Shadow IT: Te contamos sus riesgos y cómo evitarlo

El concepto de Shadow IT se ha hecho eco en el mundo de la ciberseguridad, sobre todo desde la pandemia y la tendencia al teletrabajo. Vamos a ver detenidamente qué es exactamente el concepto de Shadow IT, qué problemas puede causarnos dentro de una empresa y, por supuesto, cómo evitarlo.

¿Qué es el Shadow IT?

El Shadow IT, traducido como «TI en la sombra» o «IT no oficial», se refiere a la utilización de tecnología de información, software o hardware sin la aprobación o conocimiento del departamento de TI de una organización. En otras palabras, son las prácticas tecnológicas que ocurren en la periferia de la gestión oficial de TI de una empresa.

El Shadow IT abarca una amplia gama de actividades, desde la descarga de aplicaciones no autorizadas hasta la utilización de servicios en la nube sin aprobación. Puede manifestarse en forma de empleados que utilizan sus dispositivos personales para trabajar o que implementan soluciones tecnológicas por su cuenta.

¿Cómo afecta el Shadow IT?

En el ámbito empresarial, es común que los empleados busquen soluciones tecnológicas alternativas para trabajar, a menudo sin el conocimiento o la aprobación del departamento de TI. Esta tendencia conlleva varios riesgos importantes:

Uso de aplicaciones no autorizadas

Los empleados, a veces, recurren a aplicaciones de mensajería, almacenamiento en la nube o herramientas de colaboración no aprobadas. Esto puede resultar en:

• Riesgo de malware: Estas aplicaciones pueden ser canales para malware como ransomware, spyware y rootkits, que se propagan rápidamente en la red corporativa.
• Fuga de datos sensibles: Puede haber una pérdida de información crítica, como propiedad intelectual o datos financieros y personales de clientes. Puedes visitar nuestro artículo sobre cómo gestionar una fuga de información en una empresa para obtener más información.
• Problemas de privacidad: Estas aplicaciones pueden recopilar datos sin consentimiento, lo que plantea riesgos de privacidad y posibles incumplimientos de regulaciones como el RGPD.

Práctica de BYOD (Bring Your Own Device)

El uso de dispositivos personales para acceder a recursos empresariales presenta riesgos como:

• Vulnerabilidades de seguridad: Estos dispositivos pueden carecer de actualizaciones de seguridad y configuraciones adecuadas.
• Pérdida de control de la red: Los administradores de TI pueden perder la visibilidad y el control sobre estos dispositivos.
• Mezcla de datos personales y profesionales: Esto puede llevar a cruces o fugas de información.

Servicios de almacenamiento en la nube

El empleo de plataformas de compartición de archivos personales conlleva:

• Fugas de datos en la nube: Exposición accidental de datos sensibles.
• Amenazas a la integridad de los datos: Falta de control que puede permitir la manipulación no autorizada de datos.
• Divulgación inadvertida de información: A través de documentos expuestos en estos servicios.
• Exposición a ataques de phishing: Utilización de estas herramientas para comprometer credenciales de acceso. También puedes echar un ojo a nuestro artículo sobre cómo actuar ante el phishing.

Software modificado por empleados

Algunos empleados pueden desarrollar sus propias soluciones de software o scripts, lo que puede resultar en:

• Vulnerabilidades en el software modificado: Falta de auditorías de seguridad y calidad.
• Falta de mantenibilidad: Incompatibilidad con nuevas versiones de productos y obsolescencia.
• Desafíos en documentación y soporte: Dificultades en la gestión y resolución de problemas, afectando la operatividad y el cumplimiento normativo.

¿Cómo evitar el Shadow IT?

Descubrimiento y monitorización continua

Es fundamental detectar de manera proactiva el Shadow IT. Esto se logra mediante la implementación de herramientas avanzadas que identifican aplicaciones, dispositivos y servicios no autorizados en la red corporativa. Herramientas como sistemas de detección de redes (ejemplos incluyen Snort y Suricata) y servicios de descubrimiento de SaaS son cruciales en este proceso. Microsoft Defender, por ejemplo, ofrece Cloud Discovery para detectar, evaluar y controlar aplicaciones no autorizadas.

Concienciación en ciberseguridad

Educar a los empleados sobre los riesgos del Shadow IT y las políticas de seguridad de la empresa es clave. Programas de capacitación y concienciación en ciberseguridad pueden ser muy efectivos para mantener a los empleados informados y vigilantes.

Políticas y procedimientos claros

Establecer políticas y procedimientos específicos y detallados para el uso de tecnología es vital. Estos deben incluir:

• Un proceso formal de aprobación de aplicaciones y servicios por parte del departamento de TI.
• Políticas claras para la gestión de dispositivos personales (BYOD).
• Directrices sobre el uso de servicios de almacenamiento en la nube y herramientas de colaboración.

Control de identidad y acceso (IAM)

La implementación de soluciones IAM avanzadas facilita un control más detallado sobre el acceso a recursos y aplicaciones. Ejemplos de estas soluciones incluyen:

• Sistemas de autenticación única (SSO) con doble factor de autenticación, que centralizan la autenticación y autorización de usuarios, limitando la proliferación de contraseñas no autorizadas.
• Políticas de acceso basadas en roles, asegurando que los usuarios solo accedan a sistemas y datos autorizados según su rol en la organización.

Conclusiones

El Shadow IT es una realidad en muchas organizaciones, y comprenderlo es esencial para gestionar de manera efectiva los riesgos y las oportunidades que presenta. Al adoptar un enfoque educativo, políticas claras y soluciones colaborativas, las empresas pueden aprovechar la innovación mientras mantienen la seguridad y el cumplimiento normativo en el centro de su estrategia de TI.