Cada vez más oímos sobre Shadow IT, el concepto que define la práctica en las empresas de instalar dispositivos, softwares y servicios de TI sin autorización ni consentimiento del departamento de tecnología.
Usuarios malintencionados pueden subir, de manera encubierta, datos muy sensibles a la nube, exponiendo potencialmente a la organización a una importante fuga de datos. Un incidente de ese tipo puede arruinar la reputación de una empresa y traer consecuencias jurídicas por no cumplir con las estrictas normas reguladoras, entre ellas el Habeas Data.
Sorprendentemente, una de las situaciones más peligrosas que conlleva el uso de Shadow IT sucede cuando nadie considera que está haciendo algo puede contribuir a una fuga de datos. Sin embargo, esto se está convirtiendo rápidamente en una epidemia en organizaciones pequeñas y grandes. Un ejemplo es la utilización de aplicaciones de almacenamiento en la nube como Dropbox y/o One Drive que utilizan los empleados dentro de la empresa para compartir datos corporativos, lo que constituye un riesgo de seguridad.
¿Cómo hacer frente a los riesgos por el uso de aplicaciones de nube no autorizadas?
A continuación, compartimos tres estrategias que desde Absolute Software consideramos efectivas pues identifican a tres tipos diferentes de usuarios y empleados que pueden estar también dentro de su organización.
Tipo 1: El buscador de productividad
Imagine, que un grupo de empleados está fuera de la oficina haciendo una presentación en un evento de la industria o delante de un cliente muy importante. Es habitual (e incluso recomendable) guardar una copia de seguridad de los archivos necesarios, uno en una unidad USB y otro sobre OneDrive, iCloud o plataformas equivalentes a las soluciones de almacenamiento en la nube por si acaso algo sale mal en el último momento. Lamentablemente, herramientas tradicionales aprobadas por el departamento de TI de la compañía como carpetas compartidas, visibles a través de una conexión VPN, probablemente no ayuden mucho en una emergencia de ese tipo.
Sin embargo, el problema es que los archivos que se suben a la nube suelen quedarse allí durante mucho más tiempo del necesario para su propósito original y estar a disposición de cualquiera que posteriormente quiera acceder a los hipervínculos, el computador, o incluso a la aplicación de la nube sincronizada. Las posibles consecuencias catastróficas de una violación y fuga de información se darán independientemente de las buenas intenciones del empleado y su búsqueda de productividad se convierte en un riesgo para la compañía.
¿Cómo contrarestar este riesgo? Utilizando soluciones que permitan analizar sistemáticamente los dispositivos corporativos para instalar software de sincronización de cloud y sus carpetas. Estas permiten a las organizaciones tener la visibilidad y una imagen preliminar de la magnitud del problema, evaluar así el nivel de riesgo de manera más precisa y responder apropiadamente. Como resultado, los usuarios descuidados pueden ser educados adecuadamente, informados y rastreados de modo que los archivos críticos se eliminen lo antes posible y sean los propios usuarios quienes eviten ser un riesgo para la organización en el futuro.
Tipo 2: El adicto al respaldo en la nube
Este escenario es el equivalente moderno al de pegar una nota con los nombres usuario y contraseñas en la parte de atrás de un portátil, sólo que mucho más peligroso. Las copias de seguridad en la nube sin la configuración apropiada pueden ser vinculadas, compartidas y accedidas por cualquier persona desde cualquier parte del mundo. Ya no hay necesidad de robar físicamente un dispositivo para acceder a información crítica. Son los propios usuarios quienes abren una puerta virtual a datos sensibles.
¿Qué hacer? Proporcionando la educación adecuada a los usuarios. Hacerles entender cómo su falta de “higiene personal digital” los expone y pone en riesgo sus datos personales y, a continuación, relacionarla con los daños irreversibles y los estragos que pueden causar en un nivel de organización. Instruirlos partiendo de un nivel muy básico sobre temas de cloud computing y seguridad de datos, incluyendo un claro paso a paso sobre cómo proceder para evitar riesgos y proteger la información crítica de forma adecuada.
Este tipo de usuario tiende a ser más inocente que Buscador de Productividad por lo que basta con realizar un escaneo de TI sistemático en todos sus dispositivos entrenarlo en seguridad de datos.
Tipo 3: El filtrador de datos malicioso
Los usuarios que intencionalmente eluden las políticas de TI para cargar datos sensibles en una carpeta de sincronización en la nube pueden tener motivaciones oscuras que resultan más peligrosas. Es el caso de aquellos empleados que salen de una organización, y que han guardado copias personales de su trabajo a pesar de que esto esté estrictamente prohibido.
Más preocupante aún es cuando alguien es coaccionado a filtrar datos bajo chantaje, soborno o un acto de phishing para obtener acceso legítimo a datos sensibles. En estos casos se requiere un enfoque más agresivo pero quirúrgico para la prevención y detección.
Investigar de manera silenciosa y responder a la velocidad de la luz es la solución
El principal problema es, una vez más, la falta de visibilidad total desde el punto de vista del Departamento de IT. Es imposible hacer un seguimiento de las intenciones de las personas o anticiparse a comportamientos maliciosos más allá de la mera intuición, pero si se puede escanear rutinariamente las carpetas sincronizadas con aplicaciones de nube, presentes en los dispositivos de los empleados para detectar la existencia de cualquier dato sensible almacenado. Así el continuo sentimiento de paranoia puede ser transformado en información procesable y concreta, para desenmascarar amenazas que pueden ser rastreadas y tratadas.
Encriptar inadvertidamente o eliminar el cifrado de datos confidenciales de inmediato, para que la versión de la nube del archivo se actualice y elimine en consecuencia puede ser una solución sencilla y rápida. Otra posible estrategia es vigilar de cerca al usuario que ha sido identificado como una "marioneta" (que tiene alguien detrás con malas intenciones) y así desenmascarar al usuario verdaderamente malintencionado.
En cualquier caso, ante una intención maliciosa real, es esencial tratar con el usuario para resolver la amenaza potencial y establecer una política corporativa oficial que defina qué usuarios pueden tener acceso a cada tipo de información. De esta manera la organización cuenta con datos que le permiten priorizar el riesgo y ajustarlo con la respuesta más adecuada.
Por: Redacción Jorge Hurtado, Gerente de Ventas para Latinoamérica de Absolute Software
0 Comentarios
Deje su comentario