Gartner se llama Cloud Access Security Broker (CASB), que se definió como una arquitectura o un conjunto de soluciones capaces de cubrir una amplia gama de escenarios, incluyendo las aplicaciones autorizadas y no autorizadas, dispositivos móviles y/o escritorios administrados y no administrados, etc. Sobre la base de este concepto, hay pasos que los administradores de TI pueden y deben tomar que les permita hacer que los usuarios tengan libertad, pero sin perder el control de la situación y, por lo tanto, mitigar algunos de los principales riesgos de TI paralela. Eso es justamente lo que veremos a continuación. 

La seguridad tiene que comenzar con algún nivel de visibilidad

Esencialmente existen dos tipos de empresas: las que utilizan abiertamente la nube y las que la utilizan, pero no saben que lo están utilizando. En el caso del segundo tipo, luego de una evaluación, es evidente que existe una actividad considerable fuera del control del departamento de TI, el llamado IT Shadow. El área de IT puede bloquear aplicaciones como Dropbox, pero esto no va a detener al empleado que está utilizando una aplicación de este tipo, ya que va a ir en busca de un reemplazo. Por lo tanto, el descubrimiento es el primer paso para recuperar el control de la situación; y puede comenzar con sólo mirar a los datos del registro de servidor de seguridad para ver a qué servicios en la nube se está accediendo. Por otro lado, entender cómo estos servicios están siendo utilizados y por quién es otra cuestión y requiere un trabajo más avanzado, pero es totalmente posible.

Es fundamental entender cómo la información transita por la empresa

Un control más detallado sería entender lo que está sucediendo dentro de la aplicación más allá del simple hecho de que se está accediendo. Lo que es realmente necesario para la seguridad son los detalles de la transacción. Por ejemplo, la solución CASB debe decirle al usuario ‘José ‘ fue a Dropbox o Google Drive y comparte el archivo llamado ‘Confidential.docx’, que contenía información sensible con un usuario externo denominado ‘Alice’ en una determinada dirección IP.

Con este nivel más profundo de visibilidad, se pueden tomar medidas preventivas a continuación, tales como la creación de políticas específicas en torno al uso de la aplicación, o implementar una solución que detecte un comportamiento anómalo del usuario.

Analice y evalue

Una vez que la empresa ha descubierto que, de hecho, se están usando aplicaciones y servicios en la nube y la forma en que se las está utilizando, es necesario evaluar las implicaciones de seguridad, especialmente desde la perspectiva del gobierno, riesgo y cumplimiento. En promedio, hay más de 2.000 archivos almacenados por cada usuario en una aplicación de intercambio basado en la nube, como Box o Google Drive. De éstos, alrededor de 185 archivos son “ampliamente compartidos”, es decir, archivos que se comparten públicamente o externamente, y puede acceder alguien por fuera de la organización.

Lo que es alarmante es que el 20% de los archivos compartidos ampliamente contienen algún tipo de dato relacionado con el cumplimiento. Esta es una perspectiva desalentadora, ya que este contenido puede incluir información personal (PII – Información de Identificación Personal), información financiera (PCI – Información de Tarjetas de Pago), como número de tarjeta de crédito; o información de la salud (PHI – Información de Salud Protegida). Para hacer frente a esto, debe ser capaz de crear políticas sobre cómo, cuándo y dónde los usuarios pueden acceder a las aplicaciones y de qué dispositivos. Este es el control.

Mirando hacia los dispositivos móviles

Después de asegurar una mejor gestión y visibilidad de la seguridad de sus aplicaciones – ya sea o no Shadow- IT debe mirar en última instancia, a los dispositivos utilizados por los empleados. BYOD -traer su propio dispositivo- no tiene que ser inseguro. Lo que se debe establecer es la gestión de estos dispositivos móviles.

Al menos un código de acceso/contraseña debe estar configurado en el dispositivo. Para tener una idea de algunas vulnerabilidades básicas, muchos empleados se conectan a sus cuentas corporativas mediante dispositivos móviles personales que no tienen ni siquiera una simple contraseña para evitar el acceso en caso de pérdida o robo.

Los servicios de identidad de la nube más avanzados le permiten brindar acceso sólo a los dispositivos administrados, e incluso entonces sólo en redes específicas.

En resumen, no importa cuál sea el estadio de adopción de la nube de las empresas, lo que todas precisan hoy y que van a necesitar cada vez más son soluciones que les den visibilidad y control del uso completo de la nube. Creemos que un programa de privacidad y protección de datos bien planificada traerá todas las características de CASB (descubrimiento, control, refuerzo, detección, análisis) y ayudará a las empresas con respecto a la observancia de las leyes y las normas de cumplimiento, la residencia de los datos y la expansión y operación de las políticas internas y más eficaces de seguridad.