robsonphoto - stock.adobe.com

Shadow IT, la amenaza para las compañías después de la pandemia

La tecnología en las sombras representa un riesgo oculto proveniente del uso que los empleados hacen de aplicaciones o sistemas que no deberían tener acceso a información o datos empresariales.

En un contexto en el que el trabajo remoto se extendió rápida y exponencialmente, las empresas y su fuerza laboral buscan herramientas tecnológicas que favorezcan la colaboración. Esto incluye soluciones basadas en software, hardware, aplicaciones y/o servicios en la nube que, si bien no están prohibidas, tampoco son provistas por la empresa. Esas herramientas no aprobadas están a la sombra del área de TI, motivo por el cual se conocen como Shadow IT.

La tecnología en las sombras, o shadow IT significa un riesgo para la información sensitiva y datos confidenciales que maneja la empresa y también podría llevar a la organización a ser acreedora de penalizaciones, multas, desprestigios de la marca y pérdida de confianza de sus cliente y socios de negocio.

“Esta infraestructura o servicios no autorizados, aunque pretenden agilizar procesos de negocio o proveer soporte para la ejecución de algunas acciones, representan un riesgo para la organización”, advierte Mario Cinco, ingeniero experto en ciberseguridad de Forcepoint. “Lo que se recomienda es realizar análisis periódicos para identificar puntos de shadow IT, valorar la necesidad de esas herramientas no autorizadas, eliminarlas o sustituirlas por tecnología valorada y suministrada por el área de tecnologías de la información, contar con la configuración adecuada y controles de seguridad basados en mejores prácticas y alineado con el apetito de riesgo de la organización”, recomendó Cinco.

Forcepoint compartió algunos datos que nos ayudan a entender, conocer y gestionar el riesgo de este fenómeno. Esto se basa en su experiencia al haber implementado programas de protección de datos y usuarios con sus clientes a nivel global y en diferentes industrias:

  • Por cada aplicación en la nube autorizada se encuentran al menos 8 que no lo están. Si en promedio una organización utiliza 5 aplicaciones de nube, nos encontramos con 40 aplicaciones desconocidas o no autorizadas por la organización.
  • No es económicamente viable replicar o implementar los controles de seguridad que se tienen dentro de las organizaciones, en un nuevo perímetro alrededor del colaborador o trabajo remoto.
  •    Los ataques exitosos y brechas de seguridad son derivados de fallas en la implementación de los controles adecuados para estos entornos.
  • En el entorno actual se ha creado una tormenta perfecta en términos de nuevos riesgos para las organizaciones que deben ser valorados lo más pronto posible y hacer uso de arquitecturas de tipo SASE (perímetro de servicios de acceso seguro) para implementar e integrar los controles adecuados de protección de datos sensitivos y de los usuarios.
  • Se tienen que identificar y analizar las motivaciones que llevan a los colaboradores a implementar dichas herramientas sin informar al área de TI, o incluso evitando los controles de seguridad.
  • Es fundamental que los colaboradores reciban una constante capacitación sobre seguridad. El factor humano es el eslabón más débil dentro de la cadena de seguridad cibernética, por lo que es esencial educar para prevenir ataques.

 

Investigue más sobre Gestión y metodologías