Imagine la siguiente situación. Estás trabajando con una agencia que te está ayudando a crear una colección de folletos que llevarás a una feria. La imprenta necesita los archivos para mañana, pero el enlace que le has dado a la agencia a tu zona de carga segura no funciona. El diseñador te sugiere que descargues una aplicación que facilita el intercambio de archivos de gran tamaño. Debido a la presión de la dirección, te descargas la aplicación porque no tienes ninguna duda. debe cumplir ese plazo de impresión.
¿Le resulta familiar? Si esta situación no es difícil de imaginar es porque ocurre todo el tiempo en empresas de todo el mundo. Aunque la mayoría de la gente rara vez admitiría que elude a su departamento de TI corporativo e instala malware, lo hace. Estadísticamente 82% de infracciones implican un elemento humano. Errores como descargar software peligroso, hacer clic en enlaces de suplantación de identidad o un simple error humano desempeñan un papel importante en los incidentes de ciberseguridad y las violaciones de la seguridad.
Lo complicado es que, muchas veces, no pasa nada cuando los empleados se pasan de la raya. El software que utilizaste para compartir esos folletos es legítimo, tu proveedor imprime los materiales colaterales, no introduces nuevos riesgos y nada cambia. No hay de qué preocuparse.
Pero otras veces, los empleados no tienen tanta suerte. Terminado TI en la sombra, Cualquier hardware o software que no cuente con el apoyo del departamento informático de la empresa puede suponer un riesgo para la seguridad.
Basta una descarga de software con malware o acceder a una aplicación SaaS con una seguridad deficiente en la nube para infectar sistemas críticos. Sin embargo, incluso con estas oportunidades de riesgo siempre presentes, la mayoría de las organizaciones no tienen en cuenta las TI en la sombra cuando desarrollan sus estrategias de seguridad.
Para mitigar el riesgo, es importante pensar por qué los empleados recurren a la TI en la sombra en primer lugar. La TI en la sombra suele cubrir lagunas que el hardware o el software aprobados por TI no resuelven o no lo hacen especialmente bien. O a veces la gente recurre a soluciones ad hoc porque conseguir que se apruebe algo lleva tanto tiempo que no se molestan en hacerlo. Desde el punto de vista de un empleado, es mucho más fácil cargarse un software y evitar que le echen la bronca por saltarse un plazo que tener que pelearse con la burocracia o discutir con TI sobre adquisiciones y presupuestos.
Si los empleados se ven obligados a encontrar sus propias soluciones a los problemas informáticos, esto indica un problema mayor que cualquier aplicación o recurso informático en la sombra. Por el contrario, es indicativo de fallos de comunicación entre el departamento de TI y otros equipos de la organización.
El departamento de TI no debe ser el enemigo. Los directivos deben investigar los cuellos de botella y fomentar la comunicación entre los departamentos de TI y los usuarios. A nivel ejecutivo, educar a los usuarios sobre los riesgos asociados a la TI en la sombra también debe ser una prioridad. Para los usuarios, la adquisición de las herramientas necesarias para realizar su trabajo debe ser fluida, de modo que no se sientan obligados a buscar soluciones alternativas. Recuerde siempre el adagio: la mejor seguridad es la que la gente utilizará. La tecnología cambia con rapidez, por lo que las organizaciones también deben establecer procedimientos para agilizar el proceso de revisión de la seguridad y el rápido aprovisionamiento de nuevas soluciones tecnológicas.
Saber quién tiene acceso a qué es fundamental, por lo que las organizaciones deben asegurarse de que cuentan con un sistema de gobernanza. La seguridad empieza con la identidad, y con las modernas opciones de autenticación y uso de contraseñas, demostrar que uno es quien dice ser no debería suponer ningún problema. Las soluciones de identidad deben centrarse en las mejores prácticas de seguridad, como las normas FIDO2, la autenticación basada en riesgos y la información inteligente en tiempo real que mitiga los riesgos de forma continua.
Completar las solicitudes de acceso rutinarias no siempre debería requerir la intervención de TI, y las capacidades de autoservicio y el inicio de sesión único permiten a los usuarios trabajar sin interrupciones. Por parte de TI, los administradores también necesitan soluciones integradas que incluyan herramientas de gobierno y administración de identidades.
Nuestra arquitectura de gobernanza de acceso a datos Governance & Lifecycle proporciona visibilidad en toda la empresa para que pueda saber a quién pertenecen los datos de la empresa, quién tiene acceso a los recursos de datos, cómo obtuvieron el acceso y si deberían tener acceso a través de los archivos compartidos. El proceso de certificación automatizado genera revisiones procesables que resultan sencillas, intuitivas y eficaces para que los usuarios empresariales aporten pruebas a los equipos de auditoría.
No todas las amenazas son externas y los equipos de TI deben encontrar nuevas formas de garantizar la seguridad del acceso y el cumplimiento de la normativa, sin dejar de atender las necesidades tecnológicas de los usuarios. Al racionalizar las operaciones de TI, educar a los usuarios y adoptar la gobernanza de la identidad y el acceso, las organizaciones pueden reducir los riesgos de la TI en la sombra.
