Con el aumento de la computación en la nube y BYOD en el lugar de trabajo, se ha vuelto cada vez más difícil para los departamentos de TI poder dar seguimiento y administrar el software y el hardware -y mantener un entorno seguro.
Entonces, ¿qué pueden hacer los CIO y otros líderes de TI para identificar y manejar las TI en la sombra (shadow IT) -el software y hardware que no está directamente bajo el control de TI- y mitigar los riesgos potenciales? CIO.com le preguntó a docenas de profesionales de TI, móvil y de seguridad cibernética para averiguarlo. Aquí están sus seis mejores consejos para el manejo de TI en la sombra en la empresa.
1. Supervise su red para saber si tiene un problema de TI en las sombras
“Independientemente de si los empleados utilizan hardware personal o entregado por la empresa, las organizaciones deben identificar dónde reside toda su información -(en casa), en el centro de datos, en el borde o en la nube”, señala Greg White, gerente senior de marketing de producto de CommVault, un proveedor de software de gestión de información y datos.
Entonces, “para identificar rápidamente a las TI en la sombra, es necesario un seguimiento continuo de su red en busca de dispositivos nuevos y desconocidos, comparando la lista entre las exploraciones para determinar cuándo es que aparecen nuevos dispositivos”, agrega Dwayne Melancon, CTO, de Tripwire, una empresa de seguridad de red.
“Esto puede ser incorporado en el análisis rutinario de vulnerabilidades, una práctica de seguridad ampliamente adoptada”, señala Melancon. “Este enfoque le permitirá recopilar información acerca de donde están los nuevos dispositivos en su red, e información detallada sobre el tipo de dispositivo”.
Del mismo modo, “se pueden procesar los datos de registro de los servidores de seguridad, proxis, SIEMS y productos de gestión de datos maestros para identificar los servicios en la nube que se utilizan fuera del ámbito de TI”, señala Rajiv Gupta, CEO de Skyhigh Networks, una compañía de seguridad de acceso a la nube. “Esta información le puede decir qué servicios se están utilizando, quién los usa, la frecuencia y la cantidad de datos que se cargan y descargan”.
2. Dé prioridad a los riesgos
“No todo el software/servicios utilizados fuera del control de TI son malos”, señala Gupta. “Aproveche un registro objetivo y comprensible de servicios en la nube para identificar los servicios de más alto riesgo en uso y abórdelos primero”, sugiere el ejecutivo. “Impida el acceso a estos servicios de alto riesgo bloqueándolos a través de la infraestructura existente (por ejemplo, firewalls, proxis, soluciones MDM) o mediante la identificación de los usuarios y solicitando que dejen de utilizar los servicios”.
3. Establezca directrices alrededor de BYOD y servicios de aplicaciones/nube
“Para darle cabida a las necesidades de las unidades de negocio, TI puede crear y compartir una lista de software/aplicaciones aprobadas más allá del software estándar de la edición”, señala Chris Smith, director de marketing, de Zenoss, un proveedor de soluciones de TI y de seguimiento de la gestión.
“Esto permitiría que las unidades de negocio hagan sus propias decisiones de compra para asegurarse de que la introducción no causaría problemas de compatibilidad o de seguridad”, agrega Smith. Además, “TI debe poner en marcha procesos que permitan que se aprueben/desaprueben nuevas aplicaciones que se busquen activamente por las unidades de negocio”.
“En BT hemos hecho un punto para compartir los detalles de nuestra estrategia BYOD con nuestra fuerza de trabajo para que esté claro lo que podemos soportar y en qué áreas tenemos que tener cuidado debido al riesgo del negocio”, anota Jason Cook, arquitecto jefe y director de tecnología, Estados Unidos y Canadá y CPG de BT Global Services. Esto permite que los trabajadores sepan por adelantado lo que está permitido, y mitiga el riesgo de aplicaciones y dispositivos no aprobados, así como los riesgos de seguridad.
4. Ofrezca alternativas
“Los trabajadores de hoy esperan ser capaces de encontrar, ver y utilizar sus datos a través de ubicaciones y dispositivos”, señala White. “Si las empresas no ofrecen una solución segura para el acceso a los datos corporativos de forma remota, los empleados encontrarán sus propias formas de gestionar la información para trabajar de manera eficiente mediante el uso de los productos de consumo que puedan poner a la organización en riesgo”, agrega.
“Al proporcionarle a los empleados información segura, controlada por TI, en cualquier lugar/momento, se puede reducir el riesgo de que los empleados implementen productos externos que están más allá de la conciencia, el descubrimiento y el control de las TI”, señala White.
“Sus empleados están utilizando iOS y dispositivos basados en Android para acceder a su contenido de trabajo de forma remota”, comenta Jeetu Patel, director general de EMC Syncplicity. “Así que asegúrese de darle a los usuarios las alternativas móviles para que trabajen con su plataforma de gestión móvil existente, o proporcionarles amplios controles de política de seguridad para proteger los datos en los dispositivos perdidos o robados”.
“Las organizaciones de TI no deben ignorar BYOD, pero deben abordarlo por adelantado con una solución que permita que estos empleados hagan todo su trabajo de forma segura en los dispositivos personales”, señala Tyler Lessard, jefe de marketing y de productos de Fixmo, una empresa de software pera dispositivos móviles.
“Si no lo hacen, se exponen al riesgo de que los usuarios le saquen la vuelta a la política y encuentren otras maneras de transmitir los documentos corporativos a sus dispositivos móviles”, advierte Lessard. “Enfrente a las TI en las sombras de frente, de manera estratégica, diciéndole ‘sí’ a BYOD y dele a los empleados una manera apropiada de hacerlo de forma segura, en lugar de obligarlos a encontrar soluciones”.
5. Restrinja el acceso a aplicaciones de terceros
“Restrinja el acceso de los usuarios a aplicaciones como Dropbox, SkyDrive y SharePoint, entre otros”, señala Christophe Boudet, director general de Akita IT Services. “La mayoría de las políticas de TI evitan que los usuarios individuales elijan las aplicaciones que se pueden instalar”, agrega. “Además, establecen claramente en su política de TI que no están autorizados a estos servicios, y le proporcionan a su personal una capacitación suficiente para que el mensaje les quede claro”.
Sin embargo, “el bloqueo no es siempre la mejor solución”, argumenta Gupta. “A veces puede ser más eficaz identificar a los usuarios, ayudarles a entender los riesgos y sugerir una alternativa de bajo riesgo con una funcionalidad equivalente. Las personas tienden a encontrar maneras de llegar a los sitios y servicios que sienten que están injustamente bloqueadas”.
6. Ofrezca amnistía de TI en las sombra
“Al identificar las amenazas de las TI en las sombras, tiene dos opciones: En primer lugar, el departamento de TI puede identificar el tráfico desde y hacia las soluciones en nube de terceros, como Skype, Box y Dropbox”, señala Orlando Scott-Cowley, evangelista de seguridad, mensajería y cumplimiento en Mimecast, que proporciona soluciones de gestión de correo electrónico, de cumplimiento y archivado.
“Sin embargo, este proceso es lento, impreciso y bloquearlo por completo es casi imposible”, agrega Scott-Cowley. La mejor opción: “Mantener una amnistía sobre las TI en la sombra. Una estrategia sin temor a represalias funciona -sobre todo si se le da a los usuarios la oportunidad de explicar por qué necesitaban una aplicación de terceros y por qué sus plataformas corporativas no estaban a la altura”.
-Jennifer Lonoff Schiff, CIO