Shadow IT. El propio nombre suena aterrador, como si un fantasma estuviera rondando tu infraestructura de IT. Y aunque el shadow IT definitivamente supone un riesgo para tu organización, es algo que puedes evitar con algunas buenas prácticas, así como construyendo una cultura de ciberseguridad en tu empresa.
El término "shadow IT" se refiere a cualquier tipo de sistema, software, dispositivos o aplicaciones utilizados por los empleados sin la aprobación del departamento de IT. Esta práctica, que puede adoptar diferentes formas, viola casi todas las iniciativas de cumplimiento y representa importantes riesgos de seguridad para la organización.
Ahora que tenemos la definición básica es el momento de echar un vistazo a:
- Cómo se relaciona el shadow IT con los servicios basados en la nube
- Las razones de su existencia
- Sus riesgos y las medidas a tomar
Entender el shadow IT
La masiva adopción de servicios basados en la nube ha provocado un aumento exponencial del shadow IT dentro de las empresas (de hecho, es a menudo un punto de discusión entre la nube vs. soluciones on premise).
Aplicaciones en la nube como Dropbox, Google Docs, Skype, Slack o incluso hojas de cálculo y macros de Excel desarrolladas por los propios empleados son algunos ejemplos del shadow IT. La posibilidad de existencia de estos activos no autorizados debe considerarse dentro de cualquier iniciativa de gestión de activos de software.
Si bien SaaS puede conducir al shadow IT, también involucra otros elementos como dispositivos personales (laptops, tablets, smartphones o unidades USB).
En concreto, el shadow IT abarca básicamente cualquier servicio en la nube, software y hardware que se utiliza sin el conocimiento del grupo de IT o de seguridad dentro de la organización.
¿Por qué existe el shadow IT?
Una de las razones por las que los usuarios caen en el shadow IT es porque perciben que trabajan de forma más eficiente: ya conocen las herramientas y creen que pueden instalarlas y utilizarlas fácilmente para interactuar más eficazmente con otros trabajadores, y también con personas ajenas a la empresa.
En cambio, consideran que aprender a utilizar los instrumentos proporcionados por el departamento de IT (si son nuevos para ellos) supone más tiempo y esfuerzo. Además, es posible que se sientan más cómodos con las herramientas que usan a diario.
También hay que tener en cuenta que el concepto de "Traiga su propio dispositivo" (BYOD, por sus siglas en inglés) ha provocado el aumento del shadow IT. Puede parecer que el BYOD proporciona cierto ahorro a la empresa, ya que permite a los empleados utilizar sus propios smartphones o computadoras. Sin embargo, el BYOD implica riesgos si no se toman las precauciones necesarias.
Entonces, si bien el shadow IT podría dar una idea de que ayuda a los empleados a mejorar la productividad, lo cierto es que introduce graves riesgos de seguridad. Incluso, conduciría a ineficiencias y representaría grandes pérdidas para la organización.
El Shadow IT: riesgos y ejemplos
Vamos a desglosar algunos de los riesgos más críticos del shadow IT, y ejemplos para ponerlos en contexto.
1. Más superficie de ataque
Cualquier dispositivo conectado a la red representa un punto de acceso para los ciberdelincuentes. Las credenciales débiles podrían exponer información sensible. Además, los datos se encuentran fuera de los límites de la seguridad, por lo que allí los riesgos no pueden ser monitoreados.
Según Gartner, un tercio de los ataques experimentados por las empresas se deben a recursos del shadow IT. Por lo tanto, es importante que las organizaciones minimicen el riesgo tomando medidas preventivas, y también educando a sus empleados.
2. Pérdida o fuga de datos
Dicho ítem está relacionado con el punto anterior e incluso va más allá. Con el shadow IT, la organización pierde el control y la visión, lo que podría provocar fugas de datos, problemas de seguridad, incumplimiento de la normativa y la imposibilidad de recuperar la información en caso de extravío.
Si, por ejemplo, un empleado guarda contratos, proyectos o información sensible de clientes en un Google Drive u otras aplicaciones en la nube, puede ocurrir que este deje la empresa o, por alguna razón, se cancele su cuenta en la nube. En consecuencia, sería difícil recuperar esos datos críticos. En cambio, cuando toda la seguridad de la nube es gestionada por un departamento de IT, el flujo de datos es monitoreado de cerca.
3. Aumento de los costos
Cualquier fuga de datos o ciberataque puede suponer una gran pérdida de dinero para la empresa; o un alto costo por la falta de cumplimiento de la normativa.
Imaginemos que un empleado almacena información sensible de un cliente en una aplicación en la nube del shadow IT. Si fuera víctima de un ciberataque, la empresa tendría que afrontar altos costos legales por incumplimiento. Además, la reputación de la empresa se vería dañada.
"Existe un alto riesgo de seguridad, que puede someter a toda la organización a un ataque de denegación de servicio, ransomware o fuga de datos, entre otras cosas. El Shadow IT no sólo implica un riesgo tecnológico, sino que también pone en riesgo al propio negocio. Por ello, es imprescindible que existan procedimientos y controles que impidan, dificulten e inhiban el funcionamiento y mantenimiento del shadow IT dentro de la organización, además de detectar cualquier shadow IT existente, tanto en la red de usuarios, como en el centro de datos y la nube pública."
-- Martín Hoz, vicepresidente de Ingeniería de Fortinet para América Latina.
4. Inconsistencia
Cuando se trata de utilizar el shadow IT, cada empleado tendría que reportar datos sobre las tareas realizadas, la productividad e incluso los inconvenientes de seguridad. Esto podría llevar a inconsistencias, así como a problemas para rastrear la información necesaria, que sería más fácil de obtener si el departamento de IT tuviera el control.
5. Falta de eficiencia
Aunque los empleados puedan pensar que el uso de algunas aplicaciones del shadow IT optimizará su rendimiento, el resultado es exactamente el contrario. Si los datos están dispersos en diferentes ubicaciones de la infraestructura, el departamento de IT tardará más tiempo en analizar, informar y llevar a cabo las tareas para mejorar la seguridad y planificar ajustes para atender la arquitectura o la capacidad del sistema.
Cómo gestionar el shadow IT
La idea es encontrar un punto intermedio entre el departamento de IT y la unidad de negocio o el usuario, de modo que puedan utilizar algo del shadow IT. Aunque el departamento de IT deberá controlar los permisos de los usuarios y los datos de esas aplicaciones.
En definitiva, la empresa debe tomar medidas para reducir la necesidad del shadow IT, y sólo permitir el hardware o las aplicaciones que puedan resultar útiles (y demostrar que son activos realmente beneficiosos). Además, habrá que establecer políticas para gestionar los shadow IT aceptados.
Los 5 pasos que se deben llevar a cabo son:
- Descubrir los shadow IT
- Conocer las necesidades de los usuarios
- Educar a los usuarios
- Evaluar los riesgos y tomar medidas
- Establecer políticas sobre el shadow IT
1. Descubrir los shadow IT
El departamento de IT debe hacer un escaneo y monitorear la red para detectar si hay algún shadow IT que pueda suponer un riesgo. Un descubrimiento proactivo de las herramientas del shadow IT, así como de cualquier riesgo de red asociado a él ayudará a mitigar problemas futuros. Cuidar la seguridad de la red es una obligación.
Aquí es donde una herramienta de gestión de activos de IT como InvGate Insight resulta útil. Insight te proporciona una visión unificada rápida y fácil de todo tu inventario de activos, incluyendo el software instalado en tus activos de hardware. Esta fácil visibilidad de los datos de gestión de activos y configuraciones te otorga el control que necesitas para mantener el shadow IT bajo vigilancia.
2. Conocer las necesidades de los usuarios
Debe existir una comunicación fluida y efectiva entre el departamento de IT y la unidad de negocio o los usuarios, para entender las necesidades y los requerimientos de ellos; y, consecuentemente, pensar en las mejores tecnologías acordes.
3. Educar a los usuarios
Los usuarios deben recibir formación constante para que comprendan los riesgos asociados al shadow IT en el digital workplace; así como otras amenazas. De este modo, los usuarios informados, conscientes de los riesgos de seguridad, podrán entender mejor la necesidad de limitar sus usos y/o adoptar las soluciones más adecuadas para atender sus necesidades.
4. Evaluar los riesgos y tomar medidas
Es importante tener en cuenta que no todas los shadow IT implican el mismo grado de amenaza. Entonces, las organizaciones deben evaluar las tecnologías de forma continua para mitigar las actividades que puedan implicar riesgos.
5. Establecer políticas sobre el shadow IT
El descubrimiento de los shadow IT es el primer paso. El departamento de IT debe investigar las aplicaciones, el hardware y las herramientas del shadow IT en general que utilizan los miembros de la empresa, y luego enumerarlas y evaluar los riesgos. A continuación, decidirá cuáles de los recursos de los shadow IT se autorizarán y cuáles se prohibirán.
Una vez hecho esto, el CIO establecerá políticas claras sobre cómo utilizar esos recursos de los shadow IT autorizados. Si los shadow IT autorizados se alinean con las políticas de seguridad, disponibilidad y cumplimiento de la empresa, podría convertirse en parte de una solución.
Por eso es importante determinar primero qué se aceptará y qué no, y luego establecer una política clara en torno a esos recursos. La gestión de SaaS en este sentido es crucial, ya que implica monitorear y gestionar de forma proactiva la compra, las licencias, las renovaciones y la desinstalación de las aplicaciones de software como servicio (SaaS, por sus siglas en inglés) dentro de la empresa.
Preguntas frecuentes
¿Qué es el shadow IT?
Se refiere a todo tipo de hardware y software utilizado sin la participación del departamento de IT. Esto incluye cualquier dispositivo personal como computadoras, laptops, tablets, smartphones o incluso servidores. También se refiere a los servicios en la nube, contemplando el software como servicio (SaaS), la infraestructura como servicio (IaaS) y la plataforma como servicio (PaaS).
¿Cuál es la forma más común del shadow IT?
Los servicios en la nube, especialmente SaaS, son la forma más común del shadow IT. La oferta de servicios y aplicaciones en la nube ha aumentado considerablemente y muchos empleados los utilizan sin el conocimiento por parte del equipo de IT.
Los más populares son las aplicaciones basadas en la nube a las que se accede con un token OAuth, como Google Drive, Docs u otros elementos dentro del workplace de Google o dentro de Microsoft Office 365, como Microsoft Teams.
