Hoy en día, las aplicaciones en la nube están aumentando rápidamente en número y sofisticación. Podemos citar aplicaciones de:gestión de bases de datos, sistemas de recursos humanos, infraestructura y soluciones de seguridad alojadas en la nube.
Actualmente las empresas están viendo beneficios definitivos en la gestión de los servicios que tradicionalmente se han administrado en las instalaciones hacia los propios servicios en la nube.
La adopción de los servicios en la nube tienen muchos beneficios, sin embargo, no está exenta de riesgos.
Cuando se elige un servicio en la nube sobre algo que debe implementarse y administrarse, se reduce el costo de cualquier hardware que necesite ejecutar el servicio, reduciendo así la energía consumida y disminuyendo los gastos administrativos asociados con el hardware, actualizaciones, copias de seguridad, etc.
Adicionalmente, sin algo físico para implementar, el ciclo de compras e implementación es increíblemente rápido, de tal forma que la administración y configuración del servicio es muy fácil de lograr.
Tampoco es necesario que considere la redundancia, ya que está cubierta por el servicio en la nube y está respaldada por los SLA (Service Level Agreement). Esto significa, que los clientes pueden disfrutar de un mayor retorno de la inversión.
Estudios recientes de seguridad en la nube han encontrado que, en promedio, existen alrededor de 1,232 aplicaciones en la nube que se ejecutan dentro de la red de una organización. La mayoría de los cuales han sido adoptados sin la aprobación o la supervisión de TI, esto se conoce como Shadow IT.
La prevención de pérdida de datos en una operación crítica es una de las pocas medidas de seguridad que los clientes deben administrar en la nube.
No es razonable esperar que los proveedores de servicios en la nube tengan tecnologías de vanguardia en el servicio principal que están vendiendo, así como en técnicas anti-malware y de prevención de pérdida de datos.
Sin embargo, si no cuenta con un buen plan para administrar estos riesgos, su empresa es la responsable.
Por este motivo, se recomienda encarecidamente un programa de prácticas de gobernabilidad de datos que pueda aplicarse a los datos de servicios en la nube. Estos deben incluir la identificación y categorización de todos los datos en la nube, además de monitorear cómo se usan estos datos.
Estas estadísticas se derivan de las cuentas que una organización conoce, los riesgos siguen siendo los mismos si la aplicación no se adopta formalmente, pero debido a la falta de supervisión de TI, es más difícil protegerla y remediarla.
Las principales preocupaciones en torno a los riesgos asociados con las aplicaciones en la nube han sido las amenazas recientes, provocando que estas se estén incorporando a los objetivos de ataque de los delincuentes cibernéticos.
Realmente depende del servicio ofrecido por el servicio de nubes. Sin embargo, como muchos se han creado pensando en la colaboración, debemos considerar en qué están colaborando los usuarios, qué tipo de información se mantiene en estas soluciones de nube no autorizadas.
La aplicación en sí puede tener estándares de seguridad deficientes, y la mayoría de las organizaciones tienen requisitos con respecto a las contraseñas. Longitud mínima, número de caracteres especiales, regularidad de reinicio y reciclaje, bloqueo, etc. Sin embargo, estos controles no pueden ser extendidos a una plataforma que el equipo de TI no gestiona.
A menudo, los requisitos clave que se aplican a los servicios adoptados formalmente, como la seguridad y la duración de la contraseña, los requisitos para iniciar sesión con autenticación de dos factores, o solo de direcciones IP específicas no son transferidos a aplicaciones adoptadas de manera no oficial, lo que hace que las cuentas sean más susceptibles a otros vectores de ataque, como los ataques de fuerza bruta.
Finalmente, cuando se hace evidente el verdadero impacto de Shadow IT, se debe de indagar a fondo sobre cuántos "datos ocultos o aplicaciones" necesita depurar la organización para reforzar la seguridad.
Data Warden ayuda a nuestros clientes en la identificación de Shadow IT, identificando aplicaciones no seguras, el monitoreo del uso de aplicaciones no autorizadas y el uso seguro de las aplicaciones aprobadas, evaluando el nivel de riesgo de cada una de ellas.
