Los desafíos y oportunidades de la TI paralela


El genio de la TI de la sombra está fuera de la botella y ofrece beneficios y amenazas. Conozca algunos consejos de los expertos sobre cómo aprovechar eficazmente las TI de sombra en su empresa.

<a href = "https://tr2.cbsistatic.com/hub/i/r/2020/07/23/96995c0e-8ee1-4d32-9895-ffe619a3c219/resize/770x/c9513d7b78c6021dd6315fbdabcbd85f/istock-1257137001.jpg" target = "_ blank" data-component = "modalEnlargeImage" data-headline = "

"data-credit =" Imagen: marchmeena29, Getty Images / iStockphoto "rel =" noopener noreferrer nofollow ">Mano femenina mediante teléfono inteligente móvil con icono de red de seguridad cibernética gráfica de dispositivos conectados e información de datos de privacidad personal

Imagen: marchmeena29, Getty Images / iStockphoto

Shadow IT es un concepto en el que los usuarios implementan o aprovisionan sus propias soluciones tecnológicas para realizar el trabajo. Implementado y monitoreado adecuadamente, puede proporcionar beneficios tanto a los departamentos de TI como a los usuarios finales, particularmente en estos tiempos sin precedentes con tantos empleados trabajando de forma remota debido a COVID-19. Sin embargo, también conlleva algunas responsabilidades importantes por parte de todas las partes involucradas para garantizar que las operaciones, los datos y el personal de la compañía estén suficientemente protegidos.

VER: Seguridad de confianza cero: una hoja de trucos (PDF gratuito) (TechRepublic)

Discutí el tema con varios expertos de la industria: Ofri Ziv, vicepresidente de investigación de la organización de seguridad Guardicore; Shai Toren, CEO del proveedor de soluciones de vulnerabilidad JetPatch; Yaniv Avidan, CEO y cofundador del proveedor de seguridad de datos MinerEye; Shai Morag, CEO y cofundador del proveedor de seguridad en la nube Ermetic; Scott Brittain, CTO del revisor de software TrustRadius; Avishai Wool, cofundador y CTO del proveedor de administración de firewall AlgoSec; Sebastian Goodwin, vicepresidente de Ciberseguridad en el proveedor de la nube Nutanix; y Avihai Ben-Yossef, cofundador y CTO de Cymulate, un proveedor de simulación de seguridad.

Scott Matteson: ¿Cuáles son los problemas relacionados con las TI en la sombra, desde una perspectiva de gestión, seguridad o riesgo?

Ofri Ziv: El mayor problema para las organizaciones es que no hay control sobre los datos utilizados por Shadow IT y dónde se almacenan. Shadow IT difunde datos en docenas de servicios y aplicaciones en la nube, lo que hace que sea muy difícil identificar y controlar datos confidenciales.

Además, Shadow IT a menudo puede ir en contra de los requisitos de cumplimiento de una organización. La naturaleza de Shadow IT es que no es administrada por el equipo de TI, por lo que hay poca visibilidad en las ramificaciones de cumplimiento de ciertas aplicaciones y los datos que se utilizan.

Con estas complicaciones viene la incapacidad de aplicar una política de seguridad sólida en Shadow IT que se está utilizando. Por ejemplo, ¿la autenticación de dos factores f está disponible y en uso? Esto podría llevar a que los datos sean expuestos por actores de amenazas externas o por una persona con información privilegiada.

VER: Shadow IT: es una amenaza mayor de lo que piensas (TechRepublic)

Shai Toren: La principal preocupación con Shadow IT es la falta de higiene cibernética en esas máquinas. Por lo general, se supone que estos tipos de puntos finales son sistemas temporales para un proyecto en particular, una actividad de prueba o cualquier otra asignación de tiempo limitado. Como resultado, el objetivo es garantizar una entrega rápida y eficiente, mientras que la seguridad a largo plazo a menudo es secundaria. Esos sistemas a menudo se consideran "fuera de la red" y, por lo tanto, no siempre se aplican estrictos protocolos de seguridad.

Shai Morag: El riesgo de TI en la sombra ha aumentado sustancialmente con los empleados que trabajan desde casa en redes inseguras. También están utilizando dispositivos personales no administrados, lo que dificulta la detección y el bloqueo de TI en la sombra. Ahora más que nunca, es importante que los proveedores de SaaS se aseguren de que sus aplicaciones cumplan con los más altos niveles de seguridad mediante el uso de herramientas automatizadas para proteger los datos que almacenan.

Scott Brittain: Lo más importante es que Shadow IT crea nuevos agujeros en su empresa que necesitan ser controlados desde el punto de vista de datos, privacidad, GDPR y CCPA. Cada vez que un empleado coloca un nuevo sistema, crea el riesgo de fugas o comportamientos sin restricciones fuera de la supervisión.

Lana Avishai: Uno de los principales impulsores que hace que los usuarios recurran a la TI paralela es cuando los procesos de TI tradicionales son demasiado lentos. Si lleva semanas aprovisionar algunos servidores y permitir la conectividad entre ellos, los desarrolladores que crean una nueva aplicación pueden preferir usar los recursos de un proveedor de la nube. Esto crea desafíos de seguridad cuando llega el momento de implementar las nuevas aplicaciones en un entorno de producción porque eludir los procesos de TI también omite los procesos de revisión de seguridad.

VER: Política de TI en la sombra (TechRepublic Premium)

Sebastian Goodwin: Shadow IT viene en muchas formas. En algunas organizaciones, la principal preocupación es la gente que usa aplicaciones de software como servicio (SaaS) no autorizadas, mientras que en otras organizaciones el uso de servicios de infraestructura como servicio (IaaS) como Amazon Web Services (AWS) podría ser la principal preocupación relacionada con la TI en la sombra . En muchos casos, hay señales disponibles para alertar a TI de que las personas están utilizando estos servicios. Esas señales se pueden extraer de herramientas como firewalls corporativos, servidores proxy o agentes de punto final que proporcionan informes sobre las URL a las que las personas se conectan y el software que instalan. De hecho, los firewalls que utilizamos en Nutanix ofrecen un práctico "Informe de uso de aplicaciones SaaS", que genera automáticamente un documento PDF que detalla nuestro uso. Muchas organizaciones están implementando puertas de enlace de acceso a la nube, esencialmente servidores proxy basados ​​en la nube que son administrados por un proveedor de servicios, para obtener visibilidad y control que funciona incluso cuando los empleados trabajan de forma remota.

Una vez que tenemos esas señales, es importante actuar sobre ellas. La acción puede variar desde el bloqueo estricto de aplicaciones no autorizadas hasta la orientación informativa menos dura para los empleados. Por ejemplo: cuando TI recibe información de que alguien está usando AWS, podría tener un libro de jugadas automatizado que envía un mensaje de Slack a la persona en la línea de "Notamos que está usando AWS. Aquí hay información para ayudarlo a traer su cuenta de AWS en línea con nuestros requisitos de seguridad organizacional ".

Avihai Ben-Yossef: Según los datos publicados recientemente por Microsoft, la empresa promedio está utilizando más de 1,500 aplicaciones en la nube diferentes, y los empleados cargan información relacionada con el trabajo en plataformas basadas en la web que a menudo no han sido verificadas por sus equipos de seguridad de TI, lo que hace que este fenómeno sea un clásico caso de sombra IT. Hoy, con la mayoría de la población acostumbrarse a trabajar desde casa durante el pandemia, BYOD ha encontrado un impulso adicional.

Como resultado, los datos corporativos ya no se limitan a las redes y dispositivos corporativos, y no solo estamos hablando de la información confidencial propia de una empresa, sino también de la información de identificación personal (PII) asociada con los clientes y otros miembros de la audiencia. Un gran ejemplo que estoy seguro sucede bastante es una hoja de cálculo compartida que enumera todas las personas que se registraron para un seminario web. Este tipo de vulnerabilidad de TI en la sombra ya ha recibido atención de los organismos reguladores, y predigo que las regulaciones serán más estrictas en este sentido.

Scott Matteson: ¿Cómo se relaciona esto con la adopción de SaaS de autoservicio, la tendencia de trabajar desde casa y BYOD?

Ofri Ziv: En estos días locos, muchas compañías se dejaron llevar por las tendencias de la FMH y BYOD sin avisos. Un cambio tan drástico en la cultura de una empresa en general y en sus hábitos de TI en particular ciertamente aumentará los problemas de seguridad, y Shadow IT definitivamente es uno de ellos.

Las personas y las empresas están buscando soluciones alternativas (a veces sin una planificación adecuada), lo que podría conducir a un pequeño caos que también se puede denominar TI en la sombra. Sus intenciones son buenas, quieren ofrecer resultados y hacerlo de manera eficiente y rápida utilizando los diferentes servicios disponibles (de ahí la variedad de soluciones SaaS de autoservicio).

VER: Política de traer su propio dispositivo (BYOD) (TechRepublic Premium)

Por definición, estas nuevas tendencias exponen los datos y servicios de una organización a nuevas máquinas y desafían las políticas de seguridad existentes de la organización y su postura de seguridad: el perímetro de la organización cambió dramáticamente (docenas de nuevos dispositivos se conectan a la red a través de VPN desde cientos de redes no seguras y sin supervisión) , y algunos servicios y recursos no son accesibles desde remoto, etc.

Shai Toren: A medida que más organizaciones adoptan prácticas como SaaS y BYOD de autoservicio, la necesidad de una mayor visibilidad en su red corporativa global de dispositivos se vuelve aún mayor. Muchas organizaciones enfrentaron esta crisis cuando trasladaron su fuerza de trabajo remota hace solo unos meses como respuesta a COVID-19. Por lo general, cuanto más amplio y extendido es un ecosistema de dispositivos, más difícil se vuelve para los equipos de TI mantener la visibilidad y, en consecuencia, la ciber higiene de esos dispositivos. Podemos esperar que muchos de los desafíos en torno a Shadow IT solo crezcan en los próximos años a medida que más empresas adopten prácticas como BYOD, o incluso a nivel operativo, políticas de trabajo remoto más flexibles. En consecuencia, las empresas se centrarán más en la automatización para identificar y proteger mejor los dispositivos en toda su infraestructura ampliada.

Yaniv Aviden: Las herramientas SaaS conllevan peligros inmediatos de datos de archivos compartidos libremente que no están clasificados o etiquetados. O para decir esto de una manera más técnica, no hay gobierno de datos en entornos de trabajo híbrido colaborativo sobre archivos compartidos. Las herramientas de DLP no logran resultados efectivos en entornos compartidos. Para una protección efectiva de los datos, las organizaciones deben tener un etiquetado de archivos virtual que ofrezca un proceso automatizado en el que se consideren todas las políticas operativas, de seguridad y privacidad relevantes, y se ajusten continuamente. Solo entonces los CISO pueden seguir confiando en que sus datos de archivo están protegidos en todos los entornos de trabajo compartidos.

Avihai Ben-Yossef: Existen soluciones para descubrir y controlar el uso de BYOD y SaaS. Microsoft anunció recientemente algunas capacidades nuevas, que permiten la aplicación cuando los equipos trabajan desde casa. Por supuesto, todo es una cuestión de costo versus riesgo, pero creo que los reguladores ayudarán al poner un alto precio al riesgo.

Scott Matteson: ¿Cómo puede ayudar la automatización a abordar estos problemas o mejorar el proceso?

Ofri Ziv: La automatización es una forma efectiva de hacer cumplir la política. Reduce al mínimo las posibilidades de configuraciones incorrectas y, si se hace correctamente, maximiza la seguridad y la eficiencia del "proceso automatizado" (ya que debe ser diseñado, implementado y entregado por profesionales).

Sin embargo, la automatización no puede resolver todo, ya que hay tantos servicios SaaS que cada uno de nosotros consume en estos días, y no hay posibilidad de que se pueda aplicar una automatización a cada uno de ellos.

VER: Automatización robótica de procesos: una hoja de trucos (PDF gratuito) (TechRepublic)

Shai Toren: La automatización elimina la necesidad de perseguir manualmente a los propietarios de esos sistemas de sombra. Dado que TI no siempre es consciente de la existencia de estos sistemas, la conexión a un proceso de automatización central garantiza que, incluso si estos sistemas no están autorizados oficialmente, no son una vulnerabilidad de seguridad inmediata, y la automatización garantiza que se adhieran a los protocolos de seguridad básicos aplicados por el organización.

Scott Brittain: Una de las áreas clave de automatización es poder aprovisionar rápidamente una nueva aplicación con estándares corporativos aceptados. Una vez que shadow IT trae una nueva aplicación dentro de sus muros, desea una forma con un solo clic para crear credenciales, perfiles y permisos dentro de esa aplicación que permitan el control centralizado.

Lana Avishai: Para controlar el uso de TI en la sombra, los equipos de TI necesitan dos cosas: automatización y visibilidad. Si los procesos de TI están automatizados, y toma horas en lugar de semanas para aprovisionar servidores y conectividad, es menos probable que los desarrolladores confíen en TI en la sombra. Y si los proyectos de TI en la sombra ya existen, entonces la visibilidad es clave: si los equipos de TI y seguridad tienen visibilidad en los controles de seguridad nativos de la nube, pueden tomar decisiones informadas sobre si integrar los proyectos de TI en los sistemas de producción y cómo, y cómo hacerlo. sin comprometer la seguridad. Esta puede ser la interpretación moderna de TI de "Si no puedes vencerlos, únete a ellos".

La automatización significa que los equipos de TI pueden estar al tanto de todos los cambios de red que necesitan realizar para satisfacer las necesidades de la organización, agilizar los procesos y eliminar los errores de procesamiento manual durante los cambios. La solución de automatización adecuada también marcará automáticamente cualquier posible problema de seguridad o cumplimiento y documentará todo para fines de auditoría, lo que ayudará a garantizar que siempre se mantenga una postura sólida de seguridad y cumplimiento.

Sebastian Goodwin: No debemos pasar por alto la razón fundamental por la que las personas buscan sus propias soluciones en lugar de preguntarle a TI: trabajar con TI puede ser un proceso lento y doloroso. No tiene que serlo. Con los desarrollos recientes en inteligencia artificial (IA) y procesamiento del lenguaje natural (PNL), el software se ha vuelto cada vez más bueno para descifrar las solicitudes de los humanos. Combine eso con la creciente popularidad de herramientas como Slack, y tendrá un servicio front-end potente y eficiente para solicitudes de TI que a menudo se puede cumplir de inmediato. Por ejemplo, en Nutanix implementamos un bot en Slack que llamamos "X-bot". Los empleados pueden pedirle cosas a X-bot, por ejemplo, "Necesito una herramienta de gestión de proyectos", y X-bot ofrecerá nuestra herramienta estándar y proporcionará automáticamente una licencia para que el empleado tenga acceso de inmediato. Cuando un departamento de TI es tan receptivo en el cumplimiento de las solicitudes de los empleados, disminuye la necesidad de que las personas busquen soluciones por sí mismas.

VER: Cuatro políticas de seguridad vitales mantienen seguras las redes de la empresa (TechRepublic)

Los hackers usan la automatización para detectar cuándo sus empleados cometen un error. Tu también deberías. Con la proliferación de herramientas en línea disponibles, es inevitable que alguien las use y revele accidentalmente datos confidenciales. Una vez que se ha cometido el error, la automatización permite que TI detecte ese error y lo corrija antes de que los hackers lo detecten y lo exploten. Hay una serie de herramientas y servicios disponibles para ayudar a detectar automáticamente fugas de datos confidenciales, cuentas de nube pública mal configuradas o cualquier cantidad de percances comunes que puedan resultar del uso de TI sombra. Si no está automatizando esto, puede provocar problemas en el futuro porque el adversario de hoy está altamente automatizado.

Scott Matteson: ¿Has implementado esto y cuáles fueron los resultados finales? ¿Hubo desafíos específicos o habilidades especiales involucradas?

Ofri Ziv: Implementamos automatizaciones para tareas críticas de TI / DevOps en nuestra empresa. Nos ahorró muchos problemas de seguridad, aumentó la eficiencia del consumo de servicios, nos permitió respaldar una operación mucho más grande como empresa en crecimiento, al tiempo que cumplía con nuestros requisitos de cumplimiento. Para que estos procesos se implementaran correctamente, necesitábamos una combinación de nuestro sólido equipo de DevOps con nuestro equipo de seguridad calificado.

Scott Brittain: TrustRadius lo ha implementado hasta cierto punto. Dado que cada aplicación puede ser un poco diferente desde un punto de vista de scripts o API, nuestro desafío fue automatizar el proceso por el que pasan las operaciones durante el aprovisionamiento.

Scott Matteson: ¿Tiene algún consejo para otras compañías que buscan soluciones similares?

Ofri Ziv: Uno de los primeros pasos que una empresa debe hacer para hacer frente a la TI en la sombra es obtener visibilidad de los diferentes servicios que consumen sus empleados y productos.

Para identificar los diferentes servicios, utilizamos nuestro propio Guardicore Centra, que mapea la comunicación entre y de todos nuestros activos en todo el mundo, lo que nos permite enumerar los servicios que consumimos y bloquear el acceso a ellos cuando sea necesario.

Scott Brittain: Recomendamos establecer un tono amigable y acogedor dentro de su departamento de TI para que los empleados cooperen con TI libremente. Además, reservar tiempo para la sombra de TI es clave. Debe resolver este problema todas las semanas, especialmente en empresas más grandes.

Scott Matteson: ¿Hacia dónde se dirige esta tendencia?

Ofri Ziv: Parece que más y más soluciones SaaS serán consumidas por diferentes personas en la empresa y cada departamento necesitará un conjunto diferente de tales servicios que esté optimizado para sus necesidades. Desde el punto de vista de la eficiencia laboral, ¡esa es una gran tendencia!

Desde el punto de vista de la seguridad, este es un gran desafío que requerirá herramientas de visibilidad avanzadas para identificar y monitorear los diferentes servicios en uso, buenas herramientas de gestión de la postura de seguridad para garantizar la política correcta y la capacidad de bloquear el acceso a sistemas no deseados .

Scott Brittain: La tendencia de autoservicio está ganando y con razón. Los empleados están creando eficiencias para ellos y sus equipos al adoptar nuevas aplicaciones. Los departamentos de TI deben posicionarse como facilitadores y lupas de esas nuevas aplicaciones.

Shadow IT está aquí para quedarse. Cada semana, una nueva aplicación de prueba gratuita y de fácil inicio llega al mercado, y la mayoría de ellas proporcionan un valor real. ¡Abrázalo! Ayuda a las buenas aplicaciones a tener éxito y elimina las malas.

Ver también



Enlace a la noticia original