Asegurar un entorno seguro al 100% implica controlar todos los aspectos de la red corporativa. Pero eso es muy difícil, especialmente si existen puntos que no controlamos o desconocemos de su existencia: es lo que en el mundo de la seguridad informática corporativa se conoce como Shadow IT. ¿Cómo combatimos a un enemigo en las sombras?
El equipo de Panda Security, ofrece algunas recomendaciones para ganar aliados dentro de la organización en la gestión de seguridad informática.
¿Qué es el Shadow IT?
Son sistemas tecnológicos, soluciones y usos de los dispositivos en una empresa y que no han sido nunca explícitamente reconocidos por la organización. Lo que significa que todas estas aplicaciones se emplean en la compañía a espaldas del departamento de TI, por lo que no pueden controlarse, documentarse ni monitorizarse. Eso crea una cantidad abrumadora de puntos ciegos para la seguridad de la empresa. Aunque herramientas como Adaptive Defense 360 permiten monitorizar los procesos que ocurren en toda la red, permitiendo que se controle, se responda y se remedie cualquier situación que entrañe un comportamiento sospechoso, el peligro asociado al Shadow IT sigue siendo grave.
¿Cuál es su impacto?
Según un estudio realizado por EMC, las pérdidas anuales generadas por el Shadow IT alcanzan los 1,7 billones de dólares. ¿Por qué? Muy sencillo: las pérdidas de información, la afectación de los sistemas, el espionaje industrial y todas las brechas de seguridad son mucho más fáciles de manejar cuando los expertos de la empresa conocen los posibles puntos débiles del sistema.
Pero el Shadow IT también puede ser un detonante para la innovación, algo que podría ayudarnos a mejorar la eficiencia y el bienestar de toda la empresa. ¿Cómo hacemos abrirnos a esta posibilidad sin crear un problema de seguridad?
Diseña políticas de uso asequibles
El secreto está en el equilibrio. El uso de software, soluciones y dispositivos adecuados que aseguren el control absoluto de los sistemas es imprescindible. Pero también lo es cubrir las necesidades de los trabajadores, evitando que se vean en la necesidad de recurrir a soluciones no autorizadas que les resulten más funcionales en el día a día.
Prima la educación en TI y Seguridad
Es fundamental asegurarte de que todos los miembros de la empresa son conscientes de las necesidades en seguridad que existen. También hay que educarlos tecnológicamente, así como poner especial atención en aclarar sus dudas sobre el uso de las tecnologías aprobadas por la organización y las razones para su utilización.
Crea un entorno “limpio”
Cuantos menos dispositivos no controlados se introduzcan en la empresa, más fácil será mantener la seguridad. Una idea muy conveniente es evitar conexiones o usos de dispositivos que no estén dentro del plan corporativo. Desde teléfonos celulares hasta tablets y computadoras personales: el entorno, cuanto más limpio, mejor.
Promueve una política de puertas abiertas
Es contraproducente crear miedo y aversión a la novedad. ¿Los trabajadores creen que es mejor usar una u otra herramienta? Invítalos a proponer sus ideas. Pon a tu equipo de TI a trabajar sobre estas y decide si merece la pena implementarlas. La política de puertas abiertas ayuda a reducir el uso de software y soluciones desconocidas por la empresa.
Céntrate en los comportamientos, no en el software
Para definir qué aplicaciones y soluciones requerimos, la opción más recomendable es centrarnos en el comportamiento, las tareas y necesidades de los miembros de nuestra empresa. Probablemente encontrarás mejores herramientas y aplicaciones y maneras más eficientes de diseñar un flujo de trabajo.
Proporciona lo mejor de lo mejor
Existe un truco que sirve para convencer al más rebelde a seguir las políticas de seguridad IT de la Empresa: proporcionarle la mejor de las herramientas disponibles (siempre que se adecúe a la necesidad, claro). Trata de no escatimar, ni ahorrar recursos con dispositivos y software desfasado. En muchas ocasiones, lo más nuevo suele funcionar mejor. Esta premisa te ayudará a ahorrar dinero y disgustos en el futuro.