El camino de la menor resistencia:la amenaza interna de Shadow I.T.

Las personas, como la electricidad, tienden a tomar el camino de menor resistencia. Durante el último año, las empresas de todo el mundo se apresuraron a establecer una infraestructura remota para capear la tormenta del coronavirus. Para muchos empleados, la abrupta transición de la oficina a trabajar de forma totalmente remota ha sido una experiencia en gran parte sin guía. Según el trabajo de IBM Security desde el estudio del hogar, más de la mitad de los empleados remotos encuestados no han recibido nuevas políticas de seguridad sobre cómo trabajar de forma segura desde casa. Con más del 34% de todos los empleados que se espera que estén completamente remotos para fin de año, I.T. los departamentos están compitiendo contra el reloj para implementar sistemas de infraestructura remota seguros que satisfagan las necesidades de sus empleados.

En ausencia de una dirección adecuada, los trabajadores han adoptado un flujo de trabajo híbrido de nuevas soluciones de trabajo remoto, aplicaciones de software como servicio (SaaS) basadas en navegador y herramientas de consumo reutilizadas para la comunicación, el intercambio de archivos y la colaboración. Cuando se combinan con BYOD y una supervisión de seguridad laxa, estos comportamientos crean la oportunidad perfecta para los actores externos malintencionados que buscan sacar provecho del ciberdelito.

La amenaza de Shadow I.T .

“Shadow I.T” es el término general utilizado para describir aplicaciones y dispositivos, principalmente SaaS, que los empleados configuran y usan sin I.T. permiso o controles corporativos. Desde dispositivos no seguros hasta el intercambio de archivos en la nube pública y el correo electrónico personal, muchos empleados remotos han elegido el camino de menor resistencia y han adoptado la TI en la sombra. Estos comportamientos laborales altamente inseguros tienen el potencial de poner en riesgo los datos corporativos y representan una de las mayores vulnerabilidades potenciales en I.T. hoy.

Durante el próximo año, la empresa I.T. Los equipos se verán obligados a reformar de manera efectiva los sistemas y la infraestructura apresurados implementados durante 2020, teniendo en cuenta las nuevas necesidades de los trabajadores remotos existentes. Este acto de equilibrio requerirá nuevas estrategias y enfoques para abordar tanto la seguridad como los comportamientos de los usuarios.

Según un estudio de 2020 de Cyberark, la comodidad a menudo supera la seguridad para los padres que trabajan. A medida que las personas han pasado a trabajar desde casa a tiempo completo, el cuidado de los niños y los miembros de la familia puede ocupar más espacio mental que las mejores prácticas de ciberseguridad. Como resultado, el 93% de los padres que trabajan han reutilizado contraseñas en aplicaciones y dispositivos, y el 29% de los padres que trabajan admitieron que permiten que otros miembros de su hogar usen sus dispositivos corporativos para actividades como tareas escolares, juegos y compras. Estas actividades inseguras pueden tener repercusiones importantes.

En un informe reciente de Wandera, el 52% de las organizaciones informaron haber experimentado un incidente de malware en un dispositivo remoto en 2020, frente al 37% en 2019. Aún más alarmante, de los dispositivos comprometidos por malware en 2020, el 37% continuó accediendo a los correos electrónicos corporativos. después de haber sido comprometido, y el 11% continuó accediendo al almacenamiento en la nube.

Imagine que uno de sus desarrolladores de software tiene malware en su computadora portátil. Ahora los tienes escribiendo código esencial en un dispositivo desprotegido. No tienes idea de a dónde va ese código. Cuando publica ese código, es posible que lo haya limpiado, pero otra persona aún podría tenerlo.

El peligro de los datos no supervisados ​​

Lo que muchos no reconocen es esa sombra I.T. no se trata solo de que alguien use su Dropbox o Gmail personal; también se trata de darle a alguien acceso a una aplicación basada en la web como Salesforce y no tener el control. ¿Qué sucede con esos datos una vez que residen localmente?

Según un estudio reciente de Netwrix, el 91% de las organizaciones afirman que almacenan datos confidenciales y regulados solo en ubicaciones seguras. Sin embargo, el 24% de ellos admitió haber descubierto esos datos fuera de las ubicaciones designadas el año pasado.

La creación de entornos digitales seguros requiere considerar el mínimo común denominador. Dado que la cultura del trabajo desde casa no busca desaparecer pronto, es cada vez más importante brindar a los empleados soluciones que tengan en cuenta algunos de los hábitos menos halagadores de la humanidad. Si shadow I.T. no es considerado seriamente por la TI corporativa equipos y CIO, entonces su información más sensible está en gran peligro.

Todas las soluciones de hardware y software del mundo no pueden proteger su empresa si sus empleados no las utilizan. La realidad es que si una organización no proporciona las herramientas y la formación adecuadas a sus empleados, tomarán el camino de menor resistencia y dejarán en riesgo los datos confidenciales. Capacitar a las personas en las herramientas que se les brindan es tan crucial como brindarles el software en primer lugar. Si es demasiado difícil hacer que el software funcione, la tentación de acceder a la API de la empresa desde Chrome siempre estará en su mente. Educar a los empleados sobre las mejores prácticas y construir una I.T. infraestructura en torno a sus necesidades, debería servir como piedra angular para todos los CIO y TI departamentos.

Michael Abboud es fundador y director ejecutivo de TetherView, un proveedor de nube privada.