Tutorial: Detección y administración de Shadow IT

Cuando se pregunta a los administradores de TI cuántas aplicaciones en la nube creen que usan sus empleados, la media es de 30 o 40. En realidad, la media de aplicaciones que usan los empleados de su organización es de más de 1000 aplicaciones distintas. Shadow IT le ayuda a detectar e identificar qué aplicaciones se usan y cuál es su nivel de riesgo. El 80 % de los empleados usan aplicaciones no autorizadas que nadie ha revisado y que puede que no sean compatibles con las directivas de seguridad y cumplimiento. Además, debido a que los clientes pueden acceder a sus recursos y aplicaciones desde fuera de la red corporativa, ya no es suficiente disponer de reglas y directivas en los firewalls.

En este tutorial, obtendrá instrucciones sobre cómo usar Cloud Discovery para detectar qué aplicaciones se usan, explorar su riesgo y configurar directivas para identificar nuevas aplicaciones de riesgo en uso y no autorizarlas con el fin de bloquearlas de forma nativa mediante el dispositivo proxy o firewall.

Sugerencia

De manera predeterminada, Defender for Cloud Apps no puede detectar aplicaciones que no están en el catálogo.

Para ver los datos de Defender for Cloud Apps para una aplicación que no está actualmente en el catálogo, se recomienda consultar nuestro plan de desarrollo o crear una aplicación personalizada.

Cómo detectar y administrar shadow IT en la red

Siga este proceso para implementar Cloud Discovery de shadow IT en su organización.

shadow IT lifecycle.

Fase 1: Detección e identificación de Shadow IT

  1. Descubra Shadow IT: Identifique el estado de su organización en lo que respecta a la seguridad mediante la ejecución de Cloud Discovery y descubra lo que sucede realmente en la red. Para obtener más información, vea Configurar Cloud Discovery. Para ello puede utilizar cualquiera de los métodos siguientes:

    • Póngase en marcha rápidamente con Cloud Discovery mediante la integración con Microsoft Defender para punto de conexión. Esta integración nativa permite empezar a recopilar datos sobre el tráfico en la nube en sus dispositivos Windows 10 y Windows 11, así como activar y desactivar la red.

    • Para abarcar todos los dispositivos conectados a la red, es importante implementar el recopilador de registros de Defender for Cloud Apps en los firewalls y otros servidores proxy. De este modo, podrá recopilar datos de los puntos de conexión y enviarlos a Defender for Cloud Apps para su análisis.

    • Integración de Defender for Cloud Apps con su proxy. Defender for Cloud Apps se integra de forma nativa con algunos servidores proxy de terceros, incluido Zscaler.

    Dado que las directivas son diferentes entre los grupos de usuarios, regiones y grupos empresariales, es posible que quiera crear un informe de shadow IT específico de cada una de estas unidades. Para obtener más información, vea Creación de informes continuos personalizados.

    Ahora que Cloud Discovery se está ejecutando en la red, consulte los informes continuos que se generan y eche un vistazo al panel de Cloud Discovery para obtener una visión global de las aplicaciones que se usan en su organización. Es recomendable examinarlas por categoría, ya que a menudo se encontrará con que las aplicaciones no autorizadas se usan para fines legítimos relacionados con el trabajo que no pueden abordarse mediante una aplicación autorizada.

  2. Identificar los niveles de riesgo de las aplicaciones: use el catálogo de Defender for Cloud Apps para profundizar en los riesgos implicados en cada aplicación detectada. El catálogo de aplicaciones de Defender for Cloud incluye más de 31 000 aplicaciones que se evalúan utilizando más de 90 factores de riesgo. Los factores de riesgo parten de información general sobre la aplicación (ubicación de la sede central, editor de la aplicación, etc.) y abarcan medidas de seguridad y controles (compatibilidad con el cifrado en reposo, registro de auditoría de la actividad del usuario, etc.). Para obtener más información, consulte Trabajo con la puntuación de riesgo.

    • En el Portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo que quiera analizar. Por ejemplo, puede usar los filtros avanzados para buscar todas las aplicaciones con una puntuación de riesgo inferior a 8.

    • Para explorar la aplicación en profundidad y obtener más información sobre su cumplimiento, seleccione el nombre de la aplicación y, a continuación, la pestaña Información para ver los detalles sobre los factores de riesgo de seguridad de la aplicación.

Fase 2: Evaluación y análisis

  1. Evaluación del cumplimiento: compruebe si las aplicaciones están certificadas como conformes con los estándares de su organización, como HIPAA o SOC2.

    • En el Portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas. Filtre la lista de aplicaciones detectadas en su organización según los factores de riesgo de cumplimiento que quiera analizar. Por ejemplo, use la consulta sugerida para filtrar las aplicaciones no conformes.

    • Para explorar la aplicación en profundidad y obtener más información sobre su cumplimiento, seleccione el nombre de la aplicación y, a continuación, la pestaña Información para ver los detalles sobre los factores de riesgo de cumplimiento de la aplicación.

  2. Analizar el uso: ahora que ya sabe si quiere que la aplicación se use o no en su organización, querrá investigar quién la utiliza y qué uso hace de ella. Quizás no haya ningún problema si se usa solo de forma limitada; sin embargo, si su uso aumenta, es posible que quiera recibir una notificación para decidir si bloquea la aplicación.

    • En el Portal de Microsoft Defender, en Aplicaciones en la nube, seleccione Cloud Discovery. A continuación, vaya a la pestaña Aplicaciones detectadas y, a continuación, explore en profundidad seleccionando la aplicación específica que desea investigar. La pestaña Utilización le permite saber cuántos usuarios activos usan la aplicación y la cantidad de tráfico que genera. Esto puede darle una idea acertada de lo que sucede con la aplicación. A continuación, si quiere ver quién la está utilizando, puede obtener todavía más información seleccionando Total de usuarios activos. Este paso es importante, ya que puede proporcionarle información pertinente. Por ejemplo, si descubre que todos los usuarios de una aplicación específica pertenecen al departamento de Marketing, es posible que exista una necesidad empresarial para utilizar esta aplicación. Asimismo, en el caso de que sea de riesgo, póngase en contacto con estos usuarios para buscar una alternativa antes de bloquearla.

    • Profundice aún más al investigar el uso de aplicaciones detectadas. Vea subdominios y recursos para obtener información sobre actividades específicas, el acceso a los datos y el uso de recursos en los servicios en la nube. Para obtener más información, consulte Profundización en las aplicaciones detectadas y Detección de recursos y aplicaciones personalizadas.

  3. Identificar aplicaciones alternativas: use el Catálogo de aplicaciones en la nube para identificar aplicaciones más seguras que logren una funcionalidad empresarial similar a las aplicaciones de riesgo detectadas, pero cumplan con la directiva de su organización. Puede hacerlo mediante los filtros avanzados para buscar aplicaciones en la misma categoría que cumplen con los distintos controles de seguridad.

Fase 3: Administrar las aplicaciones

  • Administrar aplicaciones en la nube: Defender for Cloud Apps le ayuda con el proceso de administración del uso de aplicaciones en su organización. Tras identificar los distintos patrones y los comportamientos presentes en su organización, puede crear nuevas etiquetas de aplicación personalizadas con el fin de clasificar cada una de ellas según su estado o justificación en la empresa. A continuación, las etiquetas pueden usarse para fines de supervisión específicos, por ejemplo, identificar un tráfico elevado en las aplicaciones etiquetadas como de almacenamiento en la nube de riesgo. Las etiquetas de aplicación se pueden administrar en Configuración>Aplicaciones en la nube>Cloud Discovery>Etiquetas de aplicación. Posteriormente, las etiquetas pueden usarse para filtrar contenido en las páginas de Cloud Discovery y crear directivas que las utilicen.

  • Administrar aplicaciones detectadas mediante la Galería de Microsoft Entra: Defender for Cloud Apps también usa su integración nativa con el identificador de Microsoft Entra para permitirle administrar las aplicaciones detectadas en la Galería de Microsoft Entra. En el caso de las aplicaciones que ya aparecen en la Galería de Microsoft Entra, puede aplicar el inicio de sesión único y administrar la aplicación con el identificador de Microsoft Entra. Para ello, en la fila en la que aparece la aplicación pertinente, elija los tres puntos al final de la fila y, a continuación, elija Administrar aplicación con Microsoft Entra ID.

    Manage app in Microsoft Entra gallery.

  • Supervisión continua: ahora que ya ha investigado exhaustivamente las aplicaciones, es posible que quiera establecer directivas que permitan supervisar las aplicaciones y proporcionen un control cuando sea necesario.

Ahora es el momento de crear directivas para que pueda recibir alertas automáticamente cuando ocurra algo que le preocupe. Por ejemplo, es posible que quiera crear una Directiva de detección de aplicaciones que le permita saber si hay un pico en las descargas o el tráfico de una aplicación que quiera supervisar. Para ello, se recomienda habilitar las directivas Comportamiento anómalo en usuarios detectados, Comprobación de cumplimiento de la aplicación de almacenamiento en la nube y Nueva aplicación de riesgo. También debe establecer la directiva para que le notifique por correo electrónico. Para más información, consulte Referencia de plantillas de directivas, más información sobre las directivas Cloud Discovery y Configurar las directivas App Discovery.

Eche un vistazo a la página de alertas y use el filtro de Tipo de directiva para consultar las alertas de detección de aplicaciones. En el caso de las aplicaciones que coincidan con las directivas de detección de aplicaciones, se recomienda realizar una investigación en profundidad para obtener más información sobre la justificación empresarial del uso de la aplicación, por ejemplo, poniéndose en contacto con los usuarios de las aplicaciones. Seguidamente, repita los pasos de la fase 2 para evaluar el riesgo de la aplicación. A continuación, determine los siguientes pasos: si aprueba el uso de la aplicación en el futuro o quiere bloquearla la próxima vez que un usuario acceda a ella. En este último caso, deberá etiquetarla como no autorizada, de modo que se pueda bloquear mediante el firewall, el proxy o la puerta de enlace web segura. Para obtener más información, consulte Integración con Microsoft Defender para punto de conexión, Integración con Zscaler, Integración con iboss y Bloquear aplicaciones mediante la exportación de un script de bloqueo.

Fase 4: Creación avanzada de informes sobre detección de Shadow IT

Además de las opciones de informes disponibles en Defender for Cloud Apps, puede integrar los registros de Cloud Discovery en Microsoft Sentinel para realizar más investigación y análisis. Una vez que los datos están en Microsoft Sentinel, puede verlos en paneles, ejecutar consultas mediante el lenguaje de consulta Kusto, exportar consultas a Microsoft Power BI, integrarse con otros orígenes y crear alertas personalizadas. Para más información, consulte Integración con Microsoft Sentinel.

Fase 5: Control de aplicaciones autorizadas

  1. Para habilitar el control de aplicaciones a través de las API, conecte las aplicaciones a través de la API para la supervisión continua.

  2. Proteja las aplicaciones con el Control de aplicaciones de acceso condicional.

La naturaleza de las aplicaciones en la nube implica que se actualizan diariamente y aparecen otras nuevas continuamente. Por este motivo, los empleados utilizan constantemente nuevas aplicaciones y es importante mantener un seguimiento, revisar y actualizar las directivas, comprobar qué aplicaciones usan los usuarios y analizar los patrones de uso y comportamiento. Siempre puede ir al panel de Cloud Discovery, consultar las nuevas aplicaciones que se usan y seguir las instrucciones de este artículo para asegurarse de que tanto su organización como los datos estén protegidos.

Pasos siguientes

Si tienes algún problema, estamos aquí para ayudar. Para obtener ayuda o soporte técnico para el problema del producto, abra una incidencia de soporte técnico.

Saber más