Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Shadow IT al descubierto: riesgos y buenas prácticas

Fecha de publicación 26/10/2023
Autor
INCIBE (INCIBE)
Shadow IT al descubierto: riesgos y buenas prácticas

La adopción de herramientas tecnológicas es esencial para impulsar la productividad empresarial, mejorar la eficiencia y mantener la competitividad en un mercado en constante cambio. Sin embargo, en este contexto tecnológico, aparece un nuevo riesgo: el Shadow IT, término que hace referencia a la práctica donde los empleados utilizan aplicaciones, dispositivos y servicios tecnológicos sin la aprobación de los departamentos TI de la empresa, ya sea por desconocimiento o de forma premeditada. Esta fenomenología ha ganado terreno en el entorno empresarial, y su relevancia radica en desafiar la estructura tradicional de TI y plantear preguntas cruciales.

Según el estudio The State of Remote Work, publicado por Lookout, el 32% de los empleados teletrabajando utiliza software no autorizado, y el 92% utiliza dispositivos personales, no registrados, para tareas corporativas.

Habitualmente, el departamento de TI se enfrenta a limitaciones de presupuesto, recursos y tiempo, que pueden retrasar la adopción de nuevas soluciones tecnológicas, o simplemente implementa restricciones por cuestiones de seguridad. Los empleados, ante la necesidad de abordar hitos y problemas específicos urgentes o por la conveniencia de evitar procesos burocráticos, o bloqueos, implementan sus propios 'atajos' sin el conocimiento de la alta dirección de la organización y sin ser conscientes de los problemas que pueden ocasionar. 

La motivación del Shadow IT se encuentra en su capacidad para satisfacer rápidamente las demandas emergentes y específicas de los empleados, pero plantea riesgos considerables para las empresas. Uno de los principales problemas reside en la falta de control y visibilidad por parte de la dirección de TI y la seguridad de la información.

Cuando los empleados utilizan aplicaciones no autorizadas, la empresa queda expuesta a amenazas de ciberseguridad, pérdida de datos y vulnerabilidades, por lo que la gestión adecuada de esta práctica se ha convertido en un desafío crítico para administradores de sistemas y responsables de seguridad.

Riesgos

Como hemos visto, por comodidad, desconocimiento o falta de recursos, en muchas ocasiones los empleados optan por buscar soluciones tecnológicas no autorizadas para satisfacer sus necesidades específicas. A continuación, veremos algunas de las manifestaciones más destacadas de esta práctica en el contexto empresarial y los riesgos asociados: 

  • Aplicaciones no autorizadas: el uso de aplicaciones de mensajería, almacenamiento en la nube o herramientas de colaboración que no han sido aprobadas por el departamento de TI. Si estas aplicaciones no se controlan adecuadamente, pueden exponer a la organización a: 
    • Exposición a malware avanzado, incluyendo ransomware, spyware y rootkits, que pueden propagarse rápidamente a través de la red corporativa.
    • Fuga de datos sensibles, incluyendo propiedad intelectual, información financiera y datos personales de los clientes.
    • Amenazas a la privacidad, debido a que estas aplicaciones podrían recopilar datos personales de empleados y clientes sin su consentimiento, lo que plantea preocupaciones de privacidad y puede resultar en el incumplimiento de regulaciones como el RGPD (Reglamento General de Protección de Datos).
  • Bring Your Own Device (BYOD): la práctica de utilizar dispositivos personales, como smartphones, tablets o portátiles, para acceder a recursos de la organización, supone un gran riesgo, ya que estos dispositivos no cuentan con el bastionado ni con las políticas necesarias para proteger adecuadamente los datos de la organización:
    • Vulnerabilidades de seguridad, los dispositivos no gestionados pueden carecer de parches de seguridad actualizados y configuraciones adecuadas, lo que los hace vulnerables a exploits y ataques.
    • Pérdida de control de la red, desafiando la integridad de la red corporativa, ya que los administradores de TI pueden perder visibilidad y control sobre estos activos no gestionados.
    • Convivencia de datos personales y profesionales, que puede provocar cruces, fugas o pérdidas de información entre los diferentes ámbitos.
  • Servicios de transparencia y almacenamiento en la nube y herramientas de colaboración no autorizadas: el uso de plataformas de compartición o transferencia de archivos, no corporativas o personales, es otra de las prácticas habituales que pueden suponer:
    • la fuga de datos en la nube, ya que puede resultar en la exposición accidental de datos sensibles, al compartir enlaces públicos indebidos o configurar los permisos de forma incorrecta;
    • amenazas a la integridad de los datos, la falta de control sobre la nube puede abrir la puerta a la manipulación no autorizada de datos, lo que socava la integridad de la información almacenada;
    • divulgación inadvertida de información, a través de documentos expuestos en estos servicios;
    • exposición a ataques de phishing: los ciberdelincuentes pueden aprovechar las debilidades de seguridad de estas herramientas para lanzar ataques de phishing, engañando a los usuarios y comprometiendo las credenciales de acceso.
  • Software modificado: algunos empleados con habilidades técnicas pueden optar por crear sus propias soluciones de software personalizado, o scripts para abordar sus tareas operativas.
    • Vulnerabilidades en el software modificado, ya que no siguen el ciclo de vida de software dictado por la organización, carecerán de las auditorías de calidad y seguridad obligatorias, por lo que pueden contener vulnerabilidades en el código, no detectadas, y que podrían ser explotadas, poniendo en riesgo la seguridad;
    • falta de mantenibilidad, ya que las funcionalidades implementadas pueden quedar obsoletas o requerir nuevas necesidades más complejas, que no puedan ser abordadas por el empleado, pudiendo dejar de ser compatibles con las nuevas versiones del producto, perjudicando la operativa;
    • desafíos en la documentación y el soporte, además de carecer de la visibilidad necesaria, la falta de documentación y soporte adecuado para el software personalizado dificulta la gestión, el mantenimiento y el seguimiento y resolución de problemas, lo que puede afectar la operatividad de la organización y suponer un incumplimiento de las posibles normativas y certificaciones que posea la organización.

Buenas prácticas

El Shadow IT representa un desafío constante en el ámbito de la ciberseguridad, dado su potencial para exponer a la organización a riesgos significativos e incontrolados. Para abordar este problema de manera eficaz, es crucial implementar estrategias y enfoques específicos que permitan identificar, gestionar y minimizar los riesgos asociados:

Fases de gestión

- Fases de una gestión efectiva de Shadow IT -

  • Descubrimiento y monitorización continua: la detección proactiva del Shadow IT mediante la implementación de herramientas avanzadas, permite identificar en tiempo real aplicaciones, dispositivos y servicios no autorizados en la red corporativa. Algunos ejemplos de herramientas incluyen sistemas de detección de redes, como Snort y Suricata, así como servicios de descubrimiento de SaaS. Microsoft Defender también dispone de Cloud Discovery, como una herramienta para la detección, evaluación y control de aplicaciones autorizadas.
Proceso de implementación de Cloud Discovery

- Proceso de implementación de Cloud Discovery -

  • Concienciación en ciberseguridad: la educación digital y la concienciación de los empleados son esenciales para combatir el Shadow IT. Proporcionar a los empleados una comprensión sólida de los riesgos asociados y las políticas de seguridad de la organización ayudará a reducir la probabilidad de prácticas no autorizadas. La implementación de programas de capacitación y concienciación en ciberseguridad puede ser altamente efectiva para mantener a los empleados informados y alerta.
  • Políticas y procedimientos claros: el establecimiento de políticas y procedimientos claros en relación con el uso de tecnología en la organización es esencial. Estas políticas deben ser específicas, detalladas y fácilmente accesibles para los empleados.  Algunas consideraciones clave incluyen:
    • La implementación de un proceso formal de aprobación de aplicaciones y servicios por parte del departamento de TI.
    • Políticas claras para la gestión de dispositivos personales (BYOD).
    • Directrices sobre el uso de servicios de almacenamiento en la nube y herramientas de colaboración.
  • Control de identidad y acceso (IAM): la implementación de este tipo de soluciones avanzadas permite un control más granular sobre el acceso a recursos y aplicaciones. Ejemplos de soluciones IAM incluyen:
    • La implementación de sistemas de autenticación única (SSO) a través del uso de doble factor de autenticación, que centralizan la autenticación y autorización de usuarios, reduciendo así la proliferación de contraseñas no autorizadas.
    • Además, el establecimiento de políticas de acceso basadas en roles garantiza que los usuarios solo tengan acceso a sistemas y datos autorizados según su función en la organización.

Conclusión

Shadow IT es un fenómeno que ha cobrado protagonismo a medida que las organizaciones han buscado fortalecer sus controles de seguridad. Aunque a primera vista puede parecer que cuanto más estrictos sean los controles de seguridad, más protegida estará una empresa, en la práctica, la sobrerregulación puede tener un efecto contraproducente.

Cuando las soluciones de seguridad obstaculizan demasiado las operaciones diarias o dificultan el trabajo de los empleados, es probable que estos busquen alternativas no reguladas o soluciones de 'puerta trasera' para llevar a cabo sus tareas que pueden hacer que el trabajo sea más fácil a corto plazo, pero carecen de las protecciones adecuadas, lo que potencialmente aumenta el riesgo de brechas de seguridad.

Por lo tanto, es fundamental que las organizaciones busquen un equilibrio entre la necesidad de proteger sus activos y la importancia de mantener la productividad y la moral del personal. La 'seguridad usable' no es solo un ideal, sino una necesidad en el mundo moderno.

Una estrategia bien definida se centrará no solo en implementar controles de seguridad, sino también en garantizar que estos controles sean intuitivos y no obstaculicen innecesariamente el flujo de trabajo. Es esencial que las organizaciones consideren el impacto humano de sus decisiones de seguridad, trasladen la necesidad y las razones de su cumplimiento y trabajen para mejorar continuamente dichos controles.