Reducir el riesgo del trabajo desde casa de las TI en la sombra durante COVID-19

Las políticas de informática de usuario final (EUC) son complejas, y confiar en personas con poco tiempo para ejecutar dichas directrices no sólo es mucho pedir, sino también poco práctico. ¿Qué ha agravado este reto? La reubicación de tantos empleados corporativos en puestos de trabajo remotos.

Como señaló PricewaterhouseCoopers en un nuevo estudio sobre ciberseguridadEn COVID-19, estos EUC, o activos de "TI en la sombra", presentan una fuente definitiva de riesgo, contra la que recomiendan medidas específicas:

Supervisar la TI en la sombra y orientar a los usuarios hacia soluciones aprobadas.

Revisar los registros de tráfico web para supervisar el uso de TI en la sombra (por ejemplo, uso compartido de archivos, videoconferencias y herramientas de colaboración), y trabajar para implementar y mover a los usuarios hacia soluciones seguras y aprobadas por la empresa (por ejemplo, utilizando Cloud Access Security Brokers y filtrado de proxy web).

Realizar un inventario EUC es poco práctico con procesos manuales

El primer paso que debe dar una empresa para minimizar sus riesgos es inventariar sus activos informáticos en la sombra. Pero, ¿qué medidas deben tomar los gestores de riesgos para reunir a correcto ¿Inventario de EUC?  Para empezar, cada EUC debe estar claramente definido: ¿en qué programa de software está integrado? Y, según la política de la empresa, ¿cuál es su criticidad? A continuación, hay que designar propietarios, validadores, en qué inventario de EUC críticos para la empresa debe registrarse la aplicación en cuestión, etc. Dado que, en cualquier organización, el número de EUC suele ascender a cientos o incluso miles, cumplir manualmente la política de EUC para cada aplicación de forma precisa es una tarea ingente.

Naturalmente, este enfoque es propenso al error humano. A menudo, se pide a los usuarios que rellenen formularios para proporcionar detalles sobre las EUC que utilizan y poseen, pero invariablemente sólo proporcionan información de alto nivel y puede que ni siquiera proporcionen un conjunto completo de respuestas. Además, el documento para elaborar el inventario de EUC suele...otra hoja de cálculo

Utilización de la tecnología para el cumplimiento de la política de EUC durante COVID-19

Con la repentina transición a una plantilla que trabaja desde casa o a distancia, es fácil imaginar las complicaciones que esto crea en lo que se refiere al número de EUC y activos dispersos, y el consiguiente riesgo que plantea.

Los sistemas tecnológicos ofrecen la mejor oportunidad de cumplir la política de EUC en toda la empresa, mediante la creación de un marco personalizado basado en la política de EUC específica de la organización. Éstos son viables incluso en momentos como el actual, con una plantilla distribuida, y son una necesidad más urgente que durante los periodos "normales".

En Plantilla de inventario EUC del proveedor tecnológico se entrega en blanco a la organización cliente, que puede adaptarlo en función de sus propias necesidades y objetivos de gestión de la EUC. Así, las preguntas iniciales pueden ser ¿Cuál es el tipo de EUC (por ejemplo, Excel, Access, archivo Matlab)? ¿Cuál es el riesgo material (operativo, normativo, financiero, de reputación) de la aplicación para la organización? Además de otras preguntas específicas de la organización.

En función de la respuesta a las distintas preguntas, puede que sea necesario realizar más consultas; por ejemplo, si el expediente es de alto riesgo, deberá introducirse un plan de desmantelamiento adecuado. La tecnología puede garantizar que esta información adicional se capture a través de campos obligatorios para apoyar el cumplimiento de la política EUC.

A medida que se responde a las preguntas, la información sobre departamentos y propietarios también se captura utilizando Active Directory. Esto permite a una organización crear un una imagen coherente y holística del panorama de la EUC para ofrecer una visión clara de los archivos clave que existen en toda la organización. Por ejemplo, si hay mil archivos registrados, habría suficiente granularidad para saber que cien están en dispositivos remotos, de los cuales diez son críticos y dos son modelos de precios.

La flexibilidad y las ventajas de un enfoque de la EUC basado en la tecnología

Por supuesto, los controles de la política de EUC no pueden basarse en una visibilidad "puntual" del panorama de EUC. Es crucial, ayuda a mantener un inventario "vivo" y siempre actualizado, no una que sólo esté actualizada en el momento de la evaluación anual. Una aplicación EUC que podría haber sido de riesgo medio a principios de año podría convertirse potencialmente en de alto riesgo porque ahora se está trabajando con ella a distancia, en un contexto de seguridad diferente. Con la automatización que proporcionan los sistemas tecnológicos, ese cambio se registra automáticamente y se aplican los controles de políticas necesarios.

Si el cambios en la situación de la mano de obra - ya sea a distancia o en transición en cualquier cambio en la política puede incluirse en el cuestionario, que luego puede enviarse automáticamente a los empleados. Del mismo modo, si el propietario de un EUC específico abandona la organización, los archivos que necesitan ser "reubicados" pueden marcarse fácilmente. Las presiones normativas, en constante cambio, implican que los cambios en la política pueden también por lo que habrá que añadir nuevas preguntas al cuestionario de inventario. Con la tecnología adecuada, esto también puede enviarse automáticamente a los usuarios con una solicitud de información adicional.

A continuación, todos los archivos EUC registrados pueden someterse automáticamente a normas de gestión y control de cambios basadas en la política EUC de la organización para incluir aspectos como la gestión de versiones, la supervisión del acceso y el control de la protección, junto con registros de auditoría para la gestión del cumplimiento y los riesgos. El sistema también facilita la corrección o el desmantelamiento de las EUC en función de la política de la organización.

Puede ofrecer una visibilidad completa de los procesos de cumplimiento de los empleados y un conocimiento detallado de los documentos, sistemas y aplicaciones no estructurados de los que dependen las personas en el día a día de las operaciones. Facilita de forma segura la certificación y la revisión, la elaboración de informes periódicos y la plena auditabilidad hasta la gobernanza de modelos para reducir el riesgo.

Adoptar la tecnología es la forma más fiable, fiable, eficiente en el tiempo y rentable de gestionar todo el entorno de EUC en las organizaciones, desde la creación de la política de EUC y su cumplimiento hasta la gestión de riesgos del modelo para el cumplimiento de la normativa. Hoy en día, a medida que los empleados se ven obligados a trabajar a distancia, esto es más pertinentes y necesarias que nunca.