Shadow IT: lo que hay en la sombra de tu organización
En este blog hablaremos de una amenaza cibernética que depende más de nosotros mismos y nuestros empleados que de los ciberdelincuentes: el Shadow IT. El término inglés significa literalmente «TI en la sombra», pero, ¿a qué nos referimos con «en la sombra»? ¿A qué hace referencia este término que puede resultar tan oscuro? ¿y qué riesgos supone para nuestra empresa?
Decimos que algo está en la sombra cuando es clandestino, se mantiene en el anonimato y no sabemos muy bien qué es. No podemos controlar si es bueno o malo porque, simplemente, no sabemos de su existencia. Lo mismo ocurre en tu empresa con el Shadow IT.
El Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de tecnología de la información que no tienen el conocimiento y la aprobación del departamento TI de una empresa.
Es decir que, sin ser consciente de ello, en tu empresa hay un Shadow IT y puede que incluso tú estés contribuyendo a ello. ¿Alguna vez has descargado una aplicación o archivo en tu equipo de trabajo sin la autorización del Departamento de Tecnología e Información (TI)? ¿Has conectado un USB, un ratón o unos auriculares personales a tu ordenador de empresa? Si la respuesta es sí, entonces estás haciendo que crezca el Shadow IT en tu organización.
Evidentemente, es muy complicado mantener un control completo de lo que se utiliza y hacerlo podría incluso influir en el flujo de trabajo, pero es importante saber que existe y conocer las amenazas que implica.
El Shadow IT puede darse de diferentes formas e incluye tanto elementos de hardware, ya sean portátiles, pendrives, teclados, tabletas, teléfonos… (en este sentido, está muy relacionado el término BYOD (Bring your own device) del que ya hemos hablado en nuestro blog); como software, servicios en la nube, VPN, etc.
Pero vamos a lo realmente importante, ¿cuáles son los riesgos del Shadow IT para nuestra empresa?
El uso cada vez más habitual de la tecnología de la información y la accesibilidad a las herramientas que hacen nuestro trabajo diario más fácil pueden suponer una brecha de seguridad en nuestra empresa. La mayoría de los dispositivos o aplicaciones que se incluyen en esta TI en la sombra son inofensivos, pero algunos pueden acarrear graves consecuencias para nuestra organización. Algunas aplicaciones incluyen funcionalidades peligrosas para los datos de nuestra empresa, tales como la transferencia y almacenamiento de archivos. Es por eso por lo que el departamento de TI debería estar al tanto de qué aplicaciones se están utilizando y de los riesgos que estas podrían tener.
El primer y más evidente riesgo del Shadow IT es la falta de control por parte del equipo de TI y seguridad. Si éste no tiene una visión total de la red y la infraestructura de nuestra organización, es fácil que esta situación traiga consigo otra multitud de riesgos. Cada uno de estos puntos en la sombra, es una puerta abierta para los ciberdelincuentes. Por eso es importante que los departamentos de TI conozcan la actividad y la interacción con los recursos. Ellos conocen cuales son seguros y los datos que se exponen y, claramente, todo lo que esté bajo su cautela, será más difícil de vulnerar.
Como ya sabemos, incluso las aplicaciones más avanzadas en controles de seguridad pueden tener importantes vulnerabilidades y, algunos usuarios malintencionados podrían aprovecharse de ellas para hacerse con los datos de nuestra empresa. Este aspecto es especialmente peligroso para los trabajadores que no disponen de los suficientes conocimientos tecnológicos para detectar estas vulnerabilidades. Por este motivo, es tan importante la concienciación de los empleados y asegurarnos de que se realizan las actualizaciones periódicamente.
Además del impacto que puede suponer un ataque (tanto económico como reputacional) para nuestro negocio, no debemos olvidar que, como organización, debemos cumplir con la legalidad. El Shadow IT puede contribuir al uso de software o aplicaciones que incumplan los reglamentos, leyes o estándares y, esta situación, puede llegar a acarrear consecuencias legales, involucrarnos en juicios, multas o afectar a la reputación de nuestra empresa.
Por último, respecto al flujo de trabajo, cada empleado tiene sus costumbres a la hora de trabajar y, si tiene la libertad necesaria, se sentirá más cómodo utilizando unas u otras aplicaciones. Normalmente, entre compañeros de un mismo departamento, se suelen compartir las mismas aplicaciones, por ejemplo, para la transferencia de archivos. Pero ¿qué pasa cuando tenemos que interactuar con otros equipos? Es posible que en este tipo de situaciones aparezcan conflictos si cada equipo se ha acostumbrado a usar una herramienta diferente. El trabajo sería más sencillo y eficiente si el equipo de TI hubiese designado qué herramientas utilizar y redujese el número para que todos los empleados se habituasen a utilizar las mismas.
En conclusión, aunque reducir a cero el Shadow IT de nuestra empresa es una tarea muy complicada, podemos mitigar los riesgos que conlleva.
Como siempre decimos, concienciar y formar a nuestros empleados es el primer paso para una empresa segura. Ellos son el principal factor del Shadow IT y deben conocer los peligros y las consecuencias de su comportamiento en IT. Recuerda que dispones de nuestro kit de concienciación para ello.
Contar con una política de aplicaciones puede ayudarnos en esta tarea. Además, asegurarnos de que tienen todos los recursos y herramientas necesarias para desempeñar su trabajo, evitará que utilicen alternativas que pongan en peligro nuestra organización.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).