Infoblox Inc., líder en servicios de red seguros y gestionados desde la nube, ha hecho pública una nueva edición de su estudio “What’s Lurking in the Shadows 2020”, que analiza los importantes retos de gestión y seguridad que la irrupción de BYOD y el fenómeno de “Shadow IT” suponen para la seguridad de la red y los activos de TI de las organizaciones.
El estudio se ha llevado a cabo mediante encuestas a 2.650 profesionales de TI de empresas y organizaciones de diferentes países, incluyendo 501 profesionales españoles, de diferentes sectores y Comunidades Autónomas, y ha tenido por objetivo conocer la incidencia y los riesgos de seguridad que tiene para los sistemas de TI corporativos el uso por parte de empleados de dispositivos no autorizados y/o la utilización de aplicaciones y dispositivos no controlados por el departamento de TI de la empresa, lo que se conoce como “Shadow IT”.
Crecimiento en el número de dispositivos “Shadow IT” conectados
Se consideran dispositivos “shadow IT” todos aquellos dispositivos conectados a la red que no están dentro de los esquemas de gestión del departamento de TI, ya sean dispositivos personales no corporativos como portátiles, teléfonos móviles, tablets, rastreadores de actividad física o dispositivos inteligentes para el hogar, como asistentes de voz o dispositivos IoT instalados sin la autorización o conocimiento del departamento, y que van desde puntos de acceso hasta sensores o todo tipo de equipamiento industrial.
Desde la anterior edición del informe, el número de dispositivos conectados a la red ha crecido en términos globales, ya que el porcentaje de profesionales que manifiestan tener conectados a la red más de 1.000 dispositivos ha pasado del 75% al 80%.
En términos globales, un 62% de los profesionales encuestados manifiesta tener más de 1000 dispositivos “Shadow IT” conectados en su red. Por países, las cifras varían considerablemente. El país que presenta menor número de dispositivos no controlados es Estados Unidos, ya que sólo un 48% de los encuestados manifiesta tener más de 1.000 dispositivos no controlados, seguido de España, con un 58%. En el otro extremo están Alemania y Países Bajos, en el que el 70% de los encuestados dice tener más de 1.000 dispositivos no controlados.
Haciendo un análisis más granular de los datos relativos a España, se puede ver que en los dos segmentos con menor número de dispositivos no controlados (“menos de 1.000” y “entre 1000 y 2000”) nuestro país supera la media. En el resto de segmentos está por debajo.
Esto significa que las empresas españolas tienen a priori un menor riesgo potencial para las organizaciones de estos países, bien porque la cifra de dispositivos conectados sea menor o porque hay un mayor control sobre dichos dispositivos “BYOD”.
Se ha interrogado también a los profesionales de TI sobre el crecimiento del fenómeno de “Shadow IT” en sus redes. Esto es especialmente importante por la amenaza que supone para la red y los activos de TI la aparición de nuevos casos de dispositivos “Shadow IT” en la red. El fenómeno está ampliamente extendido. El 75% de los encuestados manifestaron haber detectado algún caso en los últimos 12 meses. De nuevo, por países las cifras varían. Mientras que en Estados Unidos y Reino Unido el porcentaje de empresas en las que se dio el fenómeno fue del 63% y 71% respectivamente, en Países Bajos fue del 89%. En el caso de España, el porcentaje está de nuevo ligeramente por debajo de la media, con un 74%
Profesionales cada vez más concienciados
Un aspecto positivo revelado por la encuesta es que las organizaciones están cada vez más concienciadas del riesgo que supone la falta de control sobre estos dispositivos, y muchas han implementado o están en vías de implementar medidas de seguridad frente a estas amenazas potenciales.
Al ser preguntados por el grado de preocupación al respecto, en términos globales, un 28% se ha mostrado muy preocupado, un 38% moderadamente preocupado, un 23% algo preocupado y sólo 8% manifiesta no estar preocupado en absoluto.
La preocupación entre los profesionales españoles es mayor: un 76% manifiesta estar muy o moderadamente preocupado por la amenaza que suponen los dispositivos no controlados. Un 19% dice estar algo preocupado y menos del 4% dice no estar preocupado en absoluto. Alemania es el país en que el grado de preocupación es menor.
Principales factores de preocupación para los responsables de TI
A aquellos responsables de TI que han manifestado su preocupación por las amenazas de red se les ha preguntado también por las principales causas de dicha preocupación. En general, es precisamente la presencia de dispositivos IoT no controlados o securizados la preocupación (25%) más importante después de la falta de personal cualificado para gestionar este tipo de entornos (28%). Les sigue la presencia de dispositivos BYOD en la red (19%) y equipamiento industrial (sistemas de aire acondicionado, videocámaras, equipos médicos, 18%). En España, los resultados son similares, aunque la preocupación por la falta de personal cualificado es ligeramente superior (33%).
Gestionar el riesgo
Fruto de esta preocupación es que la mayoría de las empresas están implementando políticas de seguridad para toda la organización. En términos globales, el 89% de los encuestados han manifestado contar con políticas de seguridad específicas para dispositivos BYOD/IoT personales que se conectan a la red, frente al 8% que manifiesta no tenerlas. En el caso de España, los porcentajes son similares (88,82% frente al 7,19%).
Sobre la eficacia de dichas políticas, el 46% de los encuestados considera que son muy efectivas, otro 46% que en general son efectivas, un 7% que son medianamente efectivas y sólo el 0,5% que no son efectivas en absoluto. En el caso de España, los porcentajes varían: La mayoría, un 62% consideran que son efectivas en general, mientras que solo el 34% las considera muy efectivas. Casi un 4% las considera medianamente efectivas y ninguno las considera inútiles del todo.
Seguridad en entornos distribuidos
A medida que las empresas se internacionalizan, el número de sucursales y ubicaciones remotas continúa aumentando. Esta proliferación de los entornos distribuidos tiene serias implicaciones de seguridad, ya que las delegaciones y oficinas remotas son a menudo menos ágiles a la hora implementar políticas de seguridad. En cuanto a la preocupación por la seguridad en este tipo de entornos y cómo gestionarla, los profesionales se muestran en su mayoría muy o moderadamente preocupados (65%). Un 23% se muestra algo preocupado y sólo el 8% manifiesta falta de preocupación. En el caso español, la preocupación es mayor. Un 75% se muestra muy o moderadamente preocupado por este problema, un 18% poco preocupado y sólo un 4% no se muestra preocupado en absoluto.
En cuanto a las políticas de seguridad que tienen implementadas para gestionar las oficinas remotas, un 89% de los encuestados manifiesta disponer de políticas de seguridad corporativas para toda la red, tanto en la sede central como en las oficinas remotas, frente al 8% que manifiesta carecer de ellas. Los porcentajes son muy similares en el caso de España.
Con relación al estudio, José Canelada, director de Ingeniería de Sistemas para el Sur de Europa de Infoblox, ha comentado: «Aunque la concienciación sobre los riesgos que genera el fenómeno BYOD/Shadow IT ha ido en aumento, la complejidad de gestión también lo ha hecho. Los dispositivos IoT no protegidos o controlados son un objetivo principal para los ciberdelincuentes, y un riesgo enorme para las empresas, que ven crecer drásticamente la superficie de ataque de la organización. A medida las empresas se hacen globales con arquitecturas de red más distribuidas, – continúa Canelada – la complejidad de la gestión todavía se incrementa un grado más. Una política de seguridad bien orquestada y consistente en toda la red es imprescindible, y es ahí donde los servicios de gestión de red y seguridad aportan todo su valor”.