¿Sabías que las vulnerabilidades y los desastres de ciberseguridad pueden venir de esfuerzos tecnológicos de los empleados? En el mundo empresarial actual, Shadow IT se ha convertido en un problema cada vez más grave.
Según Gartner, el 41% de los empleados en 2022 adquirieron, modificaron o crearon tecnología fuera de la visibilidad de TI, y se espera que esta cifra aumente al 75% en 2027. Esta realidad se ve reflejada también en la encuesta de Capterra sobre gestión de proyectos y TI en la sombra 2023, donde se reveló que el 57% de las pequeñas y medianas empresas han experimentado esfuerzos de TI en la sombra de alto impacto fuera del alcance de sus departamentos de TI.
Como bien señala Chris Mixter, vicepresidente de investigación de Gartner, la TI en la sombra ha evolucionado: ahora está compuesta por empleados individuales que crean, adquieren y adaptan tecnología para el trabajo, una situación que se ha intensificado con la accesibilidad de la nube.
¿Qué es Shadow IT?
El término Shadow IT alude al uso de hardware o software no autorizados, implementados y operados sin el conocimiento o la aprobación del departamento de tecnología de una organización.
Su presencia en la empresa suele ser una respuesta espontánea para satisfacer una necesidad específica que los sistemas oficiales no cubren de manera eficaz.
¿En qué formas se presenta el Shadow IT?
El fenómeno de shadow IT se manifiesta de dos maneras principales:
Se utiliza una herramienta no autorizada
Primero, se produce cuando se utiliza una herramienta no autorizada para manejar datos confidenciales. Imaginemos, por ejemplo, que una empresa ha estipulado el uso exclusivo de Google Workspace para compartir archivos. Si un empleado opta por utilizar Microsoft 365, una plataforma no sancionada, para realizar esta tarea, estaría generando Shadow IT.
Esta acción, aunque pueda parecer inocua, introduce riesgos de seguridad no contemplados por la organización, pudiendo llevar a fuga de datos o vulnerabilidades de seguridad.
Se utilizan herramientas aprobadas de manera no autorizada
El segundo escenario involucra el acceso a herramientas aprobadas de manera no autorizada. Siguiendo con el ejemplo de Google Workspace, si un empleado accede a esta plataforma con una cuenta personal en lugar de una cuenta corporativa gestionada, estaría igualmente creando Shadow IT.
Esto se traduce en una pérdida de visibilidad y control sobre cómo se manejan los datos dentro de la herramienta, elevando los riesgos asociados a la protección de datos.
Los casos más comunes de Shadow It
Shadow IT se manifiesta en organizaciones de diversas maneras, cada una con sus propios riesgos de seguridad y desafíos. Comprender estas formas es crucial para mitigar su impacto.
Macros de Excel
A menudo subestimadas, las macros de Excel son una forma común de Shadow IT. Empleados en diferentes departamentos crean macros para automatizar tareas, sin considerar los riesgos asociados. Estas macros pueden interactuar con datos y sistemas de manera insegura, potencialmente exponiendo datos confidenciales y creando dependencias operativas inseguras.
Software no aprobado
El uso de software no autorizado por el departamento de tecnología es una fuente significativa de Shadow IT. Estos programas pueden estar desactualizados o no ser seguros, exponiendo a la red corporativa a vulnerabilidades de seguridad. Incluso el software legítimo, si no está gestionado correctamente, puede convertirse en una amenaza.
Servicios en la nube no autorizados
La facilidad de acceso a servicios en la nube ha incrementado su uso no regulado. Los empleados pueden utilizar estos servicios para compartir archivos o almacenar datos sin considerar las políticas de seguridad de la empresa, lo que aumenta el riesgo de fuga de datos.
Alteraciones en hardware
Aunque menos común, la modificación no autorizada del hardware de la empresa es una forma de Shadow IT. Cambios como aumentar la memoria o sustituir discos duros pueden parecer inofensivos pero pueden comprometer la seguridad del sistema y la integridad de los datos.
BYOD (Bring Your Own Device)
La práctica de permitir que los empleados usen sus dispositivos personales para el trabajo puede ser beneficiosa, pero sin las políticas adecuadas, también puede introducir Shadow IT. Los dispositivos no regulados pueden carecer de las medidas de seguridad necesarias, poniendo en riesgo la seguridad de la información corporativa.
Interfaces IoT y APIs no Documentadas
Además de la nube, la proliferación de componentes de Internet de las Cosas (IoT) y la implementación de interfaces de programación de aplicaciones (APIs) no documentadas o sin seguimiento representan una creciente preocupación en el ámbito del Shadow IT.
Estas APIs, a menudo utilizadas para conectar diferentes sistemas y aplicaciones, pueden ser particularmente vulnerables si no se gestionan y documentan adecuadamente.
Según un estudio, una gran proporción de organizaciones enfrenta riesgos de seguridad debido a la exposición de APIs ‘en la sombra’, lo que subraya la necesidad de una gestión más rigurosa y consciente de estas tecnologías.
¿Por qué se produce el Shadow It?
La elección de Shadow IT por parte de los empleados se debe a múltiples factores, a menudo sin una intención maliciosa, pero que conllevan riesgos de seguridad significativos.
Falta de concientización
Primero, es usual que los empleados no sean plenamente conscientes de los riesgos asociados con el uso de herramientas no aprobadas. Pueden no darse cuenta de que sus acciones podrían comprometer datos confidenciales o incrementar el riesgo de fuga de datos y ataques cibernéticos.
Esta falta de conocimiento subraya una brecha en la educación sobre seguridad en la organización.
Búsqueda de eficiencia
Por otro lado, los empleados a menudo priorizan la eficiencia y la conveniencia por encima de la conformidad con las políticas del departamento de tecnología. Si perciben que las herramientas aprobadas no satisfacen una necesidad empresarial específica o no son tan eficientes como otras opciones disponibles, pueden optar por soluciones no autorizadas.
Esta búsqueda de funcionalidad y eficiencia a menudo les lleva a adoptar aplicaciones SaaS, servicios en la nube, o incluso dispositivos personales bajo la modalidad BYOD, sin una debida evaluación de los riesgos de seguridad.
Actividades ilícitas
Aunque la mayoría de los casos de Shadow IT son impulsados por la necesidad de eficiencia y no por intenciones maliciosas, existe una minoría de situaciones donde las herramientas no autorizadas se utilizan para actividades ilícitas. Esto puede incluir el robo de datos, el acceso a información sensible sin autorización, o la introducción de otras formas de vulnerabilidades de seguridad en la red de la organización.
El peligro del Shadow It
El fenómeno de Shadow IT presenta diversos riesgos de seguridad que pueden impactar significativamente en una organización.
Su naturaleza subrepticia implica que el departamento de IT a menudo desconoce su presencia, lo que reduce drásticamente la visibilidad y control sobre cómo se utilizan las herramientas y servicios.
Este desconocimiento se traduce en vulnerabilidades críticas, principalmente en dos áreas:
Compromiso de datos confidenciales
Cuando los empleados utilizan servicios no aprobados, especialmente en la nube, se incrementa el riesgo de que datos confidenciales sean mal gestionados o incluso robados. Los atacantes pueden explotar errores de configuración y vulnerabilidades de seguridad en estos servicios no supervisados.
Estos incidentes pueden ser particularmente insidiosos, ya que a menudo ocurren fuera del radar del departamento de tecnología.
Como resultado, las fugas de datos y otros ciberataques pueden producirse sin que la organización lo detecte a tiempo. El costo de estos incidentes es considerable, tanto en términos financieros como de reputación.
Un estudio de IBM en 2020 estimó que las fugas de datos debidas a configuraciones erróneas en la nube pueden costar millones, evidenciando la gravedad del riesgo.
Infracción de normativas de protección de datos
La Shadow IT puede llevar a las organizaciones a violar leyes de cumplimiento de datos, a menudo sin su conocimiento. La utilización de herramientas no autorizadas para gestionar datos confidenciales puede ocasionar que una organización incumpla con regulaciones como el RGPD.
Esta situación puede derivar en severas penalizaciones y multas, además de dañar la confianza del cliente y la credibilidad del negocio.
¿Se puede frenar el Shadow IT? Estrategias
Para mitigar los riesgos asociados con Shadow IT y promover un entorno de red seguro y eficiente, es fundamental adoptar una serie de buenas prácticas. Estas prácticas no solo ayudan a controlar y reducir la incidencia de Shadow IT, sino que también mejoran la seguridad de la información en general. Aquí se presentan algunas estrategias clave:
Concientización
La educación y capacitación en seguridad de la información son esenciales. Es crucial instruir a los usuarios sobre los riesgos inherentes a la manipulación inadvertida de información. Proporcionar formación regular puede aumentar la conciencia sobre los peligros del Shadow IT y fomentar comportamientos más seguros.
Identificación y monitoreo
Es importante identificar y monitorizar continuamente las aplicaciones, el software y los procesos que se ejecutan en la red. Utilizar software de inventario facilita el seguimiento de cambios en hardware o software, permitiendo una rápida detección y respuesta ante cualquier anomalía.
Análisis de riesgo y adecuación
Tras identificar el Shadow IT, es necesario analizar su impacto en la red y determinar la mejor manera de eliminarlo o integrarlo de forma segura. Este análisis debe equilibrar la necesidad operativa del software o hardware con los riesgos de seguridad asociados.
Gestión de procesos y análisis de necesidades
La gestión eficaz de procesos es fundamental para prevenir la aparición de Shadow IT. Incluir revisiones periódicas y análisis de procesos, con la participación activa del área de tecnología, puede garantizar que las necesidades operativas se satisfagan de manera segura y conforme a las políticas de la empresa.
Aplica una política de Shadow IT
Una política de Shadow IT es un conjunto de directrices establecidas por el departamento de IT para regular la adopción, aprobación y gestión de hardware o software nuevo en una organización.
El propósito principal de estas políticas es controlar y gestionar los sistemas y servicios de manera que se evite la introducción de herramientas no autorizadas, las cuales podrían presentar riesgos de seguridad.
Estas deben ser dinámicas y adaptarse a la evolución de los riesgos asociados con la tecnología y las necesidades cambiantes de la empresa. Deben abordar aspectos como:
- Procedimiento para solicitar y aprobar nuevo software.
- Responsabilidades para la gestión de datos confidenciales.
- Consecuencias de violar dichas políticas.
Curiosamente, muchas organizaciones aún no han estandarizado estas políticas.
Según una encuesta de Entrust a 1000 profesionales de IT en EE. UU., el 37% indicó que en sus organizaciones no existen consecuencias claras por el uso de Shadow IT, destacando la necesidad de una mayor implementación y concienciación sobre estas políticas críticas.
Herramientas para aplicar políticas de Shadow IT eficaces
Para aplicar eficazmente una política de Shadow IT, se pueden utilizar varias herramientas y tecnologías. Estas son:
Software de Gestión de Activos de TI
Estas herramientas permiten a las organizaciones mantener un inventario actualizado de todos los activos de hardware y software. Proporcionan visibilidad sobre qué dispositivos y aplicaciones están siendo utilizados en la red, lo cual es crucial para identificar el uso no autorizado.
¿Qué herramientas usar?
- Spiceworks IT Asset Management: Gratuita y efectiva para pequeñas empresas
- Service Not IT Asset Management: Para grandes empresas
También podría ser muy útil aplicar la seguridad perimetral.
Herramientas de Detección y Prevención de Intrusiones (IDS/IPS)
Estos sistemas monitorean el tráfico de red en busca de actividades sospechosas o maliciosas, lo que puede ser indicativo de Shadow IT. Snort es una excelente opción open source para pequeñas empresas, y Cisco Firepower es ideal para entornos empresariales más grandes.
Soluciones de Gestión de Identidad y Acceso (IAM)
Estas plataformas controlan quién tiene acceso a qué recursos dentro de la red. La IAM puede restringir el uso de aplicaciones no aprobadas y asegurar que solo el personal autorizado tenga acceso a aplicaciones y datos críticos.
Ideas de herramientas:
- Keycloak es una solución IAM open source.
- Okta Identity Cloud se adapta bien a las necesidades de las grandes organizaciones.
Análisis de Comportamiento de Usuarios y Entidades (UEBA)
Estas herramientas utilizan el aprendizaje automático y la inteligencia artificial para entender cómo los usuarios típicamente interactúan con los sistemas de IT. Cualquier desviación de este comportamiento «normal» puede indicar Shadow IT.
Soluciones recomendadas:
- Apache Metron para empresas más pequeñas.
- Exabeam es una opción robusta para empresas más grandes.
Soluciones de Seguridad en la Nube (CASB)
Los agentes de seguridad de acceso a la nube pueden ser particularmente útiles para monitorear y controlar el uso de servicios en la nube. Estas herramientas pueden aplicar políticas de seguridad en la nube y proporcionar visibilidad sobre el uso no autorizado de servicios en la nube.
- CloudCheckr es una opción económica para pequeñas empresas.
- McAfee MVISION Cloud ofrece una solución completa para grandes empresas.
Conclusión
El fenómeno del Shadow IT, con sus diversas manifestaciones, representa un desafío significativo para la seguridad y la gestión de TI en las organizaciones modernas.
La comprensión y el manejo adecuado de estas prácticas no autorizadas son fundamentales para proteger las infraestructuras tecnológicas y la información corporativa. Esto implica no solo una vigilancia tecnológica continua y una gestión eficaz de los recursos de TI, sino también una mayor concienciación y educación entre los empleados sobre los riesgos asociados con el uso de soluciones no sancionadas.