Con un nombre de película de terror doblada al español me refiero al popular Shadow IT
Básicamente me refiero al descontrol tecnológico que se vive actualmente, o a caso sabes el 100% de las cosas que corren en tu infraestructura?
A qué refiere?
En criollo:
Si me pinta instalo un software o contrato un servicio a las sombras de las áreas de IT de la organización en la que trabajo
Algo un poco más formal
El término Shadow IT (tecnología en la sombra) se refiere al uso de dispositivos, aplicaciones, servicios o sistemas de información sin la aprobación o conocimiento del equipo de TI (Tecnologías de la Información) de una organización. Esta práctica puede tomar muchas formas y violar casi todas las iniciativas de cumplimiento.
El Shadow IT puede exponer a las organizaciones a riesgos, como:
- Incumplimiento legal y/o normativo
- Fragmentación de la seguridad de los datos → existencia de múltiples zonas de seguridad
- Pérdida de control sobre datos sensibles
- Uso de software o aplicaciones que incumplan los reglamentos, leyes o estándares
- Consecuencias legales, juicios, multas o afectación a la reputación de la organización
Ahh todos a los gritos y corriendo en círculo. Que hacemos??
Los de seguridad nos encanta llamar la atención e infundir pánico en los rangos alto.... Si se te dibujo una sonrisa es porque ya te paso pillin 😉
En un problema que sufren todos (espero que llegue del futuro se encuentre resuelto), no importa tamaño o tipo de organización.
Claramente es un problema de seguridad y áreas de IT, un problema compartido lo que implica trabajar en conjunto.
Bien, hasta acá nada nuevo y como que la seguridad entrega en bandeja el problema para que las áreas de TI lo resuelvan, claro quien gestiona los activos de TI?
Es un proyecto en conjunto porque desde seguridad nos interesa consumir un inventario que este todo para saber al universo de elementos que debemos analizar y segurizar, porque están ahí y aunque sea instalado por un usuario de forma no controlada puede ser el vector de entrada para un ataque. Una vez identificado se ve como se trata ese riesgo, otra vez lo mismo? Si, todo termina como un riesgo, es un concepto que no desaparece por más que pasen los años y desde seguridad debemos siempre utilizar (antes que los scripts 😉)
Ok, entonces a rasgos generales ya podemos pensar en un plan:
- Definir el nivel de inventario (todo es igual a nada)
- Identificar todos lo que está instalado (físico y lógico)
- Lo que tenemos está homologado?, o sea es nuestro oficialmente?
- Remediar, o sea tomar acción para cada caso identificado
- Documentar
- Mejorar política sobre uso y contratación de recursos tecnológicos
- Volver a empezar (ciclo de mejora continúa)
Sin el último paso quedamos en una foto de única vez que pierde validez a los pocos días (o sea trabajo tirado a la basura 🚮), típico cuando se contrata la consultora para cumplir únicamente (sí, lo vi varias veces lamentablemente 😢).
Entonces después de tanta cháchara, ya tenemos los objetivos, quiero meter mano!. Espera espera espera, falta un concepto mas!
CMDB
Proveniente del contexto ITIL, las siglas corresponden a la "Base de datos de la gestión de configuración"
Representa la configuración autorizada de todos los elementos
significativos del entorno IT. El propósito principal de la CMDB es
ayudar a la organización a entender las relaciones entre todos estos
componentes, y mantener el seguimiento de sus configuraciones.
Un poco mas explayado, es una base de datos que contiene detalles relevantes de cada CI (ítem/elemento de configuración) y de la relación entre ellos, incluyendo el equipo físico, software y la relación entre incidencias, problemas, cambios y otros datos del servicio de TI. La CMDB es un repositorio de información donde se relacionan todos los componentes de un sistema de información, ya sean hardware, software, documentación, etc.
Nos esta diciendo que el inventario es fundamental, como punto de partida para gestionar nuestros activos, siendo el input en proceso en escaneo de vulnerabilidades, cambios de software/hardware, planificación de compras para ampliación, incidencias relacionadas, etc.
Basta de teoría, al Inventario !
Todo esta teoría se plasma en a un software de inventario. La mecánica siempre es la misma: instalación de un agente que reporta a un repositorio central y desde ahí se pueden hacer consultas para el análisis de datos.
Hay muchos software de este tipo, pero se puede empezar con OCS Inventory que es open source.
Otros comerciales como InvGate Insight, qu tuve la oportunidad de utilizar, me pareció muy práctico también.
Pero eso solo cubre software instalado, no portable y hardware que tengan un SO compatible el agente, faltando cosas como:
- Servicios en la nube
- Dispositivos de Red (routers, swtichs, AP)
- Impresoras y otros periféricos
- DVRs y Cámaras de vigilancia
- IoT (aires acondicionados, TV, tomógrafos, cerraduras remotas, etc)
Antes que nada es un gran paso; si se está en una situación mejor que la actual vamos por buen camino, consulta este post donde hablo de eso.
Los discovery de red (clásico escaneo) son de mucha utilidad, más si se combina con soluciones IPAM , podremos encontrar routers , switches y otras cosas en medio de nuestra red que nunca fueron autorizadas
Hasta acá bordamos el paso 1 de nuestro plan para Identificar (en lo posible) lo que tenemos.
En principio un buen inventario (incluya lo cloud) con un registro que se da de alta y baja actualizada, nos va llevar por un buen camino y evitar muchos dolores de cabeza 🤯
En un próximo post cuento las desventuras de planificar un software de inventario con las diferentes áreas de IT
Referencias
- https://loggle.io/knowledgebase/shadow-applications
- https://en.m.wikipedia.org/wiki/Shadow_IT
- https://www.welivesecurity.com/la-es/2020/08/20/shadow-it-que-es-riesgos-puede-causar-empresa/
- https://www.incibe.es/empresas/blog/shadow-it-lo-que-hay-en-la-sombra-de-tu-organizacion
- https://es.wikipedia.org/wiki/Base_de_datos_de_la_gesti%C3%B3n_de_configuraci%C3%B3n
0 comments:
Publicar un comentario