En nuestro reciente estudio sobre La seguridad de las aplicaciones en un entorno con múltiples riesgos, aparece un dato que resulta chocante: un 66% de los encuestados afirma no disponer de información sobre todas las aplicaciones implementadas en su organización.
¿Cómo es posible que a un responsable de TI se le escape un dato tan fundamental? Muy sencillo. Según el citado informe, un 50% de las organizaciones tendría en estos momentos entre 500 y 2 500 aplicaciones activas, y un 12% trabajaría con más de 2 500. Es decir, el número de aplicaciones que pueden estar utilizando los empleados de una compañía resulta un universo cada vez más inabarcable.
Para la mayoría de los profesionales de sistemas el fenómeno conocido como shadow IT —las aplicaciones que se implementan fuera del control de sus departamentos— se está convirtiendo en un quebradero de cabeza y en un problema que puede acarrear graves consecuencias, tanto operativas como legales.
En un escenario en el que las organizaciones basan —cada vez más— su negocio en las aplicaciones, los departamentos de TI y de seguridad se encuentran con importantes barreras para garantizar su integridad y los datos que contienen. Las amenazas de seguridad crecen tanto en número como en sofisticación y cada aplicación supone una puerta abierta para los ciberdelincuentes.
La solución es controlar el contexto del usuario, del tráfico y de la aplicación
La tentación de solucionar el problema prohibiendo el uso de aplicaciones no permitidas no parece ser algo realista. Una gran parte de las aplicaciones resultan críticas para el negocio, por lo que es impensable prescindir de ellas sin que la competitividad se vea afectada. Además, ¿cómo es posible controlar a un empleado que, en un momento puntual y con la mejor intención, decide utilizar una determinada aplicación desde un dispositivo que quizá no pertenezca a la empresa y a través de una red pública?
La concienciación de los empleados parece es una tarea pendiente y uno de los principales retos para los responsables de seguridad y TI, sin embargo, sigue sin ser suficiente.
Deberíamos preguntarnos si las estrategias de seguridad corporativas han sabido adaptarse a una realidad cada vez más orientada a la movilidad y a la nube, en la que el centro de datos, donde tradicionalmente residían las aplicaciones, ha dejado de ser el único punto vulnerable. Alrededor del 75% de los ataques tienen como objetivo a las aplicaciones y solo el 10% del presupuesto de seguridad se destina a protegerlas. Claramente, la respuesta es no.
Ya no resulta válido plantear la seguridad en torno a un perímetro, sino que hay que centrarla en las aplicaciones, con independencia de donde residan. La solución pasa por controlar el contexto del usuario, del tráfico y de la aplicación; poder entender a partir de qué plataforma se realiza la conexión, su localización geográfica, qué navegador utiliza, qué protocolos se usan, a qué aplicación se está accediendo, etc. De esta forma, la empresa puede tener constancia de cualquier interacción entre el usuario y el sistema, y ser capaz de tomar las medidas apropiadas.
El shadow IT es una realidad con la que hay que aprender a convivir, pero siempre será mucho más llevadera si se cuenta con las herramientas necesarias para proteger a las aplicaciones, que es tanto como decir proteger al negocio de forma integral.