COMENTARIO Cuando comencé mi carrera en seguridad, todo era una aventura: nuevas tecnologías, nuevas oportunidades y nuevas lecciones que aprender. Algunas de esas lecciones han permanecido conmigo a lo largo de los años. Sencillas en apariencia, estas lecciones han tenido un impacto significativo y han demostrado ser valiosas con el tiempo. Sin embargo, cuando miro la industria en general, a menudo me siento molesto por la situación actual. El escritorio beige está en todas partes El mejor ejemplo de esta sensación de nerviosismo es la naturaleza omnipresente del escritorio beige. Todos los hemos visto en nuestros viajes por esta industria: esas máquinas que son anteriores a muchas de las tecnologías de las que dependemos hoy. Hardware que avanza desde los rincones oscuros del piso elevado de un centro de datos. Todos pueden ver hacia dónde se dirige esto. Ese sistema ejecuta invariablemente código escrito por un estudiante de verano hace mucho tiempo, que ahora se ha vuelto de misión crítica. Código que no fue comentado o documentado adecuadamente. Una aplicación que de alguna manera se ha vuelto indispensable para el negocio. ¿Cómo sigue sucediendo esto? A menudo he reflexionado sobre esta pregunta. Cada vez que menciono el tema al dar una charla en una conferencia, siempre hay cabezas que asienten en señal de comprensión. Esos sistemas que acechan en las sombras de un centro de datos. Es difícil deshacerse de las sombras A menudo escuchamos mencionar el término «TI en la sombra». Por lo general, llega a la conversación con una sensación de burla. Hace unos meses, estaba dando una charla en una conferencia cuando pregunté a los asistentes si se habían encontrado con el escritorio beige en sus ambientes. El público se rió, hizo muecas y agachó la cabeza, confirmando mis pensamientos. Hice una pausa y luego pregunté cuántas empresas presentes tenían controles implementados para la TI en la sombra en sus entornos. Todos levantaron la mano. Dejé la pregunta flotando en el aire por un momento. Luego, le hice a la audiencia una pregunta de seguimiento: «¿Cuántos de ustedes aquí tienen TI en la sombra en sus entornos?» Hubo cierta vacilación. Los ojos se movieron nerviosamente alrededor. Lento pero seguro, todas las manos volvieron a levantarse. Tuvimos un interesante momento de conversación. Todas estas empresas tenían controles para protegerse contra la TI en la sombra, pero… todavía existía. Habíamos descubierto el problema de seguridad informática de Schrödinger. Existe y no existe simultáneamente. ¿Quién es el dueño del riesgo? Esto plantea la pregunta: ¿quién es realmente el dueño del riesgo de la TI en la sombra? Si bien la reacción instintiva podría ser asignar esto al director de seguridad de la información, me pregunto si eso es justo. El CISO implementa controles de seguridad. El CISO se asegura de que existan políticas y procedimientos para manejar los riesgos que presenta la TI en la sombra, pero continúa. ¿Es justo decir que el CISO es responsable en ese momento? Sólo pensando en voz alta. ¿Podría asignarse más apropiadamente este riesgo al director financiero, ya que presenta un riesgo empresarial material potencial y, por lo tanto, caería bajo la responsabilidad del director financiero? Me encantaría que esto se convirtiera en una conversación más amplia porque, sinceramente, no estoy seguro de la respuesta y me encantaría recibir comentarios de la comunidad CISO. Cómo terminamos aquí Sombra Rara vez, o nunca, se origina en un lugar de malicia. Estos proyectos suelen construirse para satisfacer la necesidad de innovación. Otros ejemplos de por qué sucede esto podrían incluir la percepción de insuficiencia de los sistemas implementados que respaldan el desarrollo en la empresa o simplemente por una necesidad de velocidad y conveniencia. A menudo es más fácil pedir perdón que permiso. Si bien el escritorio beige puede ser una historia irónica, sirve como ejemplo de lo que sucede en entornos de todo el mundo. Arriba Punto muerto ¿Cómo avanzamos hacia un entorno empresarial o PYME que respalde la innovación sin dejar de ser seguro y protegido? Es necesario brindar visibilidad y seguridad para lidiar con herramientas y proyectos que pueden no haber sido examinados o aprobados por los equipos de TI y Seguridad. Es hora de alejarse de los escritorios beige y avanzar hacia un motor tecnológico que permita a las empresas impulsar la innovación de forma segura. URL de la publicación original: https://www.darkreading.com/endpoint-security/the-lingering-beige-desktop-paradox