Los CIO está perdiendo el control sobre las inversiones en TI de sus organizaciones. Con las ventajas de la nube cada departamento está adoptando nuevos servicios para sus operaciones, lo que representa un riesgo para la seguridad de la información.
Por José Porto, Gerente regional de Blue Coat CALA
En 2015, el 35 % del gasto de TI se administraba fuera de los departamentos de TI y, para 2017, Gartner prevé que los CMO solamente gastarán más en servicios de TI que los CIO. Esto incluye los servicios y las aplicaciones de nube, seguras e inseguras, que sus empleados y unidades de negocios están adoptando cada vez más sin su conocimiento ni supervisión; una tendencia que se conoce como TI alternativa.
Cada departamento desde el de contabilidad hasta el de ingeniería está adoptando sigilosamente estos servicios de nube para facturación, diseño, automatización de la fuerza de ventas y un sinfín de otras funciones. Por lo tanto, es fundamental que los profesionales de TI obtengan visibilidad y control de estos servicios rápidamente; de lo contrario, correrán el riesgo de dejar de ser relevantes al momento de la toma de decisiones importantes de planificación y compra de TI.
Como ya se sabe, desde la perspectiva de la seguridad la TI alternativa representa un riesgo cada vez mayor debido a que no todas las aplicaciones de nube que los empleados y las unidades de negocios están adoptando están preparadas para la actividad empresarial. Existen miles de aplicaciones de nube que ofrecen mayor productividad y eficiencia para los empleados, a pesar de que muchos de estos servicios ni siquiera cuentan con los protocolos de seguridad básicos como la autenticación de factores múltiples (MFA). Incluso tampoco sabe cómo sus empleados están usando los servicios seguros que conoce; desconoce si están compartiendo datos fundamentales para la empresa que usted no quiere que compartan, si están compartiendo archivos excesivamente con personas que no comparten los intereses de la empresa o si están exponiendo sus credenciales a los hackers a través de ataques de malware y spear phishing.
Una consecuencia de este estado de inseguridad de la nube, que con frecuencia se pasa por alto, es que amenaza a una de sus principales metas estratégicas: transformar el departamento de TI de un centro de costos y gastos generales en un centro de beneficios que contribuya a la eficiencia empresarial y operativa.
¿Cómo puede planificar de manera proactiva una estrategia de nube segura, defender los beneficios de productividad empresarial de las aplicaciones de nube, minimizar los costos de TI y optimizar sus servicios e infraestructura de nube si no los conoce completamente? La realidad es que no se puede transformar lo que no se puede ver, y obtener visibilidad y control de las aplicaciones de nube es el primer paso para tomar las riendas de la planificación de TI de nube.
Para situar esto en perspectiva: ¿Está preparado para cuando su CEO o directorio le pregunten cuál es su estrategia de nube para este año? ¿Cuántas aplicaciones estamos utilizando en toda la empresa? ¿Por qué estamos pagando por múltiples cuentas y múltiples servicios análogos para obtener el mismo servicio? ¿Por qué desea que los empleados utilicen las aplicaciones que TI les ha indicado si no puede demostrar que son seguras? ¿Y por qué no tiene la visibilidad y el control de todas estas aplicaciones en todas nuestras unidades de negocios? ¿No es este el trabajo de TI?
Para ello, Blue Coat ha implementado seis medidas que abordan rápidamente estas preguntas comunes y ayudan a los CIO y los CISO a tomar nuevamente las riendas de su estrategia de nube.
1.Identifique todas las aplicaciones de nube aprobadas y no aprobadas en su red para comprender el alcance de su desafío de nube.
La mayoría de los departamentos de TI creen que en su red extendida solo se ejecutan entre 40 y 50 aplicaciones de nube, por lo general solo aquellas que TI aprobó. No obstante, el último Informe de datos ocultos de Elastica, elaborado a partir de datos anónimos de nuestros clientes actuales, reveló que generalmente las organizaciones ejecutan más de 812 aplicaciones de nube, la mayoría de las cuales fueron adoptadas por empleados o unidades de negocios, y no por TI. Después de desarrollar su estrategia, el primer paso consiste en utilizar una solución de CASB para detectar todas estas aplicaciones que se ejecutan en su red extendida, ya sean aprobadas o no. Una solución de CASB eficaz debe poder generar un resumen ejecutivo para proporcionarle un panorama de todo su ecosistema de aplicaciones de nube.
2. Desarrolle una estrategia detallada de gobernabilidad de la nube.
Reúna a un comité de gobernabilidad de la nube que incluya representantes de nivel ejecutivo y de los departamentos de TI, asuntos legales, cumplimiento/administración de riesgos y las líneas de negocios. En conjunto, este comité debe trabajar arduamente para elaborar una estrategia detallada de adopción de la nube que incluya:
• Los parámetros de seguridad para aceptar o bloquear proveedores de nube.
• Las pautas sobre el uso aceptable de aplicaciones de nube por departamento y función.
• Una política de prevención contra la pérdida de datos que defina los tipos de datos confidenciales que tiene como empresa y los riesgos relativos que se plantean si se exponen dichos datos.
• El flujo de trabajo de respuesta ante incidentes que asigne rutas de responsabilidad y escalación para responder a las infracciones de seguridad de datos y cuentas.
• Las métricas requeridas para los informes mensuales sobre el estado de su ecosistema de nube, como el número, tipo y perfil de seguridad de las aplicaciones en uso, los tipos de datos que se comparten y los análisis posteriores a incidentes, si los hubiera.
Esta estrategia proporcionará una hoja de ruta a medida que avanza en la adopción de una solución de CASB para automatizar su proceso de gobernabilidad de la nube.
3. Determine la preparación para la actividad empresarial de todas sus aplicaciones de nube y bloquee aquellas que no cumplan con su política de seguridad empresarial.
Una solución de CASB debe permitirle analizar todas las aplicaciones de nube en base a múltiples parámetros de seguridad (p. ej.: ¿Admite la autenticación de factores múltiples [MFA]? ¿Cumple con SOC 2?), además de considerar la tolerancia al riesgo única de su organización (p. ej.: por la exposición de la información de identificación personal [PII], información de salud protegida [PHI] o información de tarjetas de pago [PCI]. Con esta información, podrá establecer políticas desde adentro de la solución de CASB para habilitar a todas las aplicaciones que cumplen con la política de seguridad de su empresa y bloquear automáticamente a aquellas que no la cumplen.
4. Identifique y compare aplicaciones similares para asegurarse de elegir las soluciones “líderes en seguridad”.
Es muy probable que sus empleados estén utilizando múltiples aplicaciones de nube para realizar la misma función; por ejemplo, su departamento de mercadeo seleccionó a Box para almacenar y compartir documentos, mientras que el departamento de ingeniería optó por Google Drive. El primer paso consiste en identificar estas aplicaciones redundantes para comprender dónde se superponen las soluciones. El segundo es determinar cuáles se deben adoptar oficialmente. Debido a que la funcionalidad suele ser comparable, la decisión debe centrarse en qué aplicación está más alineada con las políticas de seguridad de su empresa. Además de proporcionar ahorros en los costos y una postura de seguridad mejorada, la consolidación fomentará una mejor colaboración entre los departamentos debido a que todos los empleados utilizarán la misma aplicación o el mismo servicio. La consolidación también contribuirá a reducir la gran cantidad de versiones de documentos que tienden a proliferarse cuando tiene cuentas separadas. Estas son dos ventajas empresariales fabulosas que tienen una fuerte resonancia entre el personal ejecutivo.
Además de estar adoptando múltiples aplicaciones con la misma funcionalidad, debido a que muchas organizaciones tienen silos para departamentos, los empleados están adoptando las mismas aplicaciones pero pagando por cuentas separadas. Una vez más, al consolidar varias cuentas de Box, por ejemplo, usted reduce los costos y la complejidad asociada a la red de nube y, además, facilita la colaboración entre toda la organización con una única cuenta consolidada.
5. Otorgue protección contra amenazas.
La comodidad y flexibilidad de la nube son excelentes para la productividad de los empleados, pero también introducen nuevos vectores de amenazas, y la nube en sí misma puede ser un vehículo para la propagación del malware. La proliferación de miles de credenciales de usuarios que proveen acceso directo a los recursos fundamentales de la empresa requiere una supervisión adecuada. Las técnicas avanzadas de la ciencia de datos y del aprendizaje automático pueden aprovecharse para identificar el comportamiento anómalo de los usuarios que indica cuentas vulneradas, mediante la activación de alertas o el bloqueo de la actividad de la cuenta del usuario, según corresponda. Además, el análisis en profundidad del contenido que se carga y se almacena en las aplicaciones de nube puede ayudar a identificar y marcar el malware o las amenazas antes de que se propaguen a toda la empresa y se produzca un daño generalizado. Toda esta información puede considerarse para un proceso que mejore continuamente la estrategia de adopción de la nube de su organización.
6. Provea informes ejecutivos mensuales sobre las cuentas y la actividad de nube.
En resumen: cuando esté frente a su CEO o directorio y deba justificar el valor de TI en la generación de la nube, debe tener a su alcance una estrategia integral y completa que aborde la TI alternativa para articular y respaldar con claridad su visión de la nube. Una solución de CASB completa y eficaz debe poder generar automáticamente un sencillo resumen ejecutivo de los riesgos relacionados con la TI alternativa, que incluya toda la información descrita en las cinco medidas anteriores, lo que lo convertirá en un recurso estratégico proactivo en la sala de directorio.