'Shadow IT', el peligro de que los empleados usen la tecnología por su cuenta
Las herramientas tecnológicas han permitido a las empresas multiplicar la productividad de sus empleados, pero si las adoptan por su cuenta introducen un peligroso factor de riesgo: el 'shadow IT'. Para evitarlo, las empresas pueden inspirarse en incidentes sufridos por otras compañías que sirven de ejemplo admonitorio y concienciar a sus profesionales.
Según Gartner, el 41 % de los empleados de las empresas adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos de tecnologías de la información (TI) en 2022, porcentaje que podría ascender al 75 % en 2027. Esta práctica, conocida como 'shadow IT' o "TI en la sombra", se define como la creación o el uso por parte de cualquier empleado de herramientas de 'software', 'hardware' o servicios en la nube sin el conocimiento y la autorización del departamento de TI. Y, aunque el 'shadow IT' no se refiere a aplicaciones maliciosas como el 'malware', la ausencia de una supervisión adecuada puede llevar a las empresas a problemas.
"La mayoría de las veces el uso o la generación de 'shadow IT' se produce porque los usuarios buscan ser más eficientes o resolver situaciones que se les plantean en su trabajo, sin ser conscientes del riesgo que comporta", Ana Gómez, especialista en ciberseguridad de BBVA.
Gran incidencia, gran riesgo
Una de cada tres filtraciones de información se debe al 'shadow data' o datos en la sombra (información corporativa almacenada fuera de la infraestructura controlada de datos de la empresa), de acuerdo con IBM. Nuevas tecnologías como la IA generativa abren también la puerta a un uso indebido de datos corporativos: el 73,8 % del uso de ChatGPT en el trabajo se realiza a través de cuentas no corporativas que, a diferencia de las versiones para empresas, utilizan la información introducida para el entrenamiento del modelo, con el peligro de filtración de datos confidenciales que conlleva. El auge del trabajo en remoto también aumenta el riesgo de 'shadow IT': el 32 % de los empleados que teletrabajan utiliza 'software' no autorizado para tareas corporativas.
Los empleados suelen adoptar herramientas y servicios de TI a espaldas del departamento de tecnología por cuestiones de comodidad y eficiencia: por ejemplo, buscan programas con los que estén más familiarizados que aquellos que su empresa ha adoptado a nivel corporativo, o soluciones tecnológicas que la compañía aún no proporciona. A veces, destaca Gómez, los usuarios no son conscientes de la existencia de herramientas corporativas adecuadas a sus necesidades, "no conocen la forma de transmitir sus necesidades a los equipos de IT, o bien tienen la percepción de que los tiempos o los presupuestos que implican son demasiado altos".
El problema es que la TI en la sombra puede plantear importantes riesgos de seguridad. Como el equipo de Tecnología no es consciente del 'shadow IT', no supervisa esos activos ni aborda sus vulnerabilidades (por ejemplo, no coordina actualizaciones que solucionen los problemas de seguridad identificados). La TI en la sombra es especialmente propensa a ser explotada por 'hackers': según el informe 'State of Attack Surface Management 2022' de IBM, el 69 % de las organizaciones encuestadas se vieron comprometidas por un activo informático desconocido o no gestionado entre 2021 y 2022.
Más allá de afectar a la seguridad, las consecuencias pueden ser "operacionales, provocando perjuicios económicos y pérdida de clientes; reputacionales, dañando de manera muy importante la imagen de la empresa; legales y regulatorios, acarreando sanciones para la entidad…". Por ejemplo, solo en el sector financiero, las pérdidas económicas directas asociadas a ataques cibernéticos ascendieron a unos 2.500 millones de dólares desde 2020, y compañías como Meta y Equifax han afrontado multas millonarias por no resolver vulnerabilidades de ciberseguridad o garantizar la seguridad de los datos de sus clientes.
Siempre a la sombra
La prevalencia real del 'shadow IT' es difícil de medir, dado que, por definición, esta clase de actividades no son detectadas por las empresas ni notificadas por los usuarios que incurren en ellas. Incluso en aquellos casos en los que una organización ha llegado a tomar conciencia de la existencia de ejemplos de 'shadow IT' en sus operaciones, esta información no suele hacerse pública. Aun así, algunos casos se han dado a conocer:
- Siemens emprendió una denuncia contra una compañía singapurense como consecuencia del uso indebido de su programa NX por parte de un empleado, que descargó y utilizó una copia pirata del 'software' en un equipo informático corporativo. La empresa, Inzign, fue considerada responsable de las acciones de su empleado y obligada a pagar una multa de más de 30.000 dólares.
- Una empresa de servicios públicos ucraniana sufrió una brecha de seguridad cuando un empleado se descargó una versión sin licencia de Microsoft Office de una web de torrents. La versión estaba infectada con un 'malware' que permitió el acceso a terceros a los sistemas de la compañía.
- La división mexicana de la consultora KPMG vulneró la información fiscal de sus clientes cuando un grupo de desarrolladores de la compañía creó una base de datos en una nube pública de acceso abierto con casi 5 millones de comprobantes fiscales digitales de al menos 41 corporaciones en 2019. Los datos, como informó KPMG México en un comunicado a sus clientes, fueron descargados "en un ambiente no autorizado, sin el conocimiento de la oficina de Seguridad de la Información de KPMG y en contravención a una dirección previa de dicha oficina".
¿Cómo combatirlo?
Existen varias aproximaciones para evitar y minimizar los riesgos del 'shadow IT'. Por ejemplo, "prohibir la informática de usuario y los accesos a aplicaciones web por defecto, una solución que suele ser mal aceptada por los usuarios y puede incluso frenar el trabajo de las áreas", advierte Ana Gómez. Las compañías también pueden optar por realizar oleadas periódicas de descubrimiento de 'shadow IT', y tomar medidas disciplinarias sobre los empleados que utilicen o generen aplicaciones no corporativas, algo que resulta "muy costoso en tiempo de los equipos de TI, y es reactivo, por lo que no se termina de mitigar el riesgo realmente", explica la experta en ciberseguridad de BBVA.
En la entidad, explica Ana Gómez, han optado por gobernar la informática de usuario ('End User Computing' o EUC), siguiendo las recomendaciones de la Autoridad Bancaria Europea en sus Directrices sobre las TIC y la gestión de los riesgos de seguridad:
- Comunicación, formación y concienciación para los equipos.
- Formalización del registro de este tipo de informática, los roles y las responsabilidades.
- Gestión de los riesgos insistiendo en líneas rojas.
- Facilitación de soluciones homogéneas y escalables.
- Realización de esfuerzos periódicos para prevenir y limitar el 'shadow IT', como restricciones operacionales, revisión de la normativa corporativa y auditorías internas.
Las TI en la sombra son un fenómeno generalizado en el mundo empresarial, que ya ha jugado una mala pasada a múltiples compañías, probablemente muchas más de las que el público es consciente. Pero una estrategia adecuada de prevención, basada en una comprensión de las causas del 'shadow IT', es la mejor aliada de las empresas para sacar a la luz las malas prácticas digitales.