Los CIOs se enfrentan a un nuevo entorno y a nuevos retos. Por un lado, las unidades de negocio de las organizaciones demandan acceso a ciertas aplicaciones y servicios cloud. Por otro lado, los usos de estas aplicaciones pueden exponer a la organización a una variedad de riesgos de seguridad. Si no se permite el acceso a esas aplicaciones, se puede ver como un impedimento a la productividad del negocio.
Así mismo, si una organización permite el uso indiscriminado de aplicaciones cloud sin tener los oportunos controles de seguridad, las organizaciones pueden sufrir brechas de seguridad que pueden costar el puesto a sus CIOs.
Las prácticas de seguridad han cambiado considerablemente en los últimos años. Hace cinco años, la seguridad se definía protegiendo activos en un perímetro empresarial bien definido. Las empresas se enfocaban en tecnologías como la detección y prevención de intrusiones, firewalls, data loss prevention, capacidades de escaneo de vulnerabilidades de red y herramientas de análisis forense de red. En este entorno, el equipo de TI era capaz de hacer un trabajo razonable para proteger los datos en el perímetro.
La proliferación de portátiles, dispositivos móviles y trabajadores remotos, y la preponderancia de aplicaciones cloud demuestran que las técnicas tradicionales de defensa perimetrales ya no son suficientes. Con el cloud las unidades de negocio pueden poner en funcionamiento aplicaciones sin la necesidad de conocimiento del personal IT, resultando en lo que se ha llamado como “Shadow IT”.
Llevar servicios al cloud tiene indudablemente numerosos beneficios: sin costes de infraestructura, la capacidad de ponerlas en funcionamiento rápidamente, y el acceso inmediato a las últimas versiones. Esta aproximación, también aporta unos beneficios desde el punto de vista de la seguridad. A través de las economías de escala, muchos proveedores de servicios cloud tienen más recursos destinados a seguridad que la mayoría de departamentos IT de las organizaciones.
De todas formas, las capacidades de seguridad que existían en el contexto de las aplicaciones empresariales tradicionales ya no son aplicables en el contexto de las aplicaciones cloud. En particular, las tecnologías de seguridad tradicionales prácticamente no tienen visibilidad del uso de las aplicaciones cloud, aunque estas aplicaciones en muchas ocasiones puedan tratar información sensible.
El rápido crecimiento en el uso de aplicaciones cloud, móviles y dispositivos personales por parte de los empleados presentan nuevos retos a los departamentos de TI corporativos. Aunque las aplicaciones cloud se consideren de forma general como seguras, la responsabilidad de asegurar un correcto control de accesos, unos niveles adecuados de seguridad y el cumplimiento normativo, son responsabilidades de la propia organización.
Para ello, las organizaciones requieren desarrollar mejores prácticas de mitigación del riesgo para adoptar aplicaciones cloud. Este proceso comienza con el descubrimiento y la cualificación del riesgo en el que incurren los empleados por el uso de aplicaciones “Shadow IT”. El acceso a aplicaciones cloud sancionadas se controla y gestiona a través del uso de funcionalidades IDaaS.
Las implicaciones de seguridad de los datos que residen y se comparten en las aplicaciones cloud deben analizarse respecto a la exposición de riesgos y el compliance. Finalmente, el uso de aplicaciones cloud por parte de los empleados ha de ser monitorizada de forma continua para proteger frente comportamientos anómalos e identificar y proteger de forma proactiva frente amenazas internas y externas.
Mediante la implementación de mejores prácticas en mitigación de riesgos para aplicaciones cloud, las organizaciones pueden remediar los riesgos presentados por el “shadow IT” y “shadow data” y habilitar de forma segura aplicaciones cloud para empleados, a la vez que se protegen los datos sensibles en estos entornos.
Davinci propone soluciones que permiten a sus clientes gestionar completamente el riesgo del “shadow IT” en sus organizaciones, ofreciéndoles descubrimiento y análisis de aplicaciones cloud, gobernanza y protección de los datos, detección de amenazas y respuesta ante incidentes, y finalmente cumplimiento y privacidad de los datos.