La transformació
digital a les organitzacions ha començat i no hi ha marxa enrere. L'aspecte
més evident és l'ús de la computació en el núvol en els seus diferents models:
Segons un estudi
de globenewswire , es preveu que la indústria de la
computació en el núvol augmenti de 371 mil milions el 2020 a 832 mil
milions al 2025, amb una taxa de creixement anual del 17.5%.
Aquesta transformació
portarà nombrosos reptes de seguretat a les organitzacions, i Shadow IT
és un d'ells.
Shadow IT
El Shadow IT o TI
a l'ombra podria definir-se com l'ús d'aplicacions, dispositius,
serveis en el núvol o una altra infraestructura de TI per part d'un usuari o un
grup d'empleats sense l'aprovació de l'organització.
Atès que els productes de
Shadow IT no passen el procés d'aprovació formal, comunament utilitzat per una
organització quan adquireix nous productes / serveis, és possible que no
s'alineïn amb els controls i polítiques de compliment i seguretat de
l'organització establerts.
El problema amb Shadow IT
no és la seva existència dins de l'entorn d'una
organització, sinó preocupacions com el tipus de dades que contenen, com
interactuen amb els sistemes de l'empresa i el tipus de dades que es
transmeten a aquests proveïdors externs, plantegen serioses preocupacions de
seguretat.
Si bé les aplicacions
populars en el núvol es desenvolupen amb estàndards d'alta seguretat, és
possible que no s'ajustin als requisits de prevenció de fuga d'informació o de
compliment normatiu de l'organització, com GDPR.
Per què els empleats utilitzen Shadow IT?
Molts empleats pensen que l'adopció d'aquests serveis poden millorar la seva productivitat laboral i agilitzar els processos de treball, en part es així, però no són consciente dels riscos associats com poden ser atacs informàtics de diversa naturalesa o fugues d'informació.
Exemples:
Qualsevol aplicació o
aparell que adopti un departament o usuari final amb fins comercials dins l'organització sense involucrar al departament o Responsable TI es considera
una aplicació a l’ombra
- Aplicacions basades en núvol a les que s'accedeix directament des de la xarxa corporativa: Dropbox, Google Docs, Slack, Skype, Microsoft Office 365, WhatsApp, Trello, Asana, …
- Maquinari particular: ordinadors portàtils, Tauletes, unitats USB, unitats externes i telèfons intel·ligents.
Els empleats no són conscients dels riscos associats al Shadow IT
En un estudi de Cisco
del 2015 mostra que la majoria de les organitzacions subestimen les dades
que viuen a l'ombra. Cisco va analitzar el tràfic de xarxa en diverses
grans empreses que treballen en diferents indústries i va descobrir que
s'executen entre 15 i 22 vegades més aplicacions en el núvol en els seus
entorns que les autoritzades pel departament de TI.
Gartner també va publicar un estudi el 2016, que pronosticava que per al 2020, un terç dels ciberatacs reeixits contra empreses es durien a terme a través de recursos TI a l'ombra.
Això vol dir que tota organització hauria de pensar en com mitigar el risc del Shadow IT.
Solucions
1.- La Monitorització continua
del tràfic de xarxa mitjançant un Tallafoc (Firewall) a fi d'identificar tots els actius tant de programari com
maquinari.
2.- Preguntar als
empleats, quins productes o serveis de Shadow IT estan utilitzant actualment. Ajuda a
explicar els riscos de seguretat.
3.- Crear una llista de
dispositius d'empleats permesos que es poden connectar a la xarxa corporativa. Tenir
una política BYOD (Bring your Own Device) hauria
d'ajudar amb aquest problema.
4.- Aplicar polítiques de seguretat de la informació raonables segons necessitats i fer-ne un seguiment en el temps.
Resum
Tot i els molts riscos
associats amb Shadow IT, aquests encara ofereixen una forma convenient perquè
els empleats augmentin la seva productivitat i facin la feina ràpidament.
Les empreses han d'equilibrar les polítiques de seguretat i productivitat dels seus empleats i aprovar només les aplicacions que no representen un risc de seguretat per a les dades de l'organització.
Publica un comentari a l'entrada