Índice de temas
Qué es el Shadow IT
El término Shadow IT se refiere a la utilización de dispositivos, aplicaciones, servicios o sistemas de información sin la aprobación o conocimiento del equipo de TI (Tecnologías de la Información) de una empresa. En otras palabras, se trata de la utilización de tecnologías de la información y comunicación (TIC) por parte de los empleados sin la supervisión o autorización formal de la infraestructura de TI establecida.
Estas prácticas suelen surgir cuando los empleados utilizan soluciones no autorizadas, como aplicaciones en la nube, servicios de almacenamiento, aplicaciones móviles o, incluso, hardware no gestionado por el departamento de TI de la empresa. A veces, esto se hace con buenas intenciones para mejorar la eficiencia o la productividad, pero puede generar riesgos significativos para la seguridad y la integridad de los datos de la empresa.
El Shadow IT puede ser un desafío para las organizaciones, ya que puede dificultar la gestión, el control y la seguridad de los activos de TI. Para abordar este problema, las empresas suelen implementar políticas claras, educar a los empleados sobre las mejores prácticas de seguridad y buscar soluciones tecnológicas que equilibren la flexibilidad y la seguridad en el entorno digital.
Riesgos del Shadow IT para la seguridad
El uso no autorizado de tecnologías de la información a través del Shadow IT puede tener varias implicaciones para la seguridad de una organización. La falta de control sobre las soluciones utilizadas puede dar lugar a la fuga no intencionada de datos. Los empleados pueden almacenar información confidencial en servicios de nube no autorizados, lo que aumenta el riesgo de pérdida de datos.
Dependiendo de la industria y las regulaciones a las que esté sujeta la organización, el uso no autorizado de tecnologías puede resultar en incumplimientos normativos. Esto puede dar lugar a sanciones legales y pérdida de confianza por parte de clientes y socios comerciales.
La presencia de soluciones no aprobadas también puede complicar la gestión de la identidad y el acceso a los sistemas. La falta de visibilidad puede dificultar la tarea de garantizar que solo las personas autorizadas tengan acceso a la información y los recursos críticos.
La falta de supervisión adecuada sobre las soluciones no autorizadas dificulta la capacidad de la organización para auditar y realizar un seguimiento de las actividades relacionadas con la información. Esto puede complicar la respuesta a incidentes y la identificación de actividades maliciosas.
En definitiva, cada nueva aplicación o servicio utilizado sin la aprobación de TI aumenta la superficie de ataque de la organización. Esto proporciona a los actores malintencionados más puntos de entrada potenciales para ataques y puede comprometer la continuidad del negocio si las soluciones no están respaldadas adecuadamente o si fallan sin previo aviso.
Ejemplos de Shadow IT
El Shadow IT puede manifestarse de diversas maneras en una organización, como por ejemplo:
El uso de servicios de almacenamiento en la nube: Los empleados utilizan servicios como Dropbox, Google Drive o OneDrive para almacenar y compartir documentos sin la aprobación del departamento de TI.
El uso no autorizado de tecnologías puede resultar en incumplimientos normativos
Las aplicaciones de mensajería instantánea: Los empleados utilizan aplicaciones de mensajería instantánea, como WhatsApp o Telegram, para comunicarse en el trabajo en lugar de las soluciones corporativas autorizadas.
El uso de aplicaciones de colaboración en la nube: Los equipos utilizan herramientas de colaboración en la nube, como Trello, Slack o Asana, sin el conocimiento de TI para gestionar proyectos y tareas.
El despliegue de aplicaciones: Los departamentos individuales implementan sus propias aplicaciones sin la aprobación de TI, buscando soluciones específicas para sus necesidades sin evaluar la seguridad y la conformidad.
Dispositivos personales y BYOD (Bring Your Own Device): Los empleados utilizan sus propios dispositivos (teléfonos, tablets, computadoras portátiles) para acceder a los recursos de la empresa sin seguir las políticas de seguridad establecidas por TI.
La contratación de servicios de computación en la nube: Los equipos adquieren servicios de computación en la nube, como servidores virtuales o bases de datos, sin involucrar al departamento de TI.
El uso de aplicaciones de redes sociales en el trabajo: Los empleados utilizan plataformas de redes sociales para compartir información y colaborar en proyectos, a menudo sin la aprobación de la empresa.
Desarrollo de aplicaciones por cuenta propia: Los equipos de desarrollo crean aplicaciones internas sin la participación de TI, utilizando plataformas y recursos propios.
Ventajas del Shadow IT
Aunque el Shadow IT conlleva riesgos para la seguridad y la gestión de la información, en algunas situaciones, los empleados pueden percibir ciertas ventajas al recurrir a prácticas no autorizadas. Es importante destacar que, si bien puede haber beneficios percibidos, estos deben sopesarse cuidadosamente con los riesgos asociados.
Los empleados a menudo recurren al Shadow IT porque les permite ser más ágiles y flexibles en la adopción de nuevas tecnologías. Pueden implementar soluciones de forma rápida sin tener que pasar por los procesos formales del departamento de TI. En esta línea, al utilizar herramientas y servicios que consideran más eficientes para sus tareas diarias, los empleados pueden sentir que están aumentando su productividad y mejorando sus resultados laborales. Del mismo modo, tener la capacidad de experimentar con nuevas tecnologías sin esperar la aprobación centralizada, los empleados pueden sentir que contribuyen a la innovación dentro de sus funciones.
El uso de aplicaciones de colaboración en la nube y servicios de mensajería instantánea puede mejorar la comunicación y la colaboración entre los miembros del equipo, según la percepción de los empleados. Éstos también pueden preferir soluciones específicas que se adapten mejor a sus necesidades individuales en lugar de utilizar las herramientas estándar proporcionadas por el departamento de TI.
Al evitar los procesos de aprobación y la intervención del departamento de TI, los empleados pueden sentir una mayor autonomía y menos dependencia de los recursos de TI. No obstante, es crucial que las organizaciones encuentren un equilibrio entre la seguridad y la flexibilidad para abordar estas preocupaciones legítimas de los empleados.
Shadow IT: formas más comunes
Algunas de las formas de Shadow IT más comunes que comprometen la seguridad de la empresa son:
Macros de Excel: Las macros en Excel son secuencias de comandos o conjuntos de instrucciones que se pueden grabar y luego reproducir para realizar tareas específicas de forma automática.
Software externo: Puede abarcar desde aplicaciones generales de terceros hasta herramientas especializadas, soluciones en la nube, componentes de desarrollo utilizados para mejorar la funcionalidad y la eficiencia en diversos ámbitos, herramientas de seguridad y desarrollo externas, software de código abierto, integración de software y Software as a Service (SaaS).
Usos de nubes no aprobadas: El uso de nubes no aprobadas, también conocido como ‘Shadow IT en la nube’, ocurre cuando los empleados utilizan servicios en la nube sin la aprobación del equipo de TI.
La presencia de soluciones no aprobadas también puede complicar la gestión de la identidad y el acceso a los sistemas
Ataques de Hardware: Los ataques de hardware se refieren a manipulaciones maliciosas o intentos de explotar vulnerabilidades en componentes físicos de un sistema informático. Aunque los ataques de hardware son menos comunes que los ataques de software, pueden ser muy impactantes y difíciles de detectar.
BYOD: Esta tendencia, anteriormente mencionada, ha ganado popularidad debido a la creciente presencia de dispositivos personales poderosos y la flexibilidad que ofrece tanto a empleados como a empleadores.
Consejos de Seguridad para protegerse del Shadow IT
Protegerse del Shadow IT implica implementar medidas de seguridad que reduzcan los riesgos asociados con el uso no autorizado de tecnologías y servicios en una organización. Algunos consejos para gestionar y mitigar el impacto del Shadow IT son:
Formación y concienciación: Educar y formar a los empleados sobre los riesgos asociados al Shadow IT y la importancia de utilizar solo las soluciones aprobadas por el departamento de TI.
Políticas claras y comunicación: Establecer políticas de TI claras que aborden el uso adecuado de tecnologías y servicios y comunica de manera regular a los empleados.
Monitoreo y detección: Implementar soluciones de monitoreo y detección para identificar actividades relacionadas con el Shadow IT. Esto puede incluir la supervisión de la red, análisis de registros y herramientas de seguridad que identifiquen el uso no autorizado de aplicaciones y servicios.
Si bien los empleados pueden percibir ciertas ventajas de utilizar Shadow IT, estas deben sopesarse cuidadosamente con los riesgos asociados
Gestión de identidad y acceso: Utilizar sistemas de gestión de identidad y acceso para asegurar que solo las personas autorizadas tengan acceso a los recursos y aplicaciones de la empresa.
Soluciones aprobadas y alternativas seguras: Proporcionar soluciones tecnológicas aprobadas y seguras que satisfagan las necesidades de los empleados y que sean seguras y fáciles de usar.
Evaluación y selección de proveedores: Antes de adoptar nuevos servicios en la nube o aplicaciones, realizar una evaluación exhaustiva de los proveedores. Asegúrate de que cumplan con los requisitos de seguridad y privacidad de la organización.
Colaboración con los departamentos de Experiencia de Usuario: Colaborar estrechamente con estos departamentos para comprender sus necesidades y proporcionar soluciones que satisfagan sus requisitos de manera segura.
Gestión de configuración y actualizaciones: Implementar prácticas de gestión de configuración y asegúrate de que todos los dispositivos y aplicaciones estén actualizados con los últimos parches de seguridad para mitigar vulnerabilidades conocidas.
Auditorías y evaluaciones regulares: Realizar auditorías y evaluaciones regulares para identificar posibles instancias de Shadow IT.
Herramientas de detección del Shadow IT
La detección efectiva del Shadow IT implica el uso de herramientas especializadas que pueden identificar el uso no autorizado de aplicaciones y servicios en una red empresarial. Entre estas herramientas se encuentran las de análisis de tráfico de red como Wireshark, tcpdump o Snort, que ayudan a analizar el tráfico de red en busca de patrones y comportamientos que sugieran el uso de servicios no autorizados.
Las soluciones de Prevención de Pérdida de Datos (DLP), como Symantec DLP, McAfee DLP, o Forcepoint DLP, ayudan a identificar y controlar la transferencia de datos sensibles.
Las plataformas de Gestión de Eventos e Información de Seguridad (SIEM), como Splunk, LogRhythm o IBM QRadar, recopilan y analizan registros de eventos en tiempo real, ayudando a identificar patrones y actividades sospechosas.
Otras herramientas clave son las de descubrimiento de aplicaciones, como Netskope, CASB (Cloud Access Security Broker), que permiten descubrir y clasificar las aplicaciones en la nube utilizadas en la red corporativa; así como las de gestión de dispositivos móviles (MDM), entre las que se encuentran Microsoft Intune, VMware AirWatch o MobileIron, y que ayudan a gestionar y asegurar estos dispositivos.
Las herramientas de escaneo de red, como Nmap o Nexpose, ayudan a identificar dispositivos y servicios activos en la red, facilitando la detección de aplicaciones no autorizadas; y las de análisis de tráfico SSL/TLS, como Blue Coat ProxySG o Palo Alto Networks, permiten identificar aplicaciones encriptadas utilizadas en la red.
Por otras parte, están las soluciones de auditoría de configuración, como Nessus, Qualys o OpenVAS empleadas para identificar vulnerabilidades en sistemas y aplicaciones; y las soluciones de gestión de identidad y acceso, como Okta o Ping Identity, que facilitan la gestión y el control del acceso a aplicaciones y servicios.
Por último, existen las soluciones CASB (Cloud Access Security Broker), como Bitglass, Skyhigh Networks (ahora parte de McAfee), o CloudLock (ahora parte de Cisco), que están diseñadas específicamente para gestionar y proteger el acceso a servicios en la nube, ayudando a abordar el Shadow IT.
Es importante destacar que ninguna herramienta es completamente infalible, y la detección efectiva del Shadow IT a menudo implica el uso de múltiples enfoques y herramientas combinadas.