robsonphoto - stock.adobe.com
TI en las sombras expone a las empresas a ciberincidentes
Una de cada 10 empresas ha sufrido incidentes cibernéticos en los últimos dos años debido al uso de programas o apps no autorizados, señala Kaspersky.
Las empresas corren un mayor riesgo de convertirse en blanco de ciberincidentes debido al uso que hacen los empleados de herramientas tecnológicas “en las sombras” (shadow IT), ya sean aplicaciones, dispositivos y/o servicios de nube pública que no están autorizados o no cumplen con las políticas de seguridad de los departamentos de TI.
De hecho, de acuerdo con un reciente estudio de Kaspersky, del 77 % de empresas en todo el mundo que sufrió incidentes cibernéticos en los últimos dos años, el 11 % fue debido al uso de no autorizado de herramientas de TI por parte de los empleados. Las consecuencias del uso de plataformas no autorizadas pueden ser diversas en su gravedad, pero nunca son insignificantes, ya sea por la filtración de datos confidenciales o por daños tangibles al negocio.
La investigación reveló que la industria de TI ha sido la más afectada, sufriendo el 16 % de los incidentes cibernéticos debido al uso “en lo oscuro” de herramientas y servicios de TI en 2022 y 2023. Otros sectores afectados por el problema fueron el de infraestructuras críticas, así como las organizaciones de transporte y logística, con un 13 % de los incidentes en cada rubro.
El reciente caso de Okta demuestra claramente los peligros de utilizar shadow IT. El año pasado, un empleado, que utilizaba su cuenta personal de Google en un dispositivo propiedad de esa empresa, permitió involuntariamente a los actores de amenazas acceder sin autorización al sistema de atención al cliente de la compañía. Ahí los ciberdelincuentes lograron secuestrar archivos que contenían tokens de sesión que luego podían utilizarse para realizar ataques. Este incidente cibernético duró 20 días y afectó a 134 clientes de la empresa, según el informe de Okta.
Cuando se habla de TI en las sombras, puede tratarse de aplicaciones no autorizadas instaladas en los equipos de los empleados, de memorias USB o de dispositivos móviles no solicitados, entre otros. Pero, señala Kaspersky, también hay opciones menos llamativas como el hardware que queda abandonado tras la modernización o reorganización de la infraestructura informática, que puede ser utilizado por otros empleados, adquiriendo vulnerabilidades que tarde o temprano encontrarán su camino en la infraestructura de la empresa.
En cuanto a los programadores, ellos mismos pueden crear programas a la medida para optimizar el trabajo dentro de un equipo/departamento, o para resolver problemas internos, haciendo que el trabajo sea más rápido y eficaz. Sin embargo, no siempre piden autorización al departamento de TI para utilizarlos, y esto podría tener consecuencias desastrosas.
"Los empleados que utilizan aplicaciones, dispositivos o servicios en la nube no autorizados por el departamento de TI creen que, si esos productos informáticos proceden de proveedores de confianza, deben estar protegidos y seguros. Sin embargo, en los ’términos y condiciones’, los proveedores externos utilizan el llamado ’modelo de responsabilidad compartida’. En éste, al elegir ’Acepto’, los usuarios confirman que realizarán actualizaciones periódicas de ese software y que asumen la responsabilidad de los incidentes relacionados con su uso (incluidas las fugas de datos corporativos). Las empresas necesitan herramientas para controlar el Shadow TI cuando sus empleados lo utilizan”, comentó Alexey Vovk, responsable de Seguridad de la Información de Kaspersky.
La empresa de ciberseguridad señaló que la situación con el uso generalizado de estas herramientas “en las sombras” se complica por el hecho de que muchas organizaciones no tienen documentadas las sanciones que sufrirán sus empleados como consecuencia de ir en contra de las políticas de TI en esta materia. Además, se prevé que las Shadow IT podrían convertirse en una de las principales amenazas para la ciberseguridad corporativa en 2025.
Recomendaciones para mitigar el uso de TI en las sombras
Sin embargo, la motivación de los empleados para utilizar los programas no autorizados no siempre es maliciosa, incluso, usualmente es todo lo contrario. En muchos casos, declaró Kaspersky, los colaboradores la utilizan como una opción para ampliar la funcionalidad de sus herramientas de trabajo porque creen que el conjunto de software permitido es insuficiente, o porque prefieren un programa conocido de sus equipos personales.
Para mitigar los riesgos del uso de Shadow IT en una organización, Kaspersky recomienda:
- Garantizar la cooperación entre toda la empresa y los departamentos de TI para conversar regularmente sobre las nuevas necesidades del negocio y obtener una retroalimentación sobre los servicios de TI utilizados, con el fin de mejorar los ya existentes o crear nuevos, según lo que necesite la organización.
- Realizar periódicamente un inventario de los activos informáticos y escanear la red interna para evitar la aparición de hardware y servicios no controlados.
- En cuanto a los dispositivos personales de los empleados, lo mejor es dar a los usuarios un acceso lo más limitado posible sólo a los recursos que necesitan para hacer su trabajo. Se puede utilizar un sistema de control de acceso que sólo permita entrar en la red a los dispositivos autorizados.
- Realizar capacitaciones para mejorar los conocimientos de seguridad de la información de los empleados. Por ejemplo, el programa de formación Automated Security Awareness Platform de Kaspersky enseña conductas y hábitos seguros en internet a las organizaciones.
- Invertir en programas de formación relevantes para especialistas en seguridad de TI. Por ejemplo, la formación de Cybersecurity for IT Online ayuda a crear mejores prácticas sencillas, pero efectivas, relacionadas con la seguridad de TI y escenarios sencillos de respuesta a incidentes para administradores de TI generalistas; y Online Cybersecurity Training ofrece a los equipos de seguridad los últimos conocimientos y habilidades en gestión y mitigación de amenazas.
- Utilizar productos y soluciones que permitan controlar el uso de Shadow IT dentro de su organización.
- Realizar periódicamente un inventario de los activos informáticos para eliminar la aparición de dispositivos y hardware abandonados.
- Organizar un proceso centralizado para la publicación de soluciones escritas por los propios empleados, de modo que los especialistas en TI y en seguridad de la información tengan conocimiento de ellas en el momento oportuno.
- Limitar el trabajo de los empleados con servicios externos de terceros y, si es posible, bloquear el acceso a los recursos de intercambio de información en la nube más populares.