Shadow IT, SaaS plantean responsabilidad de seguridad para las empresas

No se puede negar que el software como servicio (SaaS) ha entrado en su edad dorada. Las herramientas de software ahora se han vuelto esenciales para las operaciones comerciales modernas y la continuidad. Sin embargo, no hay suficientes organizaciones que hayan implementado los procesos de adquisición adecuados para garantizar que se estén protegiendo de posibles filtraciones de datos y daños a la reputación.

Un componente crítico que contribuye a las preocupaciones sobre la gestión de SaaS es la tendencia creciente de la TI en la sombra, que es cuando los empleados descargan y usan herramientas de software sin notificar a sus equipos internos de TI. Un estudio reciente muestra que 77% de los profesionales de TI cree que la TI en la sombra se está convirtiendo en una gran preocupación en 2023, con más del 65% diciendo que sus herramientas SaaS no están siendo aprobadas. Además de las preocupaciones obvias sobre el gasto excesivo y las interrupciones en la eficiencia operativa, las organizaciones están comenzando a tener dificultades para mantener la seguridad a medida que su uso de SaaS continúa en expansión.

Desafortunadamente, ignorar la TI en la sombra ya no es una opción para muchas organizaciones. Las filtraciones de datos y otros ataques a la seguridad son costando a las empresas $ 4.5 millones en promedio, y muchos de ellos tienen lugar debido a un panorama de software en expansión. Para combatir la TI en la sombra y los altos riesgos que la acompañan, las organizaciones deben obtener una mayor visibilidad sobre sus pilas de SaaS e instituir un proceso de adquisición efectivo al incorporar nuevas soluciones de software.

¿Por qué Shadow IT es una responsabilidad tan grande?

Todos los problemas relacionados con la TI en la sombra se remontan a la falta de visibilidad de una organización. Una pila de software no administrada brinda a los equipos de TI una percepción nula de cómo se usa y distribuye la información confidencial de la empresa. Dado que estas herramientas no se examinan adecuadamente y no se controlan, la mayoría de las organizaciones no protegen adecuadamente los datos que almacenan.

Esto crea el marco perfecto para que los piratas informáticos se apoderen fácilmente de datos importantes, como registros financieros confidenciales o datos personales. Los datos corporativos críticos están en riesgo porque la mayoría de las herramientas SaaS, si no todas, requieren credenciales corporativas y acceso a la red interna de una organización. Una encuesta reciente de Adaptive Shield y CSA muestra que solo en el último año, 63% de los CISO han informado incidentes de seguridad por este tipo de uso indebido de SaaS.

Las consecuencias de la no acción

Como se indicó anteriormente, el tema recurrente que muchas empresas están experimentando con la TI en la sombra es el riesgo asociado con una violación de datos. Sin embargo, es igualmente importante darse cuenta del posible escrutinio de la industria que enfrentan las empresas y las sanciones que reciben de los reguladores debido a la expansión de TI en la sombra. Cuando se agrega software no aprobado a la pila tecnológica de una organización, es probable que no cumpla con los estándares de cumplimiento, como el Reglamento general de protección de datos (GDPR), la Ley federal de administración de seguridad de la información (FISMA) y la Ley de portabilidad y responsabilidad de seguros médicos (HIPAA) — que las empresas deben mantener. Para las organizaciones en industrias con regulaciones estrictas, las consecuencias de ser sancionados por fallas en el cumplimiento pueden causar un daño irreparable a la reputación, un problema que no se puede solucionar simplemente pagando la tarifa asociada con la sanción.

Además de los costos asociados con una falla de seguridad y el daño a la reputación que recibe una empresa, las organizaciones tampoco se dan cuenta de los dólares operativos desperdiciados en aplicaciones y herramientas. Desafortunadamente, puede ser casi imposible para grandes organizaciones para descubrir todas las aplicaciones que la empresa nunca sancionó debido a complicaciones como subequipos deshonestos, departamentos que se autoabastecen de su propio software o empleados que utilizan credenciales corporativas para acceder a herramientas freemium o de un solo puesto.

Entonces, ¿cómo solucionamos el dilema de la TI en la sombra?

El primer paso crucial para rectificar la expansión de SaaS de una organización y garantizar que la TI en la sombra nunca lo ponga en una posición comprometida es para ganar visibilidad en la pila de software existente. Sin visibilidad, una organización no sabrá qué herramientas se están utilizando y no podrá tomar decisiones informadas sobre la centralización de su software. Los equipos de TI deben centrarse en actualizar la documentación de su cartera de software y hacer registros de las funciones de la aplicación, la utilización del software, la duración del contrato/suscripción de cada herramienta y el costo.

Una vez que se recibe el acceso a esta información y se actualiza adecuadamente, los equipos de TI pueden establecer qué herramientas son esenciales y dónde se pueden realizar cambios. Después de limpiar la casa, las empresas pueden crear un sistema de adquisiciones centralizado para garantizar que todas las compras futuras se coordinen entre departamentos y que todas las medidas de seguridad o los estándares de cumplimiento se cumplan continuamente para evitar infracciones de seguridad y sanciones reglamentarias. Tener estos registros ayudará a las organizaciones a realizar un seguimiento de todos los usos y, por lo tanto, minimizar los costos desperdiciados y las fallas de seguridad.

El obstáculo más difícil para las empresas que sienten el impacto de la TI en la sombra y la expansión general de SaaS es reconocer que tiene un problema de administración de software y encontrar una solución para abordar el problema. Entre la presión económica y el escrutinio regulatorio, las organizaciones ya no pueden darse el lujo de ignorar la creciente preocupación por la TI en la sombra y los tipos de software que utilizan.