Shadow IT y Shadow Data

Son conceptos relativos a la seguridad que le deberían preocupar como empresa. Con el auge de los servicios y aplicaciones CLOUD, ¿cómo conocer cuáles se están usando por parte de sus empleados? Éstos, con el ánimo de agilizar sus tareas, pueden estar usando otras plataformas alternativas a las corporativas para ello (Shadow IT). Lo que es más grave si cabe, es que sus empleados pueden estar compartiendo información privada y confidencial (Shadow Data) de un modo cuasi indiscriminado (con conocimiento de ello o no), sin que usted lo sepa o pueda controlarlo.

Así lo pone de manifiesto Elastica Blue Coat, en su informe que puede descargar desde aquí: https://www.elastica.net/1h-2016-shadow-data-report/

Se indican cifras alarmantes, tras analizar 15000 aplicaciones Cloud y 108 millones de documentos. Por ejemplo, que las empresas usan 20 veces más aplicaciones Cloud de lo que piensan antes de analizarlo, de modo que una empresa usa 841 aplicaciones Cloud de media.

Las cifras alarmantes van en aumento cuando indican que el 98% de las aplicaciones Cloud no están preparadas para pasar la normativa europea GDPR (General Data Protection Regulation).

Los riesgos más claros son:

  • La compartición de la información de forma indiscriminada. Poniendo un ejemplo, un empleado comparte un documento confidencial con su equipo, éste con otro departamento, el departamento con un cliente, y el cliente lo abre al resto del mundo.
  • La destrucción de datos (modificación o borrado).
  • Los intentos de hacerse con la cuenta de otro, introduciendo sus credenciales –que pueden haber sido incluidas en la propia URL de compartición-.
  • Muchas aplicaciones cloud son presa fácil para ataques dirigidos a explotar vulnerabilidades (en protocolos de cifrado, por ejemplo).
  • Otros riesgos son no cifrado adecuado de los datos en origen y no trasportarlos en modo seguro (SSL sin exploits).

¿Cuáles son las recomendaciones?

  • Conoce tu organización. Implementando una adecuada estrategia de gobierno cloud, aprobando o bloqueando a los proveedores de servicios en cloud, haciendo una gestión de roles y permisos para los diferentes departamentos y personas que usarán dichos servicios cloud, política de gestión y monitorización/actuación para datos sensibles y sus riesgos en modo gravedad-impacto, planes de backup, contingencia y recuperación ante desastres.
  • Conoce tus aplicaciones cloud. Aplicaciones cloud que tus empleados están adoptando y usando. Cuáles pasan tus controles de seguridad y cuáles requieren permisos especiales para según qué usuarios o grupos, y cuáles deberán ser sustituidas por otras.
  • Conoce el comportamiento de tus usuarios al respecto del uso de las aplicaciones cloud. Conocen los límites que hay que poner a la compartición y los diferentes modos de acceso, o comparten indiscriminadamente. La descarga de responsabilidad sobre terceros y tomar en cuenta NDAs también será importante a la hora de compartir hacia afuera la información con proveedores y clientes. Una vez que se ha cometido alguna negligencia, su información de cuenta, la unidad o el dispositivo concreto puede verse comprometido mediante la exposición de sus credenciales o del conjunto de información que albergan en un mismo punto.
  • Conoce la información compartida en cloud. Sobre todo la información considerada sensible como información personal, relativa a la salud personal, código fuente y demás información relativa a propiedad intelectual, información de cuentas o tarjetas de crédito, etc.

Hay que tomar en cuenta no sólo los riesgos que provienen del exterior, sino también los del “insider”, los que provienen de sus propios empleados con conocimiento o no de ello, que pueden estar influenciados y motivados por actores externos que busquen explotar las vulnerabilidades a su alcance.

Un riesgo adicional al del uso de aplicaciones Cloud es el uso de los propios dispositivos para acceder a dichos servicios –como los móviles y demás dispositivos personales BYOD (Bring Your Own Device) compartiendo la conexión móvil- de modo que éstos podrán escaparse completamente a su control a la hora de compartir la información sensible.

De aquí en adelante, será adecuado poner un gran énfasis en la estrategia de gobierno cloud en cuanto a la seguridad, pues el Cloud ha irrumpido con fuerza para quedarse y cada vez hay más información que se comparte de modo que la situación exige conocer las amenazas, las potenciales consecuencias en cada caso y así extremar las precauciones para poner las medidas pertinentes.

El impacto financiero de fuga de información sensible para una organización media, se ha estimado en unos 2 millones de dólares.

Puede solicitar los servicios profesionales de un Cloud Access Security Broker (CASB) o de un Cloud Application Security Provider (CASP).

Leave a Reply

Your email address will not be published. Required fields are marked *