Las políticas de informática de usuario final (EUC) son complejas, y confiar en personas con poco tiempo para ejecutar dichas directrices no sólo es mucho pedir, sino también poco práctico. ¿Qué ha agravado este reto? La reubicación de tantos empleados corporativos en puestos de trabajo remotos.
Como señala PricewaterhouseCoopers en un nuevo estudio sobre ciberseguridad, estos EUC, o activos de "TI en la sombra", representan una fuente de riesgo definitiva durante la COVID-19, contra la que recomiendan medidas específicas:
Supervisar la TI en la sombra y orientar a los usuarios hacia soluciones aprobadas.
Revisar los registros de tráfico web para supervisar el uso de TI en la sombra (por ejemplo, uso compartido de archivos, videoconferencias y herramientas de colaboración), y trabajar para implementar y mover a los usuarios hacia soluciones seguras y aprobadas por la empresa (por ejemplo, utilizando Cloud Access Security Brokers y filtrado de proxy web).
Realizar un inventario EUC es poco práctico con procesos manuales
El primer paso que debe dar una empresa para minimizar sus riesgos es inventariar sus activos informáticos en la sombra. Pero, ¿qué medidas deben tomar los gestores de riesgos para elaborar un inventario adecuado de EUC? Para empezar, cada EUC debe estar claramente definida: ¿en qué programa de software está integrada? Y, según la política de la empresa, ¿cuál es su criticidad? A continuación, hay que designar propietarios, validadores, en qué inventario de EUC críticos para la empresa debe registrarse la aplicación en cuestión, etc. Dado que, en cualquier organización, el número de EUC suele ascender a cientos o incluso miles, cumplir manualmente la política de EUC para cada aplicación de forma precisa es una tarea ingente.
Naturalmente, este planteamiento es propenso al error humano. A menudo se pide a los usuarios que rellenen formularios para proporcionar detalles sobre las EUC que utilizan y poseen, pero invariablemente sólo proporcionan información de alto nivel y puede que ni siquiera faciliten un conjunto completo de respuestas. Además, el documento para elaborar el inventario de EUC suele ser...¡otra hoja de cálculo!
Utilización de la tecnología para el cumplimiento de la política de EUC durante COVID-19
Con la repentina transición a una plantilla que trabaja desde casa o a distancia, es fácil imaginar las complicaciones que esto crea en lo que se refiere al número de EUC y activos dispersos, y el riesgo que ello conlleva.
Los sistemas tecnológicos ofrecen la mejor oportunidad de cumplir la política de EUC en toda la empresa, mediante la creación de un marco personalizado basado en la política de EUC específica de la organización. Esto es factible incluso en momentos como este, con una plantilla distribuida, y es una necesidad más urgente que en periodos "normales".
En Plantilla de inventario EUC del proveedor tecnológico se entrega en blanco a la organización cliente, que puede adaptarlo en función de sus propias necesidades y objetivos de gestión de la EUC. Así, las preguntas iniciales pueden ser ¿Cuál es el tipo de EUC (por ejemplo, Excel, Access, archivo Matlab)? ¿Cuál es el riesgo material (operativo, normativo, financiero, de reputación) de la aplicación para la organización? Además de otras preguntas específicas de la organización.
En función de la respuesta a las distintas preguntas, puede que sea necesario realizar más consultas; por ejemplo, si el expediente es de alto riesgo, deberá introducirse un plan de desmantelamiento adecuado. La tecnología puede garantizar que esta información adicional se capture a través de campos obligatorios para apoyar el cumplimiento de la política EUC.
A medida que se responde a las preguntas, la información sobre departamentos y propietarios también se captura mediante Active Directory. Esto permite a una organización crear una imagen coherente y holística del entorno EUC para proporcionar una visión clara de los archivos clave que existen en toda la organización. Por ejemplo, si hay mil archivos registrados, habría suficiente granularidad para saber que cien están en dispositivos remotos, de los cuales diez son críticos y dos son modelos de precios.
La flexibilidad y las ventajas de una EUC basada en la tecnología
Por supuesto, los controles de la política de EUC no pueden basarse en una visibilidad "puntual" del panorama de EUC. Es crucial que la tecnología ayude a mantener un inventario "vivo" que esté siempre actualizado, no uno que sólo lo esté en el momento de la evaluación anual. Una aplicación EUC que podría haber sido de riesgo medio a principios de año podría convertirse en una de alto riesgo porque ahora se está trabajando con ella a distancia, en un contexto de seguridad diferente. Con la automatización que proporcionan los sistemas tecnológicos, ese cambio se registra automáticamente y se aplican los controles de políticas necesarios.
Si la situación de la plantilla cambia -ya sea porque se traslada a una base remota o porque vuelve a la oficina-, cualquier cambio en la política puede incluirse en el cuestionario, que luego puede enviarse automáticamente a los empleados. Del mismo modo, si el propietario de un EUC específico abandona la organización, los archivos que necesitan ser "reubicados" pueden marcarse fácilmente. Las presiones normativas cambian constantemente, lo que significa que también puede ser necesario modificar la política, por lo que deben añadirse nuevas preguntas al cuestionario de inventario. Con la tecnología adecuada, esto también puede enviarse automáticamente a los usuarios con una solicitud de información adicional.
A continuación, todos los archivos EUC registrados pueden someterse automáticamente a normas de gestión y control de cambios basadas en la política de EUC de la organización para incluir aspectos como la gestión de versiones, la supervisión de accesos y el control de la protección junto con registros de auditoría para la gestión del cumplimiento y los riesgos. El sistema también facilita la corrección o el desmantelamiento de las EUC en función de la política de la organización.
Mantener la titularidad de la EUC donde le corresponde
Cabe señalar que, al garantizar que los usuarios registran los archivos EUC , la propiedad de los mismos recae en la empresa, que es su legítimo hogar. Los archivos EUC nunca deben ser competencia exclusiva de los usuarios individuales, incluso -o especialmente- si trabajan a distancia. Esta situación agrava los riesgos que plantean los archivos EUC críticos para la empresa. La automatización que ofrece la tecnología proporciona salvaguardas integradas para que la empresa se anticipe y mitigue cualquier riesgo que emane de los archivos críticos.
Una buena política de EUC también sustenta la gestión formal del riesgo de modelo, que se está convirtiendo en esencial para el cumplimiento de la normativa. La tecnología puede ayudar a las organizaciones a saber qué modelos existen, cómo están interrelacionados en el ecosistema de modelos y cómo se gestionan actualmente.
Puede ofrecer una visibilidad completa de los procesos de cumplimiento de los empleados y un conocimiento detallado de los documentos, sistemas y aplicaciones no estructurados de los que dependen las personas en el día a día de las operaciones. Facilita de forma segura la certificación y la revisión, la elaboración de informes periódicos y la plena auditabilidad hasta la gobernanza de modelos para reducir el riesgo.
Adoptar la tecnología es la forma más fiable, fiable, eficiente en el tiempo y rentable de gestionar todo el entorno de EUC en las organizaciones, desde la creación de la política de EUC y su cumplimiento hasta la gestión de riesgos del modelo para el cumplimiento de la normativa. Hoy en día, cuando los empleados se ven obligados a trabajar a distancia, esto es más pertinente y necesario que nunca.
Gestione sus hojas de cálculo de Shadow IT
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
