in

¿Qué acecha en las sombras? Cómo gestionar los riesgos de seguridad de la TI en la sombra


El uso de hardware y software no aprobado por parte de los empleados es un problema cada vez más grave en la era del trabajo remoto e híbrido.

En tiempos de pandemia, muchas empresas dan prioridad a la continuidad del negocio a expensas de la ciberseguridad. Especialmente en los primeros días de la pandemia, la atención se centró en hacer las cosas: un cambio rápido al trabajo remoto y nuevas formas de llegar a los clientes. Esto significó que ciertas pautas se relajaron para ayudar a los empleados a realizar ajustes importantes. En el pasado, eso era ciertamente justificable. Pero a medida que entramos en una nueva fase marcada por el lugar de trabajo híbrido pospandémico, esto también ha creado un nivel completamente nuevo de opacidad para los equipos de TI. El desafío es que los riesgos cibernéticos prosperan en las sombras.

La conclusión es que, si no se verifica, el uso de software y equipos por parte de personas fuera del ámbito de TI puede convertirse en una gran amenaza para su negocio. La pregunta es qué hacer al respecto si incluso el alcance del problema es difícil de ver.

¿Qué es Shadow IT?

Shadow IT ha existido durante años. El término general podría referirse a cualquier aplicación, solución o hardware que utilicen los empleados sin el consentimiento y el control del departamento de TI. A veces, estas son tecnologías de clase empresarial que simplemente se compran y utilizan sin el conocimiento de TI. La mayoría de las veces, sin embargo, es la tecnología de consumo la que puede exponer a la empresa a riesgos adicionales.

Shadow IT tiene diferentes aspectos. Podría incluir:

  • Almacenamiento de archivos para consumidores Desarrollado para hacer más eficiente la colaboración entre empleados.
  • Herramientas de productividad y gestión de proyectos También puede mejorar la colaboración y la capacidad de los empleados para manejar las tareas diarias.
  • Mensajes y correo electrónico para fomentar una comunicación más fluida con contactos profesionales y no profesionales.
  • Sistemas IaaS y PaaS en la nube que podría usarse para alojar recursos no aprobados.

¿Por que sucede?

La TI en la sombra generalmente surge porque los empleados están hartos de las herramientas de TI corporativas ineficientes que creen que están obstaculizando la productividad. Con el advenimiento de la pandemia, muchas organizaciones se han visto obligadas a permitir que sus empleados usen sus dispositivos personales para trabajar desde casa. Esto abrió la puerta a descargas de aplicaciones no aprobadas.

Además, muchos empleados desconocen las políticas de seguridad de la empresa o que los propios ejecutivos de TI se han visto obligados a suspender dichas políticas para «hacer las cosas». En un estudio reciente, el 76 por ciento de los equipos de TI admite que la seguridad no fue una prioridad durante la pandemia en favor de la continuidad del negocio, mientras que el 91 por ciento dice sentirse presionado para comprometer la seguridad.

La pandemia también puede haber aumentado el uso de la TI en la sombra, ya que los propios equipos de TI eran menos visibles para los empleados. Esto dificultaba que los usuarios revisaran las nuevas herramientas antes de usarlas y potencialmente los ha dejado psicológicamente más susceptibles a ignorar las pautas oficiales. Un estudio de 2020 encontró que más de la mitad (56 por ciento) de los trabajadores remotos en todo el mundo usaban una aplicación que no era del trabajo en un dispositivo corporativo y el 66 por ciento le cargaba datos corporativos. Casi un tercio (29 por ciento) dijo que sentía que podía salirse con la suya con una aplicación no profesional porque las soluciones basadas en TI eran “una tontería”.

El alcance del problema

Si bien el uso de BYOD pandémico puede explicar algunos de los riesgos de TI en la sombra, esa no es toda la historia. También existe la amenaza de ciertas unidades de negocio que alojan recursos en la nube IaaS o PaaS de la empresa y, por lo tanto, no se tienen en cuenta. El problema con esto es que muchos malinterpretan la naturaleza del modelo de responsabilidad compartida en la nube y asumen que el proveedor de servicios (CSP) es responsable de la seguridad. De hecho, la copia de seguridad de las aplicaciones y los datos recae en la organización del cliente. Y no puede proteger lo que no puede ver.

Desafortunadamente, la naturaleza de la TI en la sombra hace que sea difícil comprender el alcance real del problema. Un estudio de 2019 muestra que el 64 por ciento de los trabajadores estadounidenses crearon al menos una cuenta sin involucrar a TI. Investigaciones independientes afirman que el 65 por ciento de los empleados que trabajaban de forma remota antes de la pandemia utilizan herramientas que no están autorizadas por TI, mientras que el 40 por ciento de los empleados actuales utilizan soluciones de colaboración y comunicación en la sombra. Curiosamente, el mismo estudio encuentra que la propensión a la TI en la sombra varía con la edad: solo el 15 por ciento de los baby boomers dicen que se involucran con ella, en comparación con el 54 por ciento de los millennials.

¿Por qué Shadow IT es una amenaza?

El riesgo potencial que la TI en la sombra puede representar para la empresa es indiscutible. En un caso a principios de este año, una empresa de seguimiento de contactos de EE. UU. Pudo haber revelado los detalles de 70.000 personas después de que los empleados usaran cuentas de Google para compartir información a través de un «canal de colaboración no autorizado».

A continuación, se muestra un resumen rápido del riesgo potencial que la TI en la sombra puede representar para las empresas:

  • Sin control de TI significa que el software puede permanecer sin parches o mal configurado (por ejemplo, con contraseñas débiles), exponiendo a los usuarios y los datos corporativos a ataques.
  • Sin anti-malware u otras soluciones de seguridad de clase empresarial que protejan los activos de TI en la sombra o las redes corporativas
  • No hay forma de controlar la fuga / intercambio de datos accidental o intencional
  • Desafíos de auditoría y cumplimiento
  • Riesgo de pérdida de datos, ya que los procesos de copia de seguridad de la empresa no cubren los datos y las aplicaciones de TI en la sombra.
  • Daño financiero y de reputación debido a una importante brecha de seguridad

Cómo abordar la TI en la sombra

La primera fase es comprender la escala potencial de la amenaza. Los equipos de TI no deben tener la ilusión de que la TI en la sombra está muy extendida y podría representar un riesgo grave. Pero se puede mitigar. Considera lo siguiente:

  • Desarrollar una política integral para tratar con TI en la sombra, incluida una lista claramente comunicada de software y hardware aprobados y no aprobados y un proceso de aprobación
  • Promover la transparencia entre los empleados educándolos sobre los posibles efectos de la TI en la sombra e iniciando un diálogo honesto en ambas direcciones
  • Escuche y ajuste las pautas basado en los comentarios de los empleados sobre qué herramientas funcionan y cuáles no. Puede que sea el momento de reconsiderar las nuevas pautas para la edad laboral híbrida para lograr un mejor equilibrio entre seguridad y comodidad.
  • Usa herramientas de monitoreo para detectar el uso de TI en la sombra en la empresa y cualquier actividad de riesgo y para tomar las medidas adecuadas en el caso de perpetradores persistentes

Shadow IT expande la superficie de ataque de la empresa e invita a los riesgos cibernéticos. Pero ha crecido al tamaño debido a que las herramientas y pautas actuales a menudo se consideran demasiado restrictivas. Para solucionarlo, TI necesita adaptar su propia cultura para trabajar más de cerca con la fuerza laboral en general.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Google vuelve a adoptar la seguridad empresarial de Android

17 consejos y trucos de Excel para salvar vidas que debe conocer