El incremento de personas que trabajan a distancia ha potenciado en las empresas el uso de software, hardware y servicios de tecnologías de la información (TI) que no han sido formalmente aprobados y desplegados. Esta práctica es conocida como shadow IT y, desde el punto de vista de ciberseguridad, representa un desafío importante por el desconocimiento del riesgo que pueden implicar las diversas herramientas que utiliza el personal.
Los casos más comunes de shadow IT son el software ilegal o sin licenciamiento, servicios en la nube, “trae tu propio dispositivo” (BYOD, por sus siglas en inglés), así como los mecanismos extraíbles.
Es crítico hacerse las siguientes preguntas: ¿está preparada la compañía para afrontar los impactos de un ciberataque derivado de una administración deficiente de software y hardware? ¿Conoce el nivel de riesgo actual en su empresa ante la falta de mantenimiento y actualización del software?
Dentro de las prácticas de gobierno de TI, en relación con la gestión de activos de software, los problemas más frecuentes son la falta de actualizaciones, instalaciones no autorizadas o de dudosa procedencia, políticas internas deficientes en lo realtivo al monitoreo y administración de activos, así como una carencia de responsables de gestionar el software.
No contar con una buena gestión de activos de software es un factor preocupante, ya que amplía la superficie de ataques, los cuales gran parte ocurren por la falta de actualizaciones o instalaciones de seguridad.
Existe un modelo llamado software asset management (SAM) que permite controlar varios de estos riesgos por medio de la gestión efectiva de diferentes componentes que generan visibilidad del software instalado y su condición.
El SAM es una práctica de gobierno de TI altamente recomendada y basada en el ISO 19700, que busca optimizar el ciclo de vida tanto del software como del hardware para reducir costos, riesgos y “proactividad” innecesaria al descargar programas no autorizados.
Es importante contar con personal responsable del ciclo de vida del software para evaluar y minimizar los riesgos relacionados con la redundancia de los activos, su subutilización (no aprovechar al máximo los recursos de software), las penalizaciones por parte de fabricantes y autoridades, así como ciberataques por falta de mantenimiento, soporte y actualizaciones de seguridad.
Por otro lado, es esencial que, además de tomar en cuenta los errores de desarrollo y falta de actualizaciones, la empresa conozca y supervise el comportamiento de los usuarios. El costo de la gestión oportuna de software y hardware puede ser mínimo comparado con los impactos que podría sufrir el negocio por una administración deficiente.
Contáctenos
- Encontrar ubicación de oficinas kpmg.findOfficeLocations
- kpmg.emailUs
- Redes sociales @ KPMG kpmg.socialMedia
