1

Comportamientos riesgosos de CEO que comprometen la seguridad

El crecimiento del Shadow TI es una de las consecuencias fundamentales de los riesgos que los CEO toman sin evaluar a fondo.

CIO AMÉRICA LATINA | Por Elibeth Eduardo | @ely_e

Cuando los tomadores de decisiones de negocios deciden eludir los controles de seguridad, normalmente están tratando de obtener eficiencia operacional, no poner a la organización en riesgo.

Pero incluso cuando se hace con buena intención, esto es lo que están creando.

Un estudio reciente realizado por Code42 encontró que los directores generales son los responsables principales de la llamada shadow TI o TI paralela, aunque saben que la misma es un riesgo.

El estudio mostró que:

  • 75% por ciento de los CEOs y;
  • Más de la mitad (52%) de los tomadores de decisiones de negocios (BDMs) admiten que…
  • …utilizan aplicaciones o programas que no son aprobados por su departamento de TI.

Para el VP y COS de Code42, Rick Orloff, lo expuesto es un buen ejemplo de lo que intenta decir el adagio: “Queremos tener nuestro pastel. Hay que comerlo también”.

“Ellos sólo quieren hacerlo a su manera. Estos comportamientos son, posiblemente, una indicación de que su persona de seguridad de alto nivel no se está ocupando lo suficientemente de los altos segmentos de la organización”, explicó el especialista.

Reporte a la altura correcta

Orloff destaca además que, cuando la gente de seguridad senior está reportando al CEO o al COO, estoss tienen una mejor comprensión de lo que está sucediendo y pueden hacer arreglos para permitir la implementación de herramientas que se pueden usar correctamente.

“[El shadow TI] es un problema que puede evitarse fácilmente si el responsable de la toma de decisiones de seguridad informa a la c-suite”, destacó.

Por supuesto, la gente de la c-suite no son los únicos culpables de estas conductas in-seguras que toca derrotar.

Orloff señala que, en algunos casos, son los propios ejecutivos de seguridad quienes invitan al riesgo.

“Ellos descargan una herramienta y resulta que la herramienta tiene todo tipo de riesgo con ella”, lamentó el especialista.

Medir las consecuencias

Un ejemplo de esto sería el hackers sombrero blanco que descarga una herramienta de craqueo de contraseñas para probar la dificultad de las de la organización.

Primero hace cracking con las contraseñas. Luego crea problemas de cumplimiento. Hay una manera de hacer eso sin comprometer el sistema, pero tiene que ser pensado con bastante cuidado”, destacó Orloff.

En el caso de los ejecutivos que utilizan shadow TI, Orloff estima que, probablemente, no tienen buenas relaciones con los profesionales seguridad.

Sin embargo, el cofundador y director de tecnología de Bay Dynamics, Ryan Stolte, considera que los profesionales de la seguridad deben ver los comportamientos autodestructivos como un problema de sobrecarga de información.

“El problema omnipresente es que hay demasiados datos sobre vulnerabilidades y amenazas que vienen en nuestros profesionales de la seguridad”, señala Stolte

Indefensión aprendida

Esto es un problema porque, cuando los ejecutivos se sienten abrumados, fallan en confiar en sus instintos.

“Confían en su experiencia y asumen que no pueden confiar en los datos que entran”.

Según Stolte, el hecho de que las organizaciones son vulnerables y aparentemente están siendo atacadas desde todas partes. Por esos es fácil que algunos se dejen aplastar bajo todas esas alertas, y cuando lo hacen, empiezan a retroceder en lo que les ha funcionado en el pasado.

El que las ejecutivos de seguridad se estén ahogando en el ruido terminan haciendo que tengan mentalidad de cazador y abandonan los datos en sí. “Deben controlarse y buscar patrones muy específicos que han tenido éxito en el pasado”, dijo Stolte.

Destacó e ejecutivo que suele pasar que, después de un ataque, cuando envían los expertos forenses, estos encuentran que la evidencia estaba allí, aunque nadie la vio o interpretó correctamente.