En 2015, el 35 por ciento de la inversión en TI se manejó fuera de los departamentos de TI, y para el año 2017, Gartner predice que los CMOs (Chief marketing Officer) solos gastarán más en los servicios de TI que los CIO. Esto incluye tanto las aplicaciones seguras e inseguras en la nube y servicios que los empleados y unidades de negocio están adoptando cada vez más sin conocimiento o supervisión del área de TI, lo que comúnmente se conoce como el Shadow IT.
Hoy en día, todos los departamentos desde contabilidad hasta ingeniería están adoptando sigilosamente estos servicios en la nube, causando graves problemas a los profesionales de TI que tienen que tener visibilidad y control inmediato sobre estos servicios después de los hechos. Este proceso amenaza con hacer la TI irrelevante en las decisiones críticas de compra de TI y de planificación.
Póngase de nuevo en el asiento del conductor.
Como resultado de este cambio, muchos profesionales de TI se preguntan cómo pueden planificar de forma proactiva una estrategia de nube segura, defender los beneficios de productividad de negocios de aplicaciones cloud, reducir al mínimo los costos de TI y optimizar su infraestructura y los servicios de la nube si no son aun plenamente conscientes de ellos. La realidad es que no se puede transformar lo que no se puede ver. Ganar visibilidad y control sobre las aplicaciones de la nube es el primer paso para poner a los profesionales de TI firmemente en el asiento del conductor con respecto a la planificación de Cloud IT.
Blue Coat nos presenta siete acciones diferentes que les permitirán a los profesionales de TI empoderarse en esta era de la nube.
1: Repensar lo que significa la visibilidad y el control en la nube
A diferencia de las aplicaciones aprobadas por la empresa, existen otros servicios en la nube fuera del perímetro de la red, por lo que la interpretación tradicional de la visibilidad en cuanto a ver los registros de firewalls y SIEM da solamente una visión parcial del tráfico de nube global y uso de las aplicaciones. La visibilidad en un contexto de nube, entonces, significa ver toda la actividad de la nube de los empleados, independientemente de si sus sesiones de cuenta se inician desde dentro o fuera del perímetro de la red tradicional.
2: Automatizar la detección de uso de las aplicaciones de nube
La mayoría de los departamentos de TI creen que tienen sólo 40-50 aplicaciones de nube que se ejecutan en su red extendida. El último informe de Blue Coat ¨Shadow Data Report¨, registró que las organizaciones están utilizando habitualmente más de 840 aplicaciones en la nube – la mayoría de las cuales fueron adoptadas por los empleados o unidades de negocio sin el conocimiento de TI. El segundo paso en la obtención de una organización en la nube es la adopción de una solución de aplicación de seguridad de nube que pueda automatizar el laborioso proceso de análisis de los registros del firewall, proxies y Siems para descubrir cualquier ¨Shadow IT¨ dentro de la red corporativa, así como la identificación de quienes en el organización utilizan estas aplicaciones.
3: Desarrollar una estrategia detallada de gobernabilidad de la nube
Montar un comité de gobernabilidad de nube integrada por consejeros ejecutivos de TI, el cumplimiento de la gestión jurídica y riesgo, y las líneas de representantes de las empresas. En conjunto, este comité debe elaborar una estrategia de adopción de la nube detallado que incluya la selección y aplicación de directrices de seguridad, una política de pérdida de datos, flujos de trabajo de respuesta de incidentes e informes con métricas.
4: Asegurar que todas las aplicaciones cumplan con las políticas de seguridad del negocio
En la búsqueda de una solución de seguridad de nube para aplicaciones, se debe buscar una que no sólo proporcione una calificación de riesgo para las aplicaciones de la nube basadas en múltiples dimensiones de seguridad (es decir, ¿Es compatible con la AM? ¿Es compatible con SOC-2?), Pero también tiene que tomar en cuenta los requisitos únicos de seguridad y tolerancia al riesgo de la organización. Con esta información, los profesionales de TI pueden establecer políticas para permitir todas las aplicaciones que cumplan con las políticas de seguridad de la empresa, y bloquear las que no lo hacen.
5: reducir los costos y la complejidad de la nube
Con toda seguridad, los empleados y unidades de negocio están utilizando múltiples aplicaciones de la nube para realizar una misma función. También suelen tener múltiples cuentas de pago para la misma aplicación. El siguiente paso es eliminar la redundancia mediante la consolidación de las cuentas y determinar qué aplicación, de múltiples servicios con una funcionalidad similar, debe ser adoptada oficialmente. La decisión final debe basarse en la aplicación que cumpla con los objetivos del negocio y esté más estrechamente alineada con la política de seguridad de una empresa.
6: Identificar los riesgos en cuentas de nube y de datos
La conveniencia y la flexibilidad de la nube es grande para la productividad de los empleados, pero también introduce nuevos vectores de amenazas tales como el intercambio de datos entre empleados y la difusión de software malicioso. La proliferación de miles de credenciales de usuario que proporcionan acceso directo a los activos críticos del negocio también requiere un seguimiento juicioso.
Datos científicos avanzados y técnicas automáticas de aprendizaje se pueden aprovechar para identificar el comportamiento anómalo del usuario indicando cuentas comprometidas, utilizando alertas o bloqueo de la actividad de la cuenta de usuario según corresponda.
7: Proporcionar Informes ejecutivos mensuales
La clave para el control y la aplicación sostenida es una presentación efectiva al director ejecutivo o a la junta de consejo. Con el fin de justificar el valor de las TI en la era de la nube, los profesionales de TI deben estar preparados con una estrategia de TI paralela a todo riesgo para articular y apoyar su visión sobre la nube de la mejor manera.