página
04 página
05 página
15
Ciberinteligencia aplicada a la estrategia organizacional. La transformación digital depende de la voluntad política
El Shadow IT Cloud en la Nueva Normalidad
Avances de la
N°11 - MAYO 2021
TRANSFORMACIÓN DIGITAL
en el PERÚ
página
03
EDITORIAL
página
Ciberinteligencia aplicada a la estrategia organizacional. La transformación digital depende de la voluntad política Transformación y Confianza Digital en el Perú Cómo evitar el síndrome del acumulador de vulnerabilidades El Shadow IT Cloud en la Nueva Normalidad.
04 página
05 página
07 página
11
página
15
Avances de la
TRANSFORMACIÓN DIGITAL en el Perú
EDITORIAL Ernesto Landa
FUNDADOR DE CISOBEAT
En la edición de febrero de este año, reflexionamos sobre la importancia de robustecer el nivel de protección en las estrategias de ciberseguridad industrial en infraestructuras crí cas tras el intento de hackeo que sufrió una importante planta de tratamiento de agua norteamericana que tenía como obje vo envenenar a más de quince mil pobladores. Este mes se hizo mediá ca la no cia sobre la declaración de Estado de Emergencia en Estados Unidos debido a un ciberataque a una de sus principales redes de oleoductos. En febrero, el ciberataque se produjo gracias a las vulnerabilidades de sistemas opera vos obsoletos. Este mes el protagonista fue un ransomware descubierto a fines del año pasado. ¿Pero qué tuvo de novedoso o sofis cado este ataque? Técnicamente hablando, ninguno. Incidentes como este ocurren, por lo menos, una vez a la semana en todo el mundo. Lo único novedoso es que impactó directamente a los bolsillos y bienestar de los estadounidenses: el precio del combus ble subió en más de 5%, no h a b í a ga s o l i n a e n v a r i o s c e n t r o s d e abastecimiento y peligraba el suministro del 45% de combus ble en toda la costa este del país. Este es un claro ejemplo de como los ciberataques pueden afectar a la ciudadanía. La digitalización al igual que la transformación digital en las empresas públicas y privadas están obligando a que las personas accedan a sus servicios a través del ciberespacio, exponiéndolos a una serie de riesgos que desconocen pero que les puede afectar en el mundo real. Es por este mo vo que en esta edición revisaremos el estado actual de las polí cas e inicia vas del gobierno peruano en los procesos de Transformación Digital y la necesidad/urgencia de que sea reforzada y
Es una publicación de CISObeat, organización que integra a más de mil profesionales de la seguridad de la información, de los sectores público y privado.
repotenciada por cualquiera de los dos candidatos presidenciales a la segunda vuelta electoral una vez asuman el poder. Los dos úl mos atentados contra infraestructuras crí cas estadounidenses pudieron minimizarse manteniendo actualizados los sistemas opera vos de sus ac vos afectados. Los que ges onamos ciberseguridad sabemos que la ges ón de parches es un proceso complejo y, en algunas empresas, inexistente. Por ello hablaremos sobre esta problemá ca y cómo evitarla para no sufrir el “síndrome del acumulador de vulnerabilidades”. Así mismo, hablaremos sobre el rol de la ciber inteligencia en incidentes como los mencionados anteriormente; analizaremos la problemá ca del conocido “Shadow IT”, es decir, de la a d o p c i ó n d e s c o n t ro l a d a d e s i s t e m a s informá cos sin la autorización del área de Sistemas o Tecnologías de la Información, y mucho menos, sin el análisis de riesgo del e s p e c i a l i s t a d e c i b e rs e g u r i d a d d e l a organización.
VISÍTANOS
Director: Ernesto Landa Romero. Diseño gráfico: Marco Antonio Zeballos. Coordinadores: Alfredo Alva, Rafael Bocanegra, Gianncarlo Gómez, Heber Maza. Colaboradores: Shirley Villacorta, Elaine Ford, Juan Dávila, Nicanor Sachahuamán.
pg.04 - MAYO 2021
Ciberinteligencia aplicada a la estrategia organizacional.
y tratamiento de tendencias, innovaciones, conflictos, riesgos, brechas e impactos que pueden afectar de forma posi va o nega va en los procesos de negocio y de soporte organizacional. Adelantarse a las necesidades y expecta vas de los consumidores, a los esfuerzos de la competencia o a los contextos inestables de operación, requiere de un proceso de ciberinteligencia que ar cule los siguientes elementos: Ÿ
Ÿ
Ÿ
Juan Dávila
MBA, CISA, CISM, CRISC, ISO 27001 LI&LA, ISO 27032 LCM, ISO 22301 LA, ISO 37001 LA, COBIT 5 F&I&A
D
ado el contexto de explosión de la información que reflejan y describen las operaciones de las organizaciones a nivel global, resulta coherente la aplicación de modelos de ciberinteligencia para aprovechar tal disponibilidad de información con el obje vo de mejorar el aprendizaje y la toma de decisiones para la obtención y el mantenimiento de ventajas compe vas de las organizaciones. El ciclo pico de la ciberinteligencia comprende procedimientos de dirección, planificación, recolección, transformación, análisis, producción, reporte y la difusión del conocimiento obtenido a par r de fuentes internas y externas de información que permitan la medición del desempeño organizacional y su respec va retroalimentación y mejora con nua en su ámbito de operación. La ges ón del conocimiento deriva en la iden ficación, prospec va
Ÿ
Ÿ
Ÿ
Estructura norma va y procedimental para la implementación del ciclo de mejora con nua en ciberinteligencia organizacional. Estructura organizacional adaptada al contexto de operación organizacional, incorporando la figura del iSOC como unidad procesadora de fuentes de información y generadora de conocimiento. Equipos de expertos en modelado, recolección, análisis, explotación y obtención de conocimiento estructurado. Re p o s i t o r i o s d e f u e n t e s i n t e r n a s : Información procedimental, logs transaccionales y de infraestructura de seguridad integral, entre otros. Re p o s i to r i o s d e f u e nte s ex te r n a s : Información contextual compe va, norma va, de ciberamenazas, entre otros. Herramientas y técnicas de soporte en la explotación y correlación de información.
La ges ón efec va del proceso de ciberinteligencia mejorará el soporte a los niveles opera vos, tác cos y estratégicos de la organización que op micen sus esquemas de gobierno y operación para el logro y mantenimiento de ventajas compe vas. Asimismo, permi rá el enlace y soporte a los procesos de resiliencia organizacional, sea en la adaptación a los cambios contextuales, el tratamiento de incidentes, crisis, interrupciones o afectaciones relevantes a la organización. Dados sus beneficios, urge la formación de cuadros expertos en la implementación del ciclo de ciberinteligencia como estructura de soporte para la estrategia y la supervivencia organizacional, en los entornos volá les en los que estamos inmersos. ¤
pg.05 - MAYO 2021
La transformación digital depende de la voluntad política Elaine Ford
Directora fundadora de D&D Internacional Democracia Digital. Presidente de Internet Society Perú (2016-2021) y autora del libro: “El reto de la democracia digital. Hacia una ciudadanía interconectada” (2019).
H
ace unos días me tocó exponer para una universidad en Costa Rica sobre las perspec vas la noamericanas de la transformación digital hacia el 2025. Un análisis interesante, pero desde mi lectura de la realidad, no muy op mista. Especialmente en aquellos países donde se carece de un sistema de par dos polí cos sólido y donde se lleva a cabo un proceso electoral. Perú es uno de estos países. Nos encontramos a menos de un mes de la segunda vuelta electoral. Tenemos dos candidatos de extremos que compiten por llegar a la presidencia. Pedro Cas llo (Perú Libre) y Keiko Fujimori (Fuerza Popular) afilan
día a día los contenidos y mensajes para conseguir nuevos electores o tratar de conquistar al voto aún indeciso. Ambos candidatos, representantes de la izquierda radical y la derecha, respec vamente, enen planteamientos de diversa índole, pero es poco o casi nada lo que se les escucha decir sobre la transformación digital. Es decir, sobre esa visión del Perú para ser un país moderno, eficiente, compe vo e inclusivo digitalmente. Como todos hubiéramos querido llegar a nuestro próximo Bicentenario. Keiko Fujimori ha reiterado en varias ocasiones la “canasta tecnológica” para alumnos y maestros, así como su apoyo a los empren-dimientos. Pedro
pg.06 - MAYO 2021 Cas llo, hace énfasis en la enseñanza y también anunció la creación del Ministerio de Ciencia y Tecnología, pero su plan de gobierno carece de sustento y su equipo técnico es aún desconocido.
En los últimos años en el Perú se han sentado las bases para poder impulsar la transformación digital desde el sector público. Ha sido un proceso lento que recién está despegando. Y temo que este esfuerzo pueda revertirse en el corto o mediano plazo. Sí, debo reconocer que han habido procesos digitales muy interesantes, dignos de destacar, pero aún esto no se puede interpretar como una polí ca pública transversal a todo el aparato estatal. Las fases de avances son muy desiguales entre las dis ntas en dades y no están conectadas. Cada quien avanza a su ritmo: lo vemos a nivel de ministerios, gobiernos regionales y gobiernos locales. Las razones son varias para retrasar o aletargar estos procesos de digitalización, muchas de las cuales radican en la ges ón administra va, tales como: a) No hay con nuidad de las polí cas públicas. b) Alta rotación de autoridades y funcionarios públicos. c) Desconocimiento de los temas digitales. d) Resistencia al cambio. e) Necesidad de modificar el mindset en la cultura organizacional. f) Falta de presupuesto. g) Carenciade una polí ca de comunicación hacia la población. Sin embargo, existe un gran factor que es indispensable para impulsar la transformación digital y que, lamentablemente, no siempre está presente. Es la voluntad polí ca. Recae en la persona, en el líder o en la autoridad velar por la implementación de una estrategia digital, con un enfoque integral y que sea sostenible en el empo. No se trata de dar tabletas o enseñar a usar un programa online. Se trata de tener la visión para poder ar cular las polí cas públicas, los servicios y los programas con la tecnología. Y
dotar también a los funcionarios con habilidades y formación de capacidades para que ellos en endan y se involucren en el proceso de digitalización y no lo sientan como algo externo a su labor. Posiblemente, usted lea esto y diga: “En el Perú hay otras prioridades que atender”. Y yo le pregunto: “¿No cree en el inmenso retorno que nos traerá la inversión en digitalización en el país?” Nuestros candidatos polí cos no deben desatender una polí ca digital que nos traerá más inclusión e igualdad de condiciones; que habilita derechos y libertades; que empodera a la ciudadanía, que moderniza los servicios y trámites; que fomenta los emprendimientos y la economía digital; que propicia la transparencia y la probidad; que impulsa la innovación y modernización en los dis ntos sectores nacionales; que brindará eficiencia y progreso, entre muchos más aportes. Además, queremos un país que compita en las grandes ligas internacionales, por eso es necesario que nuestro próximo gobierno no haga “borrón y cuenta nueva” de lo ya avanzado. Debe priorizar la inversión en infraestructura, garan zar el acceso a Internet y buscar formas alterna vas de conec vidad para las zonas más remotas. Esto será la base para lograr que la transformación digital se afiance en nuestro país y avance progresivamente desde el gobierno central, a las regiones y municipios. ¤
Es el presidente de la República quien debe mostrar esa voluntad política y quien debe comprometerse a que la transformación digital en el país despegue sin retorno.
pg.07 - MAYO 2021
Transformación y Confianza Digital en el Perú
Ernesto Landa
Fundador de CISObeat
H
oy más que nunca se ha evidenciado la importancia de u lizar las tecnologías de la información y comunicaciones como habilitadores claves para el diseño de estrategias que permitan la reac vación económica y con nuidad de servicios apoyados en la transformación digital en beneficio de los ciudadanos. Al migrar los servicios al ciberespacio los exponemos a riesgos que pueden ser tan perjudiciales como en el mundo sico, es decir, el mundo real, en el que interactuamos presencialmente. La buena no cia es que el Estado Peruano es consciente
de ello y se evidencia en las diversas regulaciones y ac vidades que se han venido realizando en los úl mos meses. POLÍTICA DE ESTADO El Fortalecimiento del Marco de Gobernanza Digital involucra a la transformación digital con la creación del Sistema Nacional de Transformación Digital (SNTD) que fue promulgado mediante el Decreto de Urgencia 006. Este Decreto de Urgencia complementa a la Ley de Gobierno Digital, aprobada en el 2018 con el Decreto Legisla vo 1412, dando un claro impulso a lo que hoy conocemos como
pg.08 - MAYO 2021 Transformación Digital desde el punto de vista del fortalecimiento de la tecnología, procesos y personas. Los actores del SNTD son: el Estado, la sociedad civil, la academia, el sector privado y los ciudadanos. Estos actores enen un rol protagónico importante en la definición y diseño de las estrategias y planes de acción. El éxito de este Marco de Gobernanza Digital es responsabilidad tanto de las empresas públicas como privadas que brindan servicios digitales a los ciudadanos con el obje vo de generar un bienestar social y económico. Según el diario El Peruano, la transformación digital fue establecida como obje vo estratégico en la ges ón más de 13 Gobiernos Regionales. CONFIANZA DIGITAL El SNTD también se soporta en el Marco de Confianza Digital emi do a inicios del año 2020 con la aprobación del Decreto de Urgencia 007. Se tomó la decisión de denominar Seguridad Digital y Confianza Digital a aquello que permita garan zar un estado de confianza en las interacciones que realiza la ciudadanía con el estado peruano y las en dades privadas a través del ciberespacio. Este Decreto de Urgencia
ende una mano para empezar a vincular los esfuerzos entre la Seguridad Digital, ciberdefensa, ciberinteligencia y la ciberseguridad en en dades públicas y privadas. Todo esto va acompañado con la protección de los datos personales a cargo del Ministerio de Jus cia y la protección del consumidor, a través de Indecopi, cuando los ciudadanos interactuemos de manera digital con el sector público o privado. La Confianza Digital termina garan zando que se protejan los datos de la ciudadanía, la expecta va del consumidor que compra o vende por Internet y la seguridad de las herramientas y plataformas digitales que el Estado pone a su disposición. CENTRO NACIONAL DE SEGURIDAD DIGITAL En el Perú se ha implementado el Centro Nacional de Seguridad Digital (CNSD) que se encuentra a cargo de la Presidencia del Consejo de Ministros a través de la Secretaría de Gobierno Digital y ene como componentes un observatorio nacional de seguridad digital, un equipo de respuestas ante incidentes, análisis forense digital y una serie de expertos que pueden generar alertas junto con las fuerzas armadas, la división nacional de inteligencia, la DIVINDAT y las mismas en dades públicas y gremios del sector privado que vigilan la Seguridad y Confianza Digital.
pg.09 - MAYO 2021
Fuente: cnsd.gob.pe Taxonomías de Incidentes de Seguridad Digital
El CNSD ene un Registro de Incidentes Digitales que será regulado dentro de poco y proveerá un Sello de Confianza Digital para reconocer a los proveedores de servicios digitales privados que cumplan con reportar incidentes digitales al Estado.
Estado Peruano necesita para poder u lizar y sacar el máximo provecho a los servicios digitales que ponen a nuestra disposición.
DESAFÍOS: En una crisis sanitaria es de vital importancia migrar los servicios de entornos sicos y presenciales a digitales y remotos para evitar la propagación del virus por contagios involuntarios. La comunicación y sensibilización sobre los riesgos digitales representa un desa o que, más que un obstáculo, es una gran oportunidad para educar a la ciudadanía sobre los riesgos ciberné cos que los profesionales de seguridad de la información y ciberseguridad conocemos muy bien, pero que el adulto mayor o el menor de edad promedio desconoce. Enseñarles a comportarse en el mundo ciberné co y explicarles cómo iden ficar fraudes, estafas, posibles extorsiones y otras amenazas latentes propias de la interacción digital ayudará a promover esta Confianza Digital que el
...explicarles cómo identificar fraudes, estafas, posibles extorsiones y otras amenazas latentes...
pg.11 - MAYO 2021
Cómo evitar el síndrome del acumulador de vulnerabilidades En la gestión de Seguridad de la Información.
Shirley Villacorta
Ing. de Sistemas, Magister en Auditoria, CISA, COBIT5F, ISO 27032 LCM, ISO 27001 LA, LCSCP, OKRCP.
E
s interesante reconocer que es una tendencia en nuestra naturaleza ir olvidando el impacto de riesgos crí cos conocidos, sobre todo cuando la ocurrencia de estos parece cada vez más improbable. Sucede en todo el mundo y en todos los aspectos de la sociedad. Desde realizar una edificación en una zona donde ocurrió un desastre natural porque ya no sucede hace más de 50 años, aplazar la adquisición de una maleta de emergencia porque no ocurre un sismo de gran magnitud hace más de 80 años o casos más recientes, como cuando vemos personas que deciden quitarse las mascarillas en zonas altamente concurridas por ingerir “brevemente” alimentos olvidando que son propensos al coronavirus. En cualquier caso, el olvido presenta el mismo comportamiento pernicioso dentro del proceso de prevención de riesgo. Si bien al ocurrir el
evento de riesgo de categoría crí ca, los roles analizan lo sucedido y se establecen ac vidades preven vas con la expecta va de que estos perduren en el empo, al no repe rse el evento de riesgo (o darse con menor frecuencia), se van presentando señales que van an cipando la aparición del síndrome del “acumulador de vulnerabilidades” y las posiciones propensas al riesgo van encontrando jus ficiaciones. En el presente ar culo, analizaremos el olvido y el síndrome del acumulador de vulnerabilidades en el campo de la seguridad de la información/ ciberseguridad, y qué debemos hacer para evitar que este síndrome debilite el obje vo de los programas de seguridad, el rol del CISO o la perdurabilidad de los esfuerzos realizados en la ges ón de riesgos de seguridad de la información / ciberseguridad.
pg.12 - MAYO 2021 ANTECEDENTES Es bien conocido que todos los días se emiten estudios, guías, reportes, webminars y ar culos de proveedores, consultoras, ins tutos especializados y profesionales que nos explican la importancia de contar con una adecuada ges ón de vulnerabilidades y la aplicación de parches oportuna. Sin embargo, las estadís cas revelan que el éxito de los ataques ene como causa raíz el empo que toman las empresas para aplicar los parches de seguridad. Por ejemplo, el ataque de ransomware que afectó a la compañía estadounidense Colonial Pipeline, y en el que un reciente ar culo del MIT Technology Review expone que Darkside aprovechó "exploits de día cero" antes de que se fueran parchados. De igual manera, en marzo de este año, se difundió a través de diversos medios que una vez conocidas las vulnerabilidades de los Exchange Servers On Premise, diversos atacantes iniciaron los escaneos. ¿Cuántos días en promedio toma aplicar parches de seguridad?
El desequilibrio deviene de no conocer que el rango ideal de aplicación de 3 a 5 días. Las razones de los altos empos que demandan la aplicación de parches son diversas, desde no contar con entornos de prueba para evaluar el impacto de los parches, la presión que pueden ejercer las áreas de negocio priorizando cambios a programas en lugar de la aplicación de parches, pero la mas peligrosa aparece cuando no hay respuesta a la pregunta de ¿si es necesario aplicar el parche? Y ¿cuál es la probabilidad de que la empresa sufra un ataque si no se aplica el mismo? ¡Vaya situación! Porque si no conocemos la respuesta de manera clara, el subtexto de esta decisión es que la adopción de mejores prác cas solo se realizará cuando la empresa se vea comprome da¹, en tanto se puede convivir con el riesgo. Así podríamos estar abriendo la caja de pandora de la ges ón de vulnerabilidades. ¿CUÁLES SON LAS CARACTERÍSTICAS DE UNA EMPRESA CON EL SÍNDROME DEL ACUMULADOR DE VULNERABILIDADES?
LA DEMORA EN LA GESTIÓN DE PARCHES Muchas empresas, sea por la crisis o porque aún están en proceso de implementación, carecen de un proceso maduro de ges ón de ges ón de parches, observándose con alarma que el empo promedio de aplicación de parches ha adoptado cifras preocupantes, más de 60 días o inclusive vulnerabilidades conocidas desde hace más de un año (como las de Windows 7).
El escenario más crí co que describe el síndrome, algo así como un DEFCON 1, son empresas donde existe una pobre implementación del marco de ges ón de riesgos empresarial y de tecnología, y sin dudar el gobierno y ges ón empresarial va en contra corriente a todos los obje vos orgánicos de la seguridad de la información. A nivel de indicadores podría estar representado por entornos tecnológicos que soportan operaciones core, y que corren en so ware en “End of Life” o con vulnerabilidades no remediadas por más de 90 días, sin planes de mi gación. Suelen convivir con las vulnerabilidades ac vas, categorizando el riesgo de ataque como bajo a pesar de la cri cidad descrita en los CVE, debido a que no hay indicios de que estén siendo atacados. Asimismo, enen como mantra de jus ficación que no hay presupuesto a corto plazo para dar solución a estas vulnerabilidades.
¹En 2021 casos como los de SolarWind y las vulnerabilidades de día 0 en los servidores on-premise de Exchange hicieron nuevamente un efecto campana.
pg.13 - MAYO 2021 Este po de empresas solo dejará atrás las trabas que regularmente retrasan la ges ón de vulnerabilidades o la aplicación del parche de seguridad si vive el journey del ciberataque. De ser el caso, hará exactamente lo contrario a lo que sos ene, detendrá el negocio para atender el incendio, ac vará presupuestos no planificados, el backlog de pases a producción cambiará y colocará de manera temporal en el podio de honor las propuestas de seguridad/ciberseguridad para la foto. Inclusive, no verá a profundidad la cadena de ataque, entendiendo que si ha dejado de recibir un ataque ac vo entonces ha salido “bien librada”. Eso sí, esta experiencia no será lo suficiente memorable, pues eventualmente volverá a la costumbre.
ningún servidor o servicio y no hay presupuesto para implementarlos. Pueden seguir colocando ckets, pero serán atendidas cuando no haya carga o sea prioridad para el negocio. Ÿ 2 .Desplegar actualizaciones hacia los usuarios finales interrumpe la produc vidad. Y con el teletrabajo, la actualización desde casa requiere un consumo elevado de ancho de banda. Ÿ 3.Los encargados de alertar sobre vulnerabilidades son los de seguridad, nosotros hacemos lo que ellos deciden.
Si hasta esta parte, su empresa no se encuentra bajo esta descripción, ¡enhorabuena! No obstante, lo/la invito a que hagamos una evaluación más profunda y descartemos en dos frentes si las siguientes alertas podrían estar o no presentes: Alertas del síndrome acumulador en la postura del gobierno empresarial: El C-level ha malentendido que la ges ón de ciberseguridad es costosa y que el fin de esta es únicamente asegurar que la empresa no será atacada. No encuentra relación entre la ges ón de vulnerabilidades y la ges ón de riesgos empresarial, y podría considerar que sus indicadores son únicamente de carácter técnico. El presupuesto de ciberseguridad puede ser inexistente o muy austero, por lo que no se realizan evaluaciones de vulnerabilidades y la arquitectura de seguridad podría carecer de elementos claves. Alertas del síndrome, cuando seguridad y tecnología no encuentran un lenguaje común: Aunque irónico, porque indiscu blemente ambas áreas enriquecen sustancialmente al negocio y buscan estar alineadas a los obje vos de este, aún encontramos empresas en las que en lugar de encontrar dialogo entre las áreas de seguridad y tecnología, escuchamos constantes “Dracarys” entre ellos. Algunos ejemplos Ÿ
1. No tenemos entornos de prueba para
¿CÓMO EVITAMOS CAER EN EL SÍNDROME DEL ACUMULADOR DE VULNERABILIDADES? La primera acción que debemos adoptar de manera con nua es estar atentos a los indicios descritos y los cues onamientos adversos al riesgo que alientan sin fundamento técnico que al no haber sido atacados, no hay peligro de exposición hacia la empresa. Es vital que el equipo de seguridad de la información /ciberseguridad par cipe de manera ac va en comités de pases a producción, en el seguimiento de atención sobre los ckets de aplicación de parches, revisar las cláusulas de responsabilidad que enen los terceros al demorar la aplicación de parches y desarrollar indicadores con umbrales para no dejar al libre albedrío o interpretación lo que es oportuno o no. De encontrar indicios, empezar una campaña de concien zación, análisis de riesgos y esclarecimiento será clave. Recordemos que una vez que la excepción es permi da, la siguiente solicitud se podrá volver la regla.
pg.14 - MAYO 2021 Como segunda acción debemos evaluar el posicionamiento y entendimiento de la ges ón de parches como prioridad en la organización revisando indicadores. Si las cifras revelan que el empo promedio es mayor a 5 u 8 días, el acumulador de vulnerabilidades ya logró enquistarse en la cultura organizacional y debemos erradicar su existencia. En este punto, se sugiere un plan de emergencia para la ges ón del cambio en relación con la seguridad de la información (sugiero seguir los 8 pasos de Ko er) y asegurar que ges ón de riesgos empresarial y de Seguridad están alineadas bajo un mismo lenguaje de negocio. Como tercera y penúl ma acción, adoptar las mejores prác cas que sean más adecuadas para la empresa. En este sen do tenemos una vasta literatura, de las cuales recomiendo revisar:
Nuestra comunidad sigue creciendo
Sígue nuestros PODCASTS
1. Del Ins tuto Nacional de estándares y Tecnología del gobierno de estados unidos (NIST – por sus siglas en inglés), la Publicación Especial 1800-31A, Improving Enterprise Patching for General IT Systems, el Cri cal Cybersecurity Hygiene y la publicación especial 800-40 v3 Guide to Enterprise Patch Management Technologies Ÿ 2 . De Garner, The New Vulnerability Management Guidance Framework. Y del Ins tuto Georgia Tech el modelo de madurez propuesto para la ges ón de vulnerabilidades. Ÿ
Finalmente, recordar que el acumulador de vulnerabilidades solo aparecerá cuando la empresa no ene un buen entendimiento de la ges ón de riesgos de seguridad de la información. ¤
VISÍTANOS
pg.15 - MAYO 2021
El Shadow IT Cloud en la Nueva Normalidad. Nicanor Sachahuamán
Ejecu vo senior especializado en Ciberseguridad y Gobierno TI | Director de Membresía CSA Chapter Perú
El Shadow IT está poniendo en riesgo los entornos de nube, por ello en este ar culo se presenta la problemá ca y algunas posibles soluciones antes que la sobra cubra totalmente a TI y sea demasiado tarde. Hasta diciembre del 2020 y debido a la coyuntura el uso de soluciones alojadas en la nube pública se ha incrementado en 20% en comparación a diciembre del 2019, esto según estudio realizado por la empresa Netskope, quienes atribuyen dicho incremento a la pandemia del COVID-19 y al cambio repen no al trabajo remoto. Adicionalmente, se presentan los resultados del VII (2019) y VIII (2020) estudio sobre el estado del arte de Seguridad en la Nube publicado por el CSA, referidos al Shadow IT en Perú:
Para el 2019 se enen los siguientes resultados: Sigue siendo un fenómeno entre el mito y los datos. Ÿ Baja al 11% la certeza de que está ocurriendo. Ÿ Necesidad de más información Ÿ Falta aún información sobre Shadow IT para despejar su mito o realidad Ÿ
Conclusión General:
Los servicios en la Nube son menos frecuentes y ligeramente menos graves
pg.16 - MAYO 2021 Para el 2020 se enen los siguientes resultados: El 33 % de los encuestados valoran nega vamente al Shadow IT Ÿ El 20.63 % de los encuestados indican que el Shadow IT ocurre en algunas áreas puntuales
Ÿ
Conclusión General:
Se confirma la existencia del Shadow IT para la nube Tal y como podemos observar en los resultados del estudio del arte del CSA para el 2019 y 2020, en el primer año el problema era considerado como menor y para el úl mo año se confirma la existencia del problema en las organizaciones peruanas.
mento del uso del BYOD, Cloud, SaaS, BPaaS, Hos ng, Housing, Servicios Terceros, entre otros, está agravando el problema. Si no se controla el uso de estas tecnologías y servicios, los colaboradores pueden generar una serie de riesgos de seguridad y cumplimiento regulatorio, generando un impacto nega vo a las organizaciones. Se podría resumir que el Shadow IT Cloud se origina en las siguientes situaciones: Ÿ Ÿ
Ÿ
Ÿ
Es posible atribuir la existencia del Shadow IT Cloud en nuestro medio debido a la masificación del uso de aplicaciones libres y/o especializadas alojadas en la Nube, sobe todo en su modalidad SaaS, y es que están a libre disposición de los colaboradores, y para acceder a ellas solamente se requiere una suscripción por medio de una página web simple. Esto hace que este po de servicios sea muy atrac vo para los colaboradores que requieren acceder a ciertos datos en cualquier lugar y en cualquier disposi vo, especialmente si carecen de una autorización para hacerlo mediante soluciones aprobadas por la empresa. En esta nueva normalidad y post pandemia es decir posterior al COVID-19, el trabajo remoto se ha conver do y posiblemente con núe como una necesidad, por ello las áreas de TI y seguridad enen mucha menos visibilidad y control sobre los servicios y aplicaciones que los colaboradores adoptan y usan desde sus hogares. El Shadow IT ha sido un problema importante para las áreas de seguridad y TI durante décadas y ahora con la llegada de tecnologías digitales y producto de la pandemia el incre-
Ÿ
Ÿ
Colaboradores / Developers u lizan servicios en la nube (sin la autorización de TI) Socios / Clientes que se conectan a la organización mediante servicios en la nube (sin la autorización de TI) Aplicaciones internas desarrolladas y u lizadas por las áreas del negocio (sin la autorización de TI) Usuarios adoptan aplicaciones o herramientas de terceros no aprobadas para eludir las restricciones y polí cas de la empresa Usuarios que acceden a herramientas de colaboración en la nube con funciones como intercambio de archivos, transferencia de archivos de nube a nube y almacenamiento de archivos en línea (Sin la autorización de TI) Colaboradores que consideran a las soluciones en la nube adoptadas por su cuenta como más efec vas o convenientes que las opciones aprobadas por la empresa, además de evitar procesos de TI prolongados y el riesgo de negación, prefieren pedir perdón que permiso.
Por ello es importante que los colaboradores tengan claro el uso autorizado de tecnologías debidamente estandarizadas y aprobadas por el área de TI. Sobre todo, ahora en que las operaciones están usando aplicaciones alojadas en la nube y en un entorno empresarial en el que los colaboradores trabajan lejos de la supervisión de TI. En consecuencia, se hace preponderante la gobernanza de estas nuevas tecnologías sin dejar de lado el gobierno de las tecnologías tradicionales, y así evitar que el problema siga empeorando.
pg.17 - MAYO 2021 De acuerdo con una publicación de Gartner “Integrate ‘Shadow IT’ and Business-Led IT Into the I&T Opera ng Model to Enable Enterprise Agility”, existen algunos pos de soluciones y sabores del Shadow IT.
DD
App Originado y no declarado por Negocio App No it
Busin ess TI
App Originado y declarado por TI
App Negocio App Originado y declarado por Negocio
User IT
Digital IT
Por ello es necesario definir una estrategia para afrontar el problema, por lo que se debe definir caracterís cas principales para denominar a cada po de aplicación u lizada en la organización, los cuales van desde documentos digitales (DD), Aplicaciones originadas y no declaradas por el negocio ( App No IT ), Aplicaciones originadas y declaradas por el negocio (App Negocio), Aplicaciones originadas y declaradas por IT (App IT). Queda claro que los documentos digitales (DD) según definición podrían ser generados por los usuarios del negocio, las App No IT serian las que no podrían ser generados por los usuarios del negocio y además serian sancionadas a esto Gartner lo llama Business IT, para las aplicaciones originadas y declaras por el negocio (App Negocio) se deben definir criterios claros para limitar su desarrollo, según Gartner este po de aplicaciones se sub divide en cuatro grupos, por lo que dependerá del ape to del riesgo que maneje la organización para que permita que las unidades del negocio puedan desarrollar este po de aplicaciones,
Gray IT
AppIT Low
AppIT High
Deep IT
de esta manera podemos obtener aplicaciones User IT, Digital IT, Gray IT, Deep IT, para Gartner las aplicaciones denominadas Deep IT no deben ser originadas por la unidades negocio ya que son mas complejas y para ello tenemos al área de TI; Sin embargo, queda la duda de quien tendría que desarrollar y operar las aplicaciones de las áreas de innovación y es que TI usualmente se ocupa de aplicaciones formales no de aquellas aplicaciones que se vienen encubando en el negocio y es que son altamente cambiantes. La decisión del po de aplicaciones que se deben permi r en las unidades de negocio debe estar a cargo de la alta dirección representada en algún comité ya sea de Gobierno Corpora vo , Gobierno TI o de Riesgos, para ello las áreas de TI y seguridad deberán trabajar colabora vamente en la definición de una estrategia. A con nuación, se presenta algunas estrategias que podemos considerar.
pg.18 - MAYO 2021 Como podemos observar existen tres estrategias para afrontar el problema del Shadow IT ya sea en Cloud o en On Premise, algunas organizaciones podrían adoptar el DevSecOps para agilizar el desarrollo de TI con esto op mizamos el código y otras organizaciones podrían adoptar una plataforma de bajo código para que TI desarrolle aplicaciones en muy poco empo o para que los usuarios del negocio desarrollen sus propias aplicaciones, a esto le llamamos minimizar código. Es posible que algunas organizaciones maduras adopten ambas estrategias ya sea el de op mizar el código y minimizar el código de sus aplicaciones. Sea cual fuera la elección de op mizar o minimizar el código en ambos casos se requiere un Gobierno TI efec vo que regule el desarrollo y uso de aplicaciones en el negocio. El siguiente gráfico muestra el uso de la Plataforma Low Code como parte de la estrategia.:
posición de los usuarios del negocio y TI, sino que también deberán estar basadas en buenas prác cas internacionales como COBIT e ISO 38500, además de considerar las recomendaciones de organizaciones especializadas en Nube como el: Cloud Security Alliance, Cloud Creden al Council o Arcitura. A con nuación, se presentan algunos beneficios que trae la implementación de estas estrategias: Ÿ Ÿ
Ÿ Ÿ Ÿ Ÿ Ÿ Ÿ
Como podemos observar se muestran algunos ejemplos de herramientas que se podrían usar para habilitar la plataforma de Low Code de acuerdo con los grupos de usuarios para las App Negocio definidas por Gartner. Así mismo, se presentan algunas herramientas de seguridad que se deberían tomar en cuenta para dicha plataforma, como: RMS, CASB, UEBA y DLP. Esto asegurará y controlará en mejor manera el desarrollo de las aplicaciones del negocio, evitando que los usuarios incumplan los lineamientos definidos en las Polí cas Shadow IT. Para el desarrollo de dichas polí cas Shadow IT se hace importante un modelo de Gobierno de TI, ya que los lineamientos que estas polí cas contengan deberán estar basadas no solamente la
Control de la retención de datos evitando la fuga de información Facilita la Clasificación de datos ya que se encuentra en un ambiente controlado “Jardín Amurallado” Permite aprovechar las ventajas del shadow IT frente a la transformación digital Facilidad para iden ficar las aplicaciones que desean usar los usuarios TI Facilidad y rapidez para desarrollar aplicaciones Reducción de costos de almacenamiento y backups Ayuda a la compe vidad de las empresas y eleva la produc vidad de los empleados Permite aprovechar las bondades del cloud en aplicaciones consideradas inicialmente como Shadow IT
Para finalizar les dejo un mensaje de Jacek Materna de NetFlix, “Shadow IT fue el catalizador para la adopción de las cosas que hacen de nuestro mundo lo que es hoy en día: la nube, las tecnologías móviles y de big data, no se trata de compe r sino de colaborar”.