Enfrentando a Shadow IT y recuperando su pila de software
Shadow IT se ha convertido en un nombre familiar (o de oficina) en las empresas modernas de hoy en día, pero lo que muchas organizaciones no se dan cuenta es la cantidad de riesgos que implica ignorar esas instalaciones de tecnología no autorizadas. Según un estudio, la gran empresa promedio utiliza alrededor de 1,220 servicios de nube individuales, que es más de 13 veces los 91 servicios reconocidos por los departamentos de TI. Shadow IT no solo va directamente contra los departamentos de TI, sino que también puede crear vulnerabilidades de seguridad y costos innecesarios. Los empleados suelen participar en Shadow IT porque creen que ahorrará tiempo y dinero a su empresa y al departamento de TI. En realidad, pasar por TI simplemente pasa por alto la administración crítica, la integración y las salvaguardas relacionadas con la seguridad y el cumplimiento que respaldan.
Imagine un mundo en el que Shadow IT ha impregnado cada centímetro de la empresa y, más de lo que nadie podría haber imaginado, amenaza la seguridad, la rentabilidad y la eficiencia de toda la empresa. Es el Lejano Oeste: tiroteos en las calles, damiselas en apuros y pianos de salón con sonido antiguo que suenan de fondo. Ingrese a Clark, el gerente de TI (y héroe de esta historia), su jefa, Cynthia, la CIO, y su compañero de confianza, Steve, el administrador de sistemas. Los tres se sientan juntos en silencio. Su departamento ha perdido el control y nadie sabe con certeza qué tecnologías se utilizan en toda la organización. La consumerización de la TI, o el ciclo de los empleados que traen tecnologías populares del mercado de consumo desde el hogar a la oficina, ha facilitado que los empleados implementen la tecnología, dejando al departamento de TI a oscuras.
Este problema no es exclusivo de Clark y su equipo. En una encuesta de Intel Security, el 23% de los encuestados dijo que sus departamentos manejan la seguridad sin la ayuda de TI.
Un día, Clark decidió trazar la línea. Estaba enfermo y cansado de ser controlado por los caprichos de Shadow IT, enfermo y cansado de no saber qué tecnología se estaba utilizando para mantener el negocio en funcionamiento. Así que decidió hacer algo al respecto. Reunió a su equipo, elaboró un plan de acción y cargó de cabeza contra Shadow IT.
Como empresa que depende en gran medida de la aprobación del departamento de TI, queríamos obtener más información sobre las opiniones de Clark sobre las aplicaciones no autorizadas y obtener una mejor comprensión de su enfoque sistemático para enfrentar la TI en la sombra y crear una cultura de gestión de TI más transparente.
De tamaño natural
Proveedor de software de comunicación y colaboración en la nube
Clark
La encarnación de un heroico administrador de TI para una empresa no muy diferente a la suya
¿Cómo encontraste el problema? ¿Qué hiciste para encontrar a los peores delincuentes?
Comenzó con un artículo que leí que decía: ???Siete de cada 10 ejecutivos no saben cuántas aplicaciones Shadow IT se utilizan dentro de su organización.??? Tenía curiosidad por ver si ese hecho era cierto en mi empresa. A menudo, mi equipo escuchaba sobre todas estas diferentes aplicaciones que los departamentos usaban en la oficina, pero nadie se acercaba directamente a nosotros al respecto. ¿Y mientras algunos eran benignos, otros eran potencialmente maliciosos? y no podíamos permitirnos arriesgar nada. Comenzamos a monitorear de cerca para ver si aparecían herramientas o aplicaciones nuevas y desconocidas en nuestros escaneos regulares, lo que resultó en un escaneo de vulnerabilidades en toda la empresa.
Hay programas creados específicamente para detectar nuevas aplicaciones en la red. Los rastreadores de red y las herramientas de análisis de seguridad pueden proporcionar información detallada sobre flujos de datos nuevos y desconocidos. Por supuesto, el monitoreo no elimina por completo la amenaza de la TI en la sombra, pero proporciona información. Este escaneo no solo nos mostró que nuestros empleados estaban usando herramientas que desconocíamos, sino que nos brindó suficiente información para comenzar las evaluaciones de riesgo y, en el peor de los casos, buscar soluciones alternativas que se alinearan mejor con nuestros requisitos.
¿Recibió rechazo cuando su organización de TI no pudo admitir algunas de las herramientas deseadas de un departamento?
Por supuesto. Apoyamos a muchos teletrabajadores en nuestra empresa, y uno de los desafíos que descubrimos rápidamente es que si no tiene formas aprobadas por TI para permitir que los empleados trabajen de forma remota o sobre la marcha, encontrarán su propias formas de hacerlo. Ahí es cuando las cosas se ponen peligrosas, con transmisión de documentos no segura, dispositivos perdidos o robados, etc. Descubrimos que al ser transparentes sobre nuestros requisitos de seguridad y red y alentar a nuestros empleados a comunicarse con TI durante la fase de descubrimiento de nuevo software, fuimos incluidos en más discusiones y mejor posicionados para hacer las selecciones finales. Le sorprendería lo feliz que está la gente de contar con su ayuda para buscar y seleccionar soluciones en lugar de andarse con rodeos y tratar de averiguarlo por su cuenta.
¿Cómo logró que sus empleados presentaran información sobre su Shadow IT? Eso debe haber sido un reto.
Fue al principio. Shadow IT representa un peligro absoluto solo para aquellas empresas que no están dispuestas a abordarlo, por lo que lo abordamos. La tendencia es que las organizaciones de TI derriben puertas y amenacen con ir a la cárcel a quienes usen software no aprobado, y eso me pareció un poco duro para mi gusto. Decidimos adoptar un enfoque pacífico, por lo que ofrecimos un refugio seguro para aquellos departamentos que utilizan Shadow IT. En lugar de tomar el control de estos programas de inmediato y cerrarlos, dimos un paso atrás, determinamos el riesgo y ofrecimos soluciones comparables donde era necesario para lograr el resultado que buscaban las unidades de negocios. Eso también nos permitió abrir un diálogo sobre los riesgos asociados con cada programa. Este ejercicio realmente nos puso a todos en la misma página y estableció una confianza y franqueza entre ???nosotros??? y ellos.???
¿Cómo mantuvo la coherencia con esta estrategia? Su problema de Shadow IT ya está solucionado, pero ¿cómo se asegura de que no vuelva a afectar a su empresa?
Sabes, mucha gente me ha hecho esta pregunta, y la respuesta es bastante simple. Todo se reduce a las relaciones. Desarrollé una relación con cada jefe de departamento, me reuní regularmente para discutir la estrategia tecnológica y creé un diálogo abierto entre los departamentos y la organización de TI. Además, era esencial que mi jefa, Cynthia, la CIO, mantuviera un estrecho contacto con el resto del personal electrónico sobre la transparencia tecnológica y los riesgos potenciales de adoptar tecnologías no aprobadas.
Habiendo combatido con éxito Shadow IT, ¿qué consejo tiene para los departamentos de TI que recién comienzan a lidiar con el problema en sus organizaciones?
Aprovecha para crear un diálogo abierto con tus compañeros de toda la empresa ??? sus clientes. Escuche sus comentarios, aprenda más sobre los problemas que están tratando de resolver y esté dispuesto a brindar su opinión. Una vez tuve una solicitud para revisar una herramienta que ya había sido aprobada e implementada por otro departamento de la organización. En este caso, fue mucho más fácil y mucho más económico ajustar nuestro plan para agregar algunas licencias más de lo que hubiera sido comenzar un contrato completamente nuevo. El último consejo que te dejo es que no subestimes el poder de una interfaz de usuario simple. Asegúrese de equilibrar sus requisitos de seguridad y red con la usabilidad final de las aplicaciones. Una de las cosas que me gusta buscar es una solución que se integre con nuestro SSO. Eso solo reducirá la cantidad de contraseñas que los empleados necesitan para realizar un seguimiento y actualizar durante todo el año.
La combinación de malas prácticas de contraseñas con aplicaciones Shadow IT puede crear importantes vulnerabilidades de seguridad. Consulte nuestro blog, La mejor defensa contra los ataques DDoS de IoT, para proteger su red.
Acerca de Lifesize
Lifesize es un sistema de colaboración aprobado por TI porque se creó pensando en TI para brindar seguridad, resiliencia y confiabilidad de la red. Contamos con más de una década de experiencia en el diseño de cámaras HD y teléfonos con pantalla táctil, y nuestra interfaz intuitiva y nuestro directorio compartido brindan a los usuarios todo lo que necesitan para colaborar de manera más efectiva a través de aplicaciones aprobadas por TI, lo que elimina la necesidad de aplicaciones no autorizadas adicionales. Los flujos de comunicación de Lifesize admiten el cifrado AES y TLS (Seguridad de la capa de transporte) de 128 bits para todas las señales de forma predeterminada, y operamos en una red de fibra privada a través de IBM Cloud. Para colmo, respaldamos nuestro galardonado servicio con un acuerdo de nivel de servicio (SLA) respaldado financieramente con soporte 24x7x365.
FUENTES
http://blogs.cisco.com/cloud/shadow-it-rampant-pervasive-and-explosive
http://www.csoonline.com/article/3083775/security/shadow-it-mitigating-security-risks.html
http://www.digitalistmag.com/resource-optimization/2016/02/11/2016-state-of-shadow-it-04005674
