[Octubre de Ciberseguridad] Shadow IT explicado: riesgos y oportunidades

Shadow IT es el uso de sistemas, dispositivos, software, aplicaciones y servicios de tecnología de la información sin la aprobación explícita del departamento de TI. Ha crecido exponencialmente en los últimos años con la adopción de aplicaciones y servicios basados ​​en la nube.

Si bien Shadow IT puede mejorar la productividad de los empleados e impulsar la innovación, también puede presentar graves riesgos de seguridad para su organización a través de fugas de datos, posibles violaciones de cumplimiento y más.

Por qué los empleados utilizan Shadow IT

Una de las principales razones por las que los empleados se involucran en la TI en la sombra es simplemente para trabajar de manera más eficiente. Un estudio de RSA de 2012 informó que el 35 por ciento de los empleados sienten que necesitan trabajar en torno a las políticas de seguridad de su empresa solo para hacer su trabajo. Por ejemplo, un empleado puede descubrir una mejor aplicación para compartir archivos que la permitida oficialmente. Una vez que comiencen a usarlo, el uso podría extenderse a otros miembros de su departamento.

El rápido crecimiento de las aplicaciones de consumo basadas en la nube también ha aumentado la adopción de la TI en la sombra. Atrás quedaron los días del software empaquetado; aplicaciones comunes como Slack y Dropbox están disponibles con solo hacer clic en un botón. Y la TI en la sombra se extiende más allá de las aplicaciones de trabajo a los dispositivos personales de los empleados, como teléfonos inteligentes o computadoras portátiles, también conocido como Traiga su propio dispositivo (BYOD).

Los riesgos de Shadow IT

Según Cisco, el 80% de los usuarios finales utilizan software no autorizado por TI, el 83% del personal de TI admite utilizar software o servicios no autorizados, y solo el 8% de todas las empresas conocen realmente el alcance de la TI en la sombra dentro de su organización.

Shadow IT, sin duda, agrega riesgo a su organización, y sus empleados son su eslabón débil. Cuando se utilizan aplicaciones y dispositivos no sancionados, se pueden introducir vulnerabilidades en la infraestructura y, sin la supervisión de TI, la causa raíz es muy difícil de encontrar

Hay varios otros puntos negativos que surgen de Shadow IT que impactan directamente en el buen funcionamiento de la empresa, depende de todos garantizar que esta práctica se extinga y que solo permanezcan los dispositivos y procesos que estén aprobados y configurados adecuadamente.

No podemos negar que esta es una tarea difícil y que generalmente recae sobre los hombros de las áreas de Redes y Seguridad de la Información, por lo tanto, hemos separado algunos consejos que esperamos ayuden a combatir el uso de tecnología y software de forma paralela:

  • Concientización 

Brindar entrenamientos y capacitaciones sobre temas relacionados con la seguridad de la información.

  • Identificación y monitoreo 

Mantener una lista actualizada de todas las características de cada equipo, tanto a nivel de software como de hardware. 

  • Análisis de riesgo y adecuación 

Después de la identificación, es necesario ver qué impacto tiene este software o hardware en la red e iniciar el proceso de análisis para determinar la mejor manera de eliminarlo del entorno.

  • Gestión de procesos y análisis de necesidades

Una de las formas en que se mitigan estos riesgos es hacer que el ciclo de análisis del proceso sea continuo..