La consultora Gartner en 2015, destacaba que el 35% de la inversión en TI se manejó fuera de los departamentos de TI, y para el año 2017, los CMOs, gastarán más en los servicios de TI que los CIO. Esto incluye tanto las aplicaciones seguras e inseguras en la nube y servicios que los empleados y unidades de negocio están adoptando cada vez más sin conocimiento o supervisión del área de TI o Shadow IT.

En la actualidad, todos los departamentos desde contabilidad hasta ingeniería están adoptando sigilosamente estos servicios en la nube, causando graves problemas a los profesionales de TI que tienen que tener visibilidad y control inmediato sobre estos servicios después de los hechos. Este proceso amenaza con hacer la TI irrelevante en las decisiones críticas de compra de TI y de planificación.

La firma de seguridad Blue Coat presenta siete acciones que permitirán empoderarse a los profesionales de TI en esta era de la nube.

1. Analizar lo que significa la visibilidad y el control en la nube

A diferencia de las aplicaciones aprobadas por la empresa, existen otras aplicaciones y servicios en la nube fuera del perímetro de la red, por lo que la interpretación tradicional de la visibilidad en cuanto a ver los registros de firewalls y SIEM da solamente una visión parcial del tráfico de nube global y uso de las aplicaciones. La visibilidad en un contexto de nube, entonces, significa ver toda la actividad de la nube de los empleados, independientemente de si sus sesiones de cuenta se inician desde dentro o fuera del perímetro de la red tradicional.

2. Automatizar la detección de uso de las aplicaciones de nube

La mayoría de los departamentos de TI creen que tienen entre a 40 a 50 aplicaciones de nube que se ejecutan en su red extendida. El último informe de Blue Coat “Shadow Data Report”, registró que las organizaciones están utilizando habitualmente más de 840 aplicaciones en la nube, además de la mayoría de las cuales fueron adoptadas por los empleados o unidades de negocio sin el conocimiento de TI. El segundo paso en la obtención de una organización en la nube es la adopción de una solución de aplicación de seguridad de nube que pueda automatizar el laborioso proceso de análisis de los registros del firewall, proxies y Siems para descubrir cualquier “Shdow IT” dentro de la red corporativa, así como la identificación de quienes en la organización utilizan estas aplicaciones.

3. Desarrollar una estrategia detallada de gobernabilidad de la nube

Montar un comité de gobernabilidad de nube integrada por consejeros ejecutivos de TI, el cumplimiento de la gestión jurídica y de riesgo, además de las líneas de representantes de las empresas. En conjunto, este comité debe elaborar una estrategia de adopción de la nube detallado que incluya la selección y aplicación de directrices de seguridad, una política de pérdida de datos, flujos de trabajo de respuesta de incidentes e informes con métricas.

4. Mantener seguras todas las aplicaciones cumplan con las políticas de seguridad del negocio

En la búsqueda de una solución de seguridad de nube para aplicaciones, debe buscar una que no sólo proporcione una calificación de riesgo para las aplicaciones de la nube basadas en múltiples dimensiones de seguridad, con esta información, los profesionales de TI pueden establecer políticas para permitir todas las aplicaciones que cumplan con las políticas de seguridad de la empresa, y bloquear las que no lo hacen.

5. Reducir los costos y la complejidad de la nube

Con toda seguridad, los empleados y unidades de negocio están utilizando múltiples aplicaciones de la nube para realizar una misma función. También suelen tener múltiples cuentas de pago para la misma aplicación. El siguiente paso es eliminar la redundancia mediante la consolidación de las cuentas y determinar qué aplicación, de múltiples servicios con una funcionalidad similar, debe ser adoptada oficialmente. La decisión final debe basarse en la aplicación que cumpla con los objetivos del negocio y esté más estrechamente alineada con la política de seguridad de una empresa.                                                                  

6. Identificar los riesgos en cuentas de nube y de datos

La conveniencia y la flexibilidad de la nube es grande para la productividad de los empleados, pero también introduce nuevos vectores de amenazas tales como el intercambio de datos entre empleados y la difusión de software malicioso. La proliferación de miles de credenciales de usuario que proporcionan acceso directo a los activos críticos del negocio también requiere un seguimiento juicioso.

7. Proporcionar Informes ejecutivos mensuales

La clave para el control y la aplicación sostenida es una presentación efectiva al director ejecutivo o a la junta de consejo. Con el fin de justificar el valor de las TI en la era de la nube, los profesionales de TI deben estar preparados con una estrategia de TI paralela a todo riesgo para articular y apoyar su visión sobre la nube de la mejor manera.