Blue Coat Systems ofrece soluciones sobre como permitir el Shadow IT a los empleados y al mismo tiempo incentivar la innovación, la producción , así como la seguridad de la información confidencial. La empresa presenta el siguiente ejemplo:
“Pablo es el director de ventas de una gran industria química. Dirige un equipo de 20 ejecutivos y viajan mucho, visitando industrias de fabricación repartidas por todo su país. En su cuaderno, en el teléfono inteligente, en la PC de casa, accede a las aplicaciones comprobadas y aprobadas por el personal de TI de su empresa. Pero Pablo usa a diario también aplicaciones que ha descargado de la web y que son útiles en su rutina. Se trata de servicios como Google Docs y Dropbox, entre varias aplicaciones para su uso personal.
Pablo es uno de los millones de usuarios corporativos que utilizan recursos propios de tecnología o lo que llamamos Shadow IT que le hacen la vida más fácil. Lo que es preocupante es que Pablo puede utilizar de estos servicios paralelos de TI también para compartir información confidencial, como contraseñas, documentos confidenciales y planes a largo plazo de su empresa con las partes internas o externas”.
Luego de concluir que el caso de Pablo no es único, Blue Coat cita su informe Blue Coat Elastica, publicado en agosto pasado, según el cual las empresas utilizan un promedio de 841 aplicaciones en la nube, un valor 20 veces mayor que las aplicaciones que han sido aprobados por las áreas de TI de estas organizaciones. En la práctica, por lo tanto, los empleados corporativos siguen utilizando de los servicios en la nube – sean seguros o no – para compartir datos y es una acción que no se ajusta a las directrices de las empresas.
El informe también muestra que el 23% de los datos más estratégicos de la compañía son compartidos por la nube y el 12% de los documentos introducidos en las aplicaciones Shadow IT contienen información confidencial.
A juicio de Blue Coat, una forma de hacer frente a esta realidad es simplemente bloqueando el uso de la TI paralela o shadow IT en la organización. A pesar de ello, recalca que “quien ya trató de seguir este camino entiende que hoy en día hay miles de aplicaciones en la nube pero mañana habrá aún más”.
Por lo tanto, es posible que desee abrir vías de comunicación entre las áreas de TI y las áreas de negocio y RH. De acuerdo a Blue Coat el método descrito a continuación se refiere a evitar que el empleado se desanime con las restricciones impuestas por el área de TI y que todos los involucrados (TI, negocios, recursos humanos) interactúen para el bien de la empresa. En este contexto, la seguridad informática se convierte en responsable de la productividad y de la innovación también.
Es posible que un usuario encuentre en la web, una aplicación que se adapte a alguna necesidad específica y es posible que el CIO pruebe este sistema y este de acuerdo con su uso. También es posible que el área de Recursos Humanos sea parte de esta transformación corporativa y elimine las limitaciones como encargadas de mantener los vínculos que están en proceso de renovación.
Es importante señalar, sin embargo, que en este río de intercambios entre TI, negocios y recursos humanos todos tienen que entender que la empresa trabaja a partir de las reglas de cumplimiento que tienen una razón de existir. No se puede dejar el uso de la TI paralela (shadow IT) fuera de control. Al contrario.
Sigue siendo esencial el descubrir, monitorear y controlar el acceso a aplicaciones en la nube – incluyendo la TI paralela.
Esto se puede hacer con la ayuda de soluciones CASB (Agente de seguridad de acceso a la nube) la cual ofrece a la empresa visibilidad sobre las aplicaciones informáticas Shadow IT. El resultado es la generación de informes sofisticados y detallados sobre qué áreas de negocio están haciendo (descarga, carga) y que aplicaciones Shadow TI están utilizando.
Por encima de todo, las soluciones CASB controlan el acceso a través de la nube y protegen los datos críticos de la empresa. Esto evita que el usuario desprevenido pueda compartir a través de aplicaciones de Shadow IT información esencial del negocio. Para ello, el CASB identifica y clasifica la información confidencial.
En las mejores plataformas CASB, los datos críticos jamás son compartidos en la nube. Si alguien trata de compartir, por ejemplo, los datos extraídos de las aplicaciones como Salesforce, Oracle Sales Cloud y ServiceNow, encontrarán información inteligible con símbolos sin sentido. Esto sucede debido a las capacidades de tokenización de CASB.
La eficiencia de las soluciones CASB es tal que se puede programar el borrado de los datos sensibles de una transacción específica o bloquear la descarga de un archivo crítico. Esta es una solución muy potente que simplemente impide que una información estratégica sea compartida a través de un servicio de Shadow IT.
Una advertencia: no todas las aplicaciones que la zona de negocios utiliza es Shadow IT
“Recuerde que muchos empleados utilizan aplicaciones como Twitter, Facebook o Dropbox para su uso personal”, observa Blue Coat, agregando que la inspección de las aplicaciones personales puede entrar en conflicto con el respeto a la privacidad de los empleados. Este es un asunto delicado para el área de TI. De ahí la importancia de compartir la toma de decisiones sobre bloqueo y prohibición con los gerentes y directivos de la empresa.
De acuerdo a Gartner, hoy en día, las unidades de negocios son capaces de implementar servicios de TI con la misma velocidad con la que se crean en la web. De acuerdo con un informe de este instituto de investigación en el año 2015, el 35% del presupuesto de TI se gasta en acciones definidas fuera del departamento de TI. Y para el año 2017, los CMO´s ( directores de marketing) van a invertir más en servicios de TI que los CIO.
En este contexto, el área de TI actúa como “asesor de confianza” para el área de negocios para recomendar la forma de mejorar la experiencia del usuario y la productividad de la empresa.
-Es el consenso y no el conflicto lo que promueve la seguridad del entorno corporativo digital y real-
Durante mucho tiempo el área de TI se dedicó a limitar, pero ahora vivimos en la era en la que utilizando buenas estrategias de seguridad, el CIO puede decir que sí.