Shadow IT – Shadow Data – fugas de información confidencial

La propia naturaleza viral de las aplicaciones Cloud, la facilidad que nos proporcionan para compartir la información y la mayor eficacia que suponen a la hora de trabajar son factores positivos que, a la vez, convierten a la tecnología Cloud en peligrosa.
Documentos de nuestra empresa que contienen datos sensibles pueden llegar a terminar compartidos incluso en carpetas compartidas de terceros.

Esta situación es conocida como Shadow Data

Repasemos algunos conceptos

Qué es Shadow IT?

Son todas las aplicaciones IT y Apps Cloud de tu empresa que se están usando sin el control del departamento de sistemas.
Aplicaciones o software no autorizado o no controlado por tu empresa.
Son aquellas apps, aplicaciones o programas que los empleados traen al trabajo, o a las que acceden por internet directamente desde la oficina, y que les ayudan a realizar sus tareas diarias. No son necesariamente acciones negativas, pero sin el conocimiento y control por parte del departamento de sistemas se convierten en un punto ciego. Un punto de potencial fuga de seguridad.

Que es Shadow Data?

Son todos aquellos datos o información sensible de la empresa que se guarda y utiliza en aplicaciones autorizadas (o no autorizadas), sin el conocimiento del departamento de sistemas. Sin el conocimiento de los informáticos, ni su control.

Se refiere a todos aquellos datos sensibles que se gestionan (que se suben y comparten) desde estas aplicaciones, desde estos programas Cloud. Nuestro departamento de sistemas, puede ser que conozca y autorice ciertas aplicaciones Cloud, pero pierde el control del tipo y calidad de datos que se suben y cómo y a quién se comparten.

En ocasiones, el otro agujero negro para el equipo de IT es qué datos sensibles se están compartiendo en la nube. Este punto puede ser tan o más peligroso que el Shadow IT.

Es muy importante tomar conciencia y el control de qué información se está compartiendo, en qué aplicaciones y cómo.

El 26% de todo el contenidos que se está almacenado en la nube es público.
Compartido con toda la empresa, con toda la compañía, con terceros que no pertenecen a tu organización o en el peor de los casos, compartido públicamente donde todo el mundo puede tener acceso a ello, crawlers de internet y boots incluidos.

Así que, mientras compartir información de manera abierta es un modo de asegurarse que todo el mundo puede acceder y trabajar con ella, también tiene implicaciones de confidencialidad.

Cuando analizamos ese 26% más a fondo, vemos que el 10% de este contenido, uno de cada 10 archivos, contiene información confidencial de la empresa, de seguridad, identificación personal o normativa interna. Como números de la seguridad social, tarjetas de crédito, información bancaria… Cualquiera de esta información fácilmente compartible representa un riesgo para la empresa.

Riesgos financieros por la fuga de información

A partir del análisis de los casos de información que ha sido expuesta, y la referencia económica que nos da la industria de las pérdidas económicas que representa esta fuga de información, vemos que los documentos relacionados con la salud tienden a tener una consecuencia económica más elevada. Por encima de otros sectores como el entretenimiento o el financiero.
Dado la gran cantidad de información que ha sido publicada podemos hacernos una idea de la magnitud de las cifras relacionadas con los riesgos financieros que supone esta fuga de datos.

Actividad maliciosa

Los “chicos malos” siempre van a estar atentos al punto más débil. Y el punto más débil son los propios usuarios.
En otras palabras, los ataques, en lugar de dirigirse directamente a los fabricantes de aplicaciones y atacar sus infraestructuras, que normalmente están muy bien protegidas, van directamente al usuario final e intentan conseguir uno de sus identificadores, uno de sus credenciales (usuarios y contraseñas).
De hecho, la mayoría de fabricantes de aplicaciones cloud tienen sistemas de seguridad más sólidos alrededor de sus servidores que la mayoría de las empresas. Pero si los interesados en penetrar consiguen un nombre de usuario y una contraseña, mediante un ataque phishing, o capturar una sesión con malware instalado en un ordenador, entonces éstos usuarios no deseados, estos ladrones de información, están entrando en nuestra aplicación cloud con un usuario y una contraseña válidos que les permiten acceso fácil a toda la información.

Este suele ser el punto más débil en el que las organizaciones deben plantearse más seriamente aplicar las medidas de protección necesarias.

 

Conoces todas las aplicaciones que usan tus empleados para compartir información?
Está tu Departamento de Sistemas informado del tipo de documentos que se comparten?
Cómo controlas la fuga de datos de usuarios y contraseñas en tu empresa?