'Los CIO deben anticiparse y capacitar a los empleados con las herramientas adecuadas', Miguel Ángel Martos, Bluecoat
- IT User
Miguel Ángel Martos, director general Sur de Europa BlueCoat, ahora parte de Symantec, desgrana para IT User los problemas que puede ocasionar el Shadow IT.
¿Es el Shadow IT un problema? ¿Por qué?
Tanto el Shadow IT y el Shadow Data, el contenido que los empleados pueden almacenar y compartir mediante aplicaciones en la nube sin que el departamento TIC haya aprobado previamente, puede ser el causante de grandes problemas de seguridad y de cumplimiento normativo para muchas organizaciones. Al ser algo que no ha sido aprobado previamente o, simplemente, es algo desconocido para ellos, los departamentos TIC carecen de la visibilidad y del control que ejercen en el caso de las aplicaciones tradicionales que están instaladas en los equipos de la empresa. Así, El informe de amenazas del Shadow Data de Elastica Blue Coat, ahora parte de Symantec, encontraba que el 99% de las aplicaciones en la nube utilizadas por las organizaciones, no ofrecía una seguridad suficiente, y el 98% de los entrevistados reconocían que no estaban preparados para el RGPD (GPDR).
¿Cuáles son las principales tecnologías en la sombra? (almacenamiento, redes sociales...)
El Shadow IT puede referirse a cualquier tecnología utilizada en las empresas sin que haya sido aprobada previamente por los departamentos TI. Las aplicaciones en la nube son una de las principales tecnologías del Shadow IT debido a la facilidad con la que se pueden desplegar y usar sin control previo. Elementos habituales en la nube que suelen encontrarse en el Shadow IT son muchos, pero podemos citar desde aplicaciones de correo electrónico como Gmail y Microsoft Outlook; herramientas de compartición de archivos como Dropbox, Box, OneDrive de Microsoft o Google Drive, por citar sólo unas pocas; aplicaciones de productividad como Office 365; y finalmente aplicaciones de redes sociales como Facebook. Todas estas aplicaciones pueden ser utilizadas para compartir información que, con mucha probabilidad, pueden estar incumpliendo las políticas de seguridad de la empresa o los estándares regulatorios.
¿Qué consecuencias trae su uso? (tanto positivas como negativas)
Desde el lado del usuario final, el Shadow IT ofrece muchas ventajas al poder utilizar las herramientas y aplicaciones que sienten son las más adecuadas para poder desempeñar sus trabajos. Además, la dirección de la empresa puede beneficiarse de una fuerza de trabajo que es más productiva gracias al uso de servicios cloud “siempre conectados y desde cualquier lugar”.
Sin embargo, el Shadow IT presenta riesgos potenciales que pueden llegar a anular en su totalidad esos beneficios. Por ejemplo, al utilizar unos servicios cloud sin aprobar para compartir datos sensibles, esto hace que sea muy difícil, o incluso imposible, que los departamentos TIC puedan ofrecer la seguridad necesaria para los datos, detectar ataques o asegurar el cumplimiento de la normativa en vigor sobre datos. Como resultado nos encontramos con que muchas organizaciones tienen que hacer frente a brechas de datos tremendamente dañinas y afrontar multas elevadas por parte de las autoridades.
¿En qué casos estaría justificado el uso de herramientas (hard y soft) que no hayan sido aprobadas por el departamento de sistemas?
Como hemos comentado antes, el beneficio alcanzado puede llegar a justificar el uso de aplicaciones no autorizadas. De hecho, un reciente estudio de Symantec que tuvo lugar a principios del verano, reveló que el uso de las aplicaciones cloud es más frecuente por usuarios con niveles de responsabilidad de dirección más altos, por lo que es más que probable que muchas empresas cuenten con ejecutivos que preferirían tener unas aplicaciones que en algún modo estuvieran soportadas. Las organizaciones necesitan asegurar que sus equipos de seguridad pueden enfrentarse a los riesgos de seguridad
- Disponiendo de visibilidad sobre qué aplicaciones y datos están siendo usados y por quién, con la capacidad de poder determinar cuáles pueden ser peligrosos y cuáles seguros.
- Controlando qué aplicaciones pueden usarse, qué datos pueden compartirse y quién tiene acceso a ellos,
- Aplicando mayores niveles de protección para aquellos datos o informaciones sensibles que puedan ser compartidos por en las aplicaciones.
- Identificando amenazas y señales de posibles brechas de datos antes de que puedan escalar.
Tecnologías como Cloud Access Security Broker (CASB) pueden ayudar a las organizaciones a llevar a cabo todas estas tareas, de modo que se permita el uso de aplicaciones cloud no estándares de forma segura y que cumplan con la normativa.
Algunos empleados hacen uso del Shadow IT porque es más ágil y rápido que esperar la aprobación corporativa. ¿Cómo pueden los CIO resolver esta ecuación?
Los CIO deben anticiparse a las nuevas tecnologías disruptivas que puedan aparecer y capacitar a los empleados facilitándoles las herramientas adecuadas a esas tecnologías, en tiempo y de manera sencilla. Pero aun cuando hayan identificado las necesidades de los usuarios y hayan conseguido el presupuesto, los departamentos de TIC siempre necesitarán tiempo para introducir nuevas herramientas, al tener que validar su seguridad, estabilidad y rendimiento antes poder desplegarlas. Como resultado, siempre nos vamos a encontrar con situaciones donde los usuarios adoptan servicios cloud similares antes que los departamentos TIC tengan tiempo para su despliegue. Los CIO deben aceptar que esto es una realidad, y más que intentar obstaculizarla deben buscar el modo de adoptar los nuevos servicios al mismo tiempo que conseguir que los equipos de seguridad dispongan de la visibilidad y el control necesarios para que sean seguros y que cumplan con la normativa. Como ya comenté antes, las soluciones CASB pueden ayudar en ese sentido.
De hecho, algunos analistas aseguran que el Shadow IT fomenta la innovación en las empresas. ¿Está de acuerdo? ¿Por qué?
Como ya comenté anteriormente, los empleados pueden rendir e innovar más eficazmente utilizando las aplicaciones que sienten pueden ayudarles a hacer mejor su trabajo, y las organizaciones pueden beneficiarse de esa mayor productividad que brindan.
¿Puede el CIO perder parte de su influencia (también económica) por el Shadow IT? ¿Cuál debe ser el papel del CIO respecto a su utilización?
El Shadow IT de la mano de soluciones en la nube, puede llegar a erosionar la influencia del CIO y del departamento técnico en las organizaciones ya que estas soluciones pueden ser compradas, configuradas y utilizadas por usuarios individuales, o incluso por departamentos enteros, sin necesidad de tener que contar con el soporte del equipo TI. Sin embargo, los CIO han de tener en cuenta que los empleados no necesitan adoptar estas tecnologías si los departamentos TI mantienen un diálogo fluido con empleados y departamentos, y contribuyen a que los nuevos servicios cloud se adopten de forma que se minimicen los riesgos de seguridad.
¿Qué alternativas existen? ¿Tecnologías centralizadas? ¿Un responsable técnico por departamento?
Con unos servicios cloud innovando continuamente y a un ritmo increíble, será difícil de poder imaginar una alternativa. Incluso la organización TI más eficiente no puede ser capaz de validar la seguridad de un servicio, su estabilidad y rendimiento antes de que las personas puedan adquirirlo y usarlos por su cuenta. En su lugar, las organizaciones TIC necesitan trabajar con los empleados y departamentos para identificar sus necesidades y ayudarles a desplegar servicios aprobados que les permitan mantenerse seguros y cumplir la normativa. Para poder lograr esto último, TI debería mirar hacia soluciones tipo CASB para ayudarles a mantener la visibilidad y control adecuado sobre las aplicaciones y datos en la nube de la compañía.
Esta entrevista forma parte del reportaje En Portada de IT User 17, de noviembre de 2016. Quizá también te interesen otras entrevistas de este mismo reportaje:
