BlueCoat-LogoNew

• Las empresas no están conscientes de que el 26% de los documentos guardados en la nube han sido ampliamente compartidos, esto significa que cualquier empleado puede accesar a éstos

• El posible impacto financiero en una organización promedio, ocasionado por la filtración de sus datos de nube confidenciales, es de 1,9 millones de dólares aunque es mucho mayor para las instituciones educativas y del sector salud por la sensibilidad de sus datos

• 3 recomendaciones para prevenir los riesgos de la tecnología no autorizada por la empresa

Ciudad de México a 7 de Marzo de 2014

Los directores de las áreas de tecnología en las organizaciones están cada vez más preocupados por el descontrol que existe cuando los trabajadores utilizan sus propias aplicaciones y soluciones basadas en la nube. Esto implica una brecha de seguridad muy grande ya que esta tecnología permite compartir información sensible y confidencial de la empresa.
Los empleados tienen cada día mayor acceso a estas herramientas que les permiten solucionar problemas específicos de manera muy rápida, sin pasar por las restricciones del área de tecnología.

De igual manera, los proveedores externos que ofrecen servicios como seguros de salud o proveedores de aire acondicionado, ventilación, etc., tienen acceso a las redes corporativas. Esto es grave pues los ciberdelincuentes muy probablemente utilizarán estas rutas indirectas para el ataque. Los delincuentes cibernéticos utilizan dispositivos como impresoras, termostatos, y máquinas expendedoras para poder ingresar y generar grandes ataques.
De acuerdo a un estudio independiente que realizó el Reino Unido con CIO´s de empresas de aproximadamente 1000 empleados, 60% de ellos dijo que había un gran incremento en el uso de tecnología propia o Shadow IT en las organizaciones. Otro 84% estaba preocupado pues esto les hace perder el control sobre el área tecnológica de la empresa.

Las empresas que cambian a una solución basada en la nube están expuestas a que los datos sensibles ahora se muevan libremente entre la empresa y la nube. El uso de aplicaciones no autorizadas en la nube ha creado un riesgo intensificado de la exposición interna / externa de datos, ataques de malware de los proveedores de nubes sospechosas y problemas de visibilidad y seguridad causados por este ¨Shadow IT¨

De acuerdo a Elastica de Blue Coat, el posible impacto financiero en una organización promedio, ocasionado por la filtración de sus datos de nube confidenciales, es de 1,9 millones de dólares aunque es mucho mayor para las instituciones educativas y del sector de atención de la salud por la sensibilidad de sus datos

Es evidente que la solución no puede ser simplemente tratar de prohibir el uso del Shadow IT. No sirve de nada reprender a aquellos que lo utilizan, relegando la función estratégica del departamento de TI a la de un maestro de escuela. Además es también demasiado tarde para eso, pues llegamos a la era del TI descentralizado.

Los CIO´s ahora necesitan manejar las demandas de las unidades de negocio de servicios desde fuera de la organización; tienen que reunir a los servicios dispares, las ubicaciones y las implementaciones en algo cohesivo. La información confidencial que se haya subido y compartido en aplicaciones de la nube sin el conocimiento ni el consentimiento ni el control de los equipos de seguridad de TI puede poner a una organización en riesgo de una fuga de datos costosos o muy embarazosa, o en la violación de las disposiciones normativas locales o regionales.

De igual manera, Shadow data es el contenido sensible que los usuarios suben, guardan o comparten vía aplicaciones de la nube – casi siempre sin el conocimiento del personal de TI. En otras palabras, solo porque la organización eligió una aplicación robusta para compartir archivos como like box o Office 365 no significa que tengan gobernabilidad de los datos.

El informe de Blue Coat y Elastica sobre datos ocultos del 2ndo trimestre de 2015 revela las amenazas que implica que los empleados utilicen aplicaciones en la nube para las organizaciones. Entre los hallazgos más sobresalientes se destaca que las empresas no están conscientes de que el 26% de los documentos guardados en la nube han sido ampliamente compartidos, esto significa que cualquier empleado puede acceder a éstos, que han sido compartidos externamente con contratistas y distribuidores y en algunos casos públicamente accesibles y descubribles a través de google search.
Igualmente preocupantes son los datos de este estudio que muestran que 1 de cada 10 documentos que se comparten contienen datos sensibles y/o sujetos a regulaciones (48%), información personal (33%), Información de salud confidencial (14%) y datos de tarjetas de pagos (5%)

Los análisis presentados en este reporte revelan que hay 3 principales amenazas hacia las organizaciones que utilizan aplicaciones de cloud no autorizadas: robo de datos, destrucción de datos y control de la cuenta.

¿Qué podemos hacer para sobrellevar estos ¨Shadow IT y Shadow data?

Identificar las aplicaciones de riesgo para asegurar que sus empleados sólo están utilizando aplicaciones de la nube segura y servicios apropiados para su organización. Utilizar una solución que permita la visibilidad mediante el descubrimiento de aplicaciones basadas en la nube y proporcione control y gestión centralizada

Educar a los empleados sobre los riesgos para la seguridad de los documentos que comparten indiscriminadamente tanto dentro de la organización y con los colaboradores externos. Los documentos más ampliamente compartidos tienen mayor probabilidad de que alguien desconocido accese a esos datos. Del mismo modo, el área de TI debe aumentar su propio conocimiento y comprensión de lo que sus empleados están compartiendo y con qué amplitud están siendo compartidos.

Conocer sus datos compartidos en la nube. No se puede proteger lo que no puede ver, y eso va para sus datos, así como las propias aplicaciones en la nube. Es recomendable elegir una solución que permita clasificar los documentos cloud- almacenados en categorías de negocios (es decir, legal, administración, medicina, etc.). Dicha identificación y clasificación permitirá aplicar con mayor eficacia las medidas de seguridad apropiadas de datos en la nube.

www.bluecoat.com

Pablo Berruecos

Productor de TV - Especialista de TI

Related Post