Vamos a reflexionar un poco sobre qué es y qué implica el concepto Shadow IT.
Las aplicaciones para compartir documentos en la nube, cloud file sharing apps, han revolucionado la manera como tus empleados acceden, comparten y gestionan los documentos de tu empresa.
Pero la manera en como estos datos se comparten (o sobrecomparten) por tus empleados, también ha incrementado el riesgo de infección por virus maliciosos de estos datos críticos e incluso fugas de información sensible.
Cuantas aplicaciones cloud crees que tus empleados están usando dentro de tu empresa?
Desconocer este dato y los flujos de información que se producen fuera del entorno de seguridad que proporciona el departamento de IT es un riesgo potencial para la empresa.
Podemos encontrarnos con bloqueos de los sistemas de seguridad o complicaciones con las certificaciones relevantes para tu organización.
Los directivos de las empresas suelen pensar que hay un promedio de entre 40 o 50 apps, pero la realidad es que el promedio de aplicaciones con tecnología cloud que hay en un entorno empresarial es de 812 (según un estudio de la empresa de seguridad Elastica para Blue Coat)
El 72% de los empleados afirma estar usando aplicaciones no autorizadas por su departamento de IT.
Lo más interesante es que este número continua creciendo. En los dos últimos años hemos visto un incremento de 600 a 800 aplicaciones.
Qué aplicaciones de cloud nos encontramos en las empresas?
El top 10 de aplicaciones cloud que los usuarios afirman tener en sus ordenadores de trabajo son:
- Office 365
- Youtube
- Google Drive
- SalesForce
- Amazon
- Dropbox
- Skype
- Box
- GitHub
Como vemos se produce una mezcla entre aplicaciones de consumidor (usuario) como twitter o linkedin, con apps de trabajo como Office o Google Drive.
Si analizamos las 5 principales aplicaciones de trabajo colaborativo nos encontramos con un punto importante de reflexión ya que es el lugar en el que almacenamos la información sensible para nuestra empresa. Estas aplicaciones son las que requieren de un mayor esfuerzo de control para prevenir la fuga de información. De seguridad del dato.
Mientras estas aplicaciones mencionadas son las más reconocidas, recordemos que hemos hablado de más de 800 herramientas cloud. Es en esta cola de “desconocidas” donde nos podemos encontrar el mayor riesgo, en estas que al ser más desconocidas se escapan de los controles de seguridad de nuestra empresa. La mayoría de estas aplicaciones no están preparadas para ser usadas en entornos profesionales, en entornos de negocio.
Ahí es donde debemos aplicar nuestros esfuerzos de estudio y análisis de Shadow IT (Tecnología y soluciones construidas y usadas en las corporaciones sin la autorización explícita de la empresa)
Qué es el Shadow IT Analysis
Para poder definir si una de estas aplicaciones está preparada para el negocio debemos tener en cuenta factores como si soporta autenticación, tecnologías de encriptación, controles de seguridad, controles de administrador… A partir del análisis de múltiples factores podremos decidir si estas aplicaciones están preparadas para un uso empresarial o no.
45% de las aplicaciones son de riesgo medio o alto
Al hacer el Shadow IT Análisis se estudian factores como: El nivel de riesgo de estas apps, quién las está usando, dónde están geográficamente hospedadas…
Una vez has realizado el análisis del universo de aplicaciones cloud que se están usando en tu empresa, la siguiente pregunta que te has de hacer es qué están haciendo las personas con esas herramientas y cómo las están usando.
Lamentablemente, más a menudo de lo que nos podríamos pensar, uno de nuestros colaboradores de repente se da cuenta que los datos de los clientes están compartidos públicamente.
En análisis anteriores que hemos hecho a clientes hemos descubierto que documentos con información sensible de sus clientes estaban siendo compartidos públicamente en las redes de sus trabajadores.
La realidad es que la mayoría de estas fugas de seguridad de la información se debe al error humano. La facilidad y comodidad de colaboración de las herramientas cloud es un arma de doble filo: Hace que compartir información sea muy sencillo y colaborar, pero en ocasiones nos puede llevar a un error de gestión de privilegios de acceso a la información.
Como empresa se nos plantea un reto que es diseñar las estrategias para mantener las estructuras de trabajo colaborativo Cloud mientras protegemos los datos sensibles.