Asegurando Shadow IT en el entorno corporativo
Cada organización tiene dos entornos tecnológicos.
El que TI construyó, documentó y mantiene visibilidad, y el que los empleados ensamblaron a su alrededor para hacer su trabajo más rápido.
El segundo entorno es TI en la sombra, y en la mayoría de las empresas, es más grande, más variado y más profundamente integrado en las operaciones diarias de lo que los equipos de seguridad se sienten cómodos reconociendo.
Las herramientas SaaS no autorizadas, las cuentas de almacenamiento en la nube personal, las extensiones de navegador con amplios permisos de acceso a datos, los asistentes de IA que procesan documentos sensibles y las integraciones de terceros que nunca fueron revisadas por nadie con responsabilidad de seguridad constituyen el patrimonio en la sombra, y está expandiéndose más rápido de lo que los marcos de gobernanza convencionales pueden rastrear.
Las implicaciones de seguridad no son teóricas. La TI en la sombra crea exposición que está completamente fuera de la infraestructura de monitoreo, parcheo y control de acceso que los equipos de seguridad empresarial han construido, y lo hace a través de canales que los empleados a menudo no tienen razón para reconocer como riesgosos.
Este artículo examina dónde está creciendo más rápido la exposición de TI en la sombra, cómo el riesgo de proveedores se cruza con el problema de TI en la sombra y cómo se ve un enfoque realista para gestionarlo en la práctica.
La Dimensión del Proveedor de TI en la Sombra
La TI en la sombra a menudo se enmarca como un problema de comportamiento de los empleados, lo que lleva a respuestas de gobernanza que se centran en la aplicación de políticas y la concienciación del usuario. Esas respuestas abordan el síntoma sin tocar la estructura subyacente que hace que la TI en la sombra persista. La razón por la que los empleados recurren a herramientas no autorizadas es que las alternativas autorizadas son más lentas, menos capaces o más difíciles de acceder que lo que pueden provisionar ellos mismos en minutos. Hasta que esa brecha se cierre, la aplicación de políticas reducirá la TI en la sombra en los márgenes sin eliminar el incentivo que la produce.
La evaluación de riesgo de proveedores es la capacidad que aborda la dimensión de terceros de este problema a gran escala. Cuando un empleado provisiona una herramienta SaaS, está estableciendo una relación con un proveedor en nombre de la organización, ya sea que la organización lo reconozca como tal o no.
Ese proveedor puede tener acceso a credenciales corporativas a través de integraciones OAuth, puede estar almacenando datos en jurisdicciones con diferentes regímenes regulatorios y puede tener una postura de seguridad que no sobreviviría a un escrutinio básico si alguien hubiera pensado en aplicarla.
La evaluación continua del ecosistema de proveedores, incluidos los proveedores en la sombra que los empleados introducen sin la participación formal de adquisiciones, brinda a los equipos de seguridad la visibilidad para entender qué exposición de terceros realmente existe en lugar de lo que la lista de proveedores aprobados sugiere que debería ser.
La pregunta de seguridad más importante no es si los empleados están utilizando herramientas no autorizadas, sino qué están haciendo esas herramientas con los datos corporativos y qué acceso tienen a sistemas y credenciales que a la organización le importan.
Un artículo de Forbes sobre la IA en la sombra señaló que los empleados ahora están utilizando rutinariamente herramientas de IA que la organización no tiene visibilidad, procesando documentos sensibles, datos de clientes y comunicaciones internas a través de sistemas cuyas prácticas de manejo de datos nunca han sido revisadas por nadie en la función de seguridad.
El perfil de riesgo de ese comportamiento es significativamente diferente del de un empleado que utiliza una herramienta de gestión de proyectos no autorizada.
Dónde Están Surgiendo las Vulnerabilidades
El reciente historial de violaciones de TI en la sombra es instructivo. Una violación de una plataforma de mensajería demostró cómo la infraestructura de comunicaciones soberanas y aparentemente controladas puede albergar vulnerabilidades que pasan desapercibidas precisamente porque la herramienta se trata como confiable sin una validación de seguridad continua.
La suposición de seguridad basada en la procedencia institucional en lugar de una evaluación continua es exactamente el tipo de pensamiento que explota la TI en la sombra, porque las herramientas que eligen los empleados son confiables para las personas que las utilizan, independientemente de si esa confianza tiene alguna base de seguridad.
El descubrimiento de que un agente de IA identificó múltiples vulnerabilidades de día cero en software ampliamente utilizado, incluida la infraestructura del navegador, apunta a un problema relacionado. Los componentes de software incrustados en las herramientas que utilizan los empleados, incluidas las herramientas en la sombra que operan fuera de la visibilidad de TI, llevan perfiles de vulnerabilidad que cambian continuamente a medida que surgen nuevas investigaciones.
Una herramienta no autorizada construida sobre una biblioteca vulnerable es un riesgo que ninguna cantidad de aplicación de políticas para empleados aborda, porque la vulnerabilidad existe en una capa por debajo de la conciencia del empleado y por debajo del perímetro de monitoreo de la organización.
La Capa de SSL y Certificados
Una de las dimensiones más pasadas por alto de la seguridad de TI en la sombra es la infraestructura de certificados asociada con herramientas e integraciones no autorizadas.
El monitoreo de certificados SSL es importante en el contexto de TI en la sombra porque los certificados caducados o mal configurados en herramientas que los empleados están utilizando activamente crean una exposición de hombre en el medio que ni el empleado ni el equipo de seguridad están en posición de detectar sin un monitoreo específico en su lugar.
Las herramientas de TI en la sombra son significativamente menos propensas que el software empresarial autorizado a mantener una rigurosa higiene de certificados, tanto porque operan fuera de los procesos de gestión de certificados de la organización como porque los proveedores detrás de ellas pueden no tener la madurez operativa que los requisitos de adquisiciones empresariales de otro modo exigirían.
El resultado es una categoría de exposición que se sitúa en la intersección de la TI en la sombra y el riesgo de terceros, visible solo para organizaciones que han construido monitoreo en ambas dimensiones.
La Dimensión Geopolítica del Riesgo de Proveedores
La imagen del riesgo empresarial para la seguridad empresarial se ha expandido más allá de la vulnerabilidad técnica hacia un territorio geopolítico de maneras que la gobernanza de TI en la sombra aún no ha absorbido completamente.
La inestabilidad global que está remodelando el riesgo empresarial ha producido un conjunto de consideraciones en torno a la soberanía de datos, la jurisdicción de proveedores y la procedencia de la cadena de suministro que hacen que la nacionalidad y el entorno regulatorio de los proveedores de TI en la sombra sean una preocupación de seguridad legítima en lugar de solo una nota al pie de cumplimiento.
Un empleado que utiliza una herramienta de almacenamiento en la nube domiciliada en una jurisdicción con leyes de acceso a datos obligatorias ha introducido una exposición de riesgo soberano que casi con certeza no fue diseñada para abordar el marco de gobernanza de datos de la organización.
A medida que las tensiones geopolíticas han aumentado, la importancia práctica de la residencia de datos y la jurisdicción de proveedores ha hecho que el ecosistema de proveedores en la sombra sea una exposición más significativa de lo que era cuando esas preguntas eran principalmente teóricas.
La tabla a continuación destaca los riesgos comunes de TI en la sombra, los factores que los crean y los controles que las organizaciones pueden usar para identificar y gestionar esas exposiciones:
Categoría de Riesgo de TI en la Sombra
Qué lo Crea
Qué lo Aborda
SaaS no autorizado con acceso a datos
Auto-provisionamiento de empleados
Evaluación continua de riesgo de proveedores en todo el patrimonio en la sombra
Herramientas de IA procesando documentos sensibles
Adopción de IA en la sombra
Monitoreo de flujos de datos salientes y permisos de OAuth
Exposición de certificados y SSL
Pobre higiene en herramientas en la sombra
Monitoreo de certificados extendido más allá de la infraestructura autorizada
Riesgo de jurisdicción y soberanía de proveedores
Residencia de datos no revisada de proveedores en la sombra
Evaluación de proveedores que incluya revisión regulatoria y jurisdiccional
Vulnerabilidad en componentes incrustados
Bibliotecas de terceros en herramientas en la sombra
Monitoreo de superficie de ataque en todo el ecosistema de proveedores
Construyendo Visibilidad Antes de Aplicar Políticas
La secuenciación de la gobernanza de TI en la sombra importa más de lo que la mayoría de los programas de seguridad reconocen. Las organizaciones que comienzan con la aplicación de políticas antes de haber construido visibilidad sobre qué TI en la sombra realmente existe en su entorno están aplicando contra una imagen incompleta, lo que significa que el esfuerzo de aplicación está calibrado a la TI en la sombra que conocen en lugar de la TI en la sombra que representa el riesgo real.
Construir visibilidad primero significa desplegar herramientas de descubrimiento que identifiquen aplicaciones no autorizadas que acceden a credenciales corporativas, monitorear el tráfico de red en busca de conexiones a servicios externos no reconocidos, revisar concesiones de OAuth y permisos de extensiones de navegador en toda la flota de puntos finales, y realizar una evaluación continua del ecosistema de proveedores que el comportamiento de los empleados está creando realmente en lugar de la que los registros de adquisiciones reflejan.
La capa de políticas y aplicación se vuelve significativamente más efectiva una vez que existe esa visibilidad, porque puede dirigirse a las herramientas y comportamientos específicos que representan
Otros artículos
Asegurando Shadow IT en el entorno corporativo
La TI en la sombra crea exposición de seguridad empresarial fuera de la supervisión, el parcheo y los controles de acceso. Desde SaaS no sancionados y IA en la sombra hasta riesgos de soberanía de datos geopolíticos, este artículo examina dónde está creciendo la exposición de TI en la sombra y cómo la evaluación de riesgos de proveedores aborda la dimensión de terceros a gran escala.
