El Shadow IT es un concepto que abarca el software, las aplicaciones, los dispositivos y los recursos en la nube que pueden utilizarse en la sombra dentro de una organización, es decir sin el conocimiento ni la validación del personal encargado de velar por la integridad de la infraestructura tecnológica.
En un post precedente ya abordamos qué era y lo problemático que resultaba el Shadow IT para las empresas, y por eso en este nos vamos a centrar en las soluciones adecuadas para detectarlo, monitorizarlo y erradicarlo; o al menos mitigarlo al máximo, si asumimos la dificultad de su reducción a cero como hace una reciente publicación del INCIBE sobre este tema.
Recordemos que hablamos de una importante fuente de vulnerabilidad, que es conocida y explotada para ciberataques, dado que se alimenta de la predisposición natural del personal de utilizar recursos al margen de los ‘oficiales’, ya sea para hacer una tarea con una herramienta informática con la que puede estar más familiarizado, obtener capacidades o funcionalidades que no le dan las aplicaciones que se usan en la empresa, o simplemente utilizar un dispositivo propio en vez de uno autorizado para resolver un asunto laboral urgente. Un caso este último que es más fácil que se dé en un contexto de extensión del teletrabajo, especialmente bajo el prisma del bring your own device o BYOD, que siempre ha de prever la securización de los dispositivos particulares.
Algo tan inocente cómo buscar por Google una aplicación online para cambiar el formato de un documento de PDF a Word puede ser la puerta de entrada a un ciberataque devastador, que exponga la información crítica de una organización, ya sea la que precisa para garantizar la continuidad de sus operaciones o la correspondiente a datos sensibles de clientes, de cuya custodia es responsable.
Así, para evitar importantes siniestros, con costes operaciones y reputacionales incalculables, es fundamental controlar el Shadow IT, lo que requiere el concurso de equipos especializados, el planteamiento de políticas y la utilización de herramientas que ayuden a detectarlo, monitorizarlo y erradicarlo si es posible, o al menos mitigarlo al máximo.
Definición de políticas claras de uso de recursos TI
Establecer pautas de utilización de recursos TI es fundamental para que el personal sepa qué dispositivos, softwares, aplicaciones o redes puede emplear. A este respecto, hay dos conceptos fundamentales. Primero uno básico a la hora de establecer políticas de ciberseguridad en una organización: la concienciación, en este caso de los riesgos que puede entrañar el Shadow IT, que en último término es susceptible de provocar tal crisis que desemboque en la extinción de una empresa, y por consiguiente de los puestos de trabajo.
El segundo también es bastante importante, ya que concierne a una comunicación efectiva en ambas direcciones, entre los responsables de velar por la infraestructura tecnológica y los equipos de los distintos departamentos. De manera que, sin ir más lejos, las necesidades en cuanto a herramientas y recursos de estos puedan ser satisfechas de manera ágil y dinámica para no tener que tirar de recursos en la sombra.
Así, ha de ponerse negro sobre blanco, incluso en el propio Plan Director de Ciberseguridad, los sistemas tecnológicos que se pueden emplear, cómo se usan y los límites existentes para utilizar otros dispositivos, softwares, redes, etc. Todo ello, sopesando las zonas grises porque por su ambigüedad pueden dar cabida a la irrupción de la oscuridad.
Además, es preciso también explicitar los procedimientos para solicitar y aprobar nuevas herramientas, gestionado diligentemente estas solicitudes para poder dar una respuesta ágil a las necesidades del personal.
Auditoría de activos TI y monitoreo para detectar Shadow IT
Asimismo, para combatir el Shadow IT es primordial auditar periódicamente las redes y sistemas, para identificar dispositivos, aplicaciones o servicios no autorizados. Algo que requiere la disposición de un inventario actualizado de los recursos validados, que facilite la detección inmediata de la presencia de elementos clandestinos en el entorno tecnológico de la empresa.
A ello, se uniría el monitoreo permanente de la red, para detectar tráfico desconocido o infrecuente que pueda indicar el uso de servicios de Shadow IT, lo que conlleva la revisión de los registros de acceso a la red y los logs de los servidores para la percepción de la actividad inusual.
En este contexto, resultaría imprescindible el uso de herramientas IDS para la detección de intrusiones, e IPS para prevenir que logren sus propósitos, más allá de que se disponga también de sistemas cortafuegos adecuados.
Análisis de uso de aplicaciones y accesos a la nube no autorizados
Igualmente, también habría que chequear con herramientas como Cisco Umbrella o Microsoft Cloud App Security la actividad de aplicaciones no autorizadas, y por tanto que entrarían dentro de la categoría de Shadow IT; desde servicios TI, como por ejemplo, los que pueden proporcionar aplicaciones SaaS como Trello para la gestión de proyectos, hasta servicios de almacenamiento en la nube y para compartir archivos como Dropbox o Google Drive.
Aunque precisamente para la gestión de accesos a la nube hay recursos muy valiosos como los CASB (Cloud Access Security Brokers), que facilitan monitorear y controlar el uso de aplicaciones cloud no autorizadas.
Mientras que las herramientas MDM permiten una gestión remota de dispositivos, ya se trate de aparatos proporcionados por la empresa o que sean del propio personal, en compañías que adoptan políticas BYOD. En ambos casos, estos softwares posibilitan asegurar y controlar de forma centralizada portátiles, tablets o smartphones con acceso a los sistemas de información de la organización.
Prevención de desastres y respuesta a incidentes ocasionados por Shadow IT
Con la vista puesta en la vertiente preventiva, es esencial hacer evaluaciones en detalle de los procesos de trabajo y la manera en la que se efectúan las tareas en cada departamento de la empresa, realizando este análisis desde la óptica del uso de los sistemas TI.
Esto servirá desde para la detección prematura de malas prácticas potencialmente peligrosas, hasta para definir las carencias del personal en cuanto a herramientas informáticas, con el objetivo de poder introducir dentro del inventario de recursos autorizados hardwares, softwares y recursos en la nube adicionales.
También, se requiere orquestar la respuesta correctiva ante cualquier incidente, ya sea ocasionado mediante infiltración por Shadow IT o por cualquier otra vulnerabilidad que haya podido provocar una brecha de seguridad.
Importancia de la figura del CISO
Todo lo visto, pone de manifiesto la necesidad que tienen las empresas de contar con la figura de un CISO, un responsable de ciberseguridad, que ya sea desde dentro de la propia organización o a través de un servicio externo les proporcione la cobertura requerida para proteger su infraestructura tecnológica, con base al trazado de un Plan Director de Ciberseguridad que contemple las políticas a adoptar, cómo se gestionan los riesgos y la respuesta a incidentes, propiciados por Shadow IT o por cualquier otra vía.
En ITRES somos expertos en servicios y soluciones de ciberseguridad, que incluyen desde la prestación de cobertura externalizada de CISO as a Service (CISOaaS), hasta el diseño de planes directores TI a medida para cada empresa.
Además, protegemos y respaldamos la información de las empresas con Nube Pública, Privada e Híbrida, y monitorizamos sus sistemas desde un centro de detección y respuesta a incidentes propio, operativo 24×7x 365 y que está gestionado por un equipo permanente de especialistas en ciberseguridad.
