Cerrar panel

Cerrar panel

Cerrar panel

Cerrar panel

Ciberseguridad 26 sep 2023

Shadow IT: un peligro en la sombra

A menudo, la tecnología facilita muchas tareas del día a día. Pero un uso indebido de ella puede ocasionar graves problemas de seguridad a las empresas. Usar licencias gratuitas para editar documentos corporativos o almacenar información sensible en clouds no autorizadas pueden generar casos de shadow IT, o lo que es lo mismo:  el uso de tecnología no autorizada por la organización en la sombra. ¡Arrojemos luz sobre esta problemática!

Shadow IT: un peligro en la sombra
Juan Manuel Matalobos (Experto en ciberseguridad - BBVA)

¿Qué es shadow IT y por qué surge?

El término shadow IT o tecnología en la sombra hace referencia al uso por parte de cualquier empleado de una empresa de software, hardware o servicios en la nube, externos al ámbito corporativo, sin el conocimiento y la aprobación del departamento de tecnología.

En casi todas las organizaciones existen usuarios que implementan aplicaciones, herramientas o servicios externos dentro del entorno empresarial sin el conocimiento o consentimiento del departamento de tecnología o informática.

Se trata de un fenómeno que trae de cabeza a las organizaciones; de hecho, la firma de investigación Gartner descubrió que el 41 % de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos de TI (Tecnología de la Información) en 2022 y espera que esa cifra ascienda al 75 % en 2027.

Este tipo de situaciones surgen porque los empleados buscan soluciones o atajos para abordar sus tareas diarias. A primera vista, puede parecer una práctica inofensiva con numerosas ventajas como la inmediatez o la rapidez. Sin embargo, esta búsqueda de eficiencia a menudo da lugar a riesgos significativos. Estos pueden poner en peligro la seguridad y la integridad de la empresa.

Por ejemplo, por el uso de dispositivos personales que, llegado el caso, un empleado podría llevar a su trabajo como teléfonos, USB o portátiles. O aplicaciones en la nube o cualquier otro software o hardware no inventariado y que se utilice, en el entorno laboral para compartir documentos y trabajar de forma colaborativa con otros compañeros.

Conocer los riesgos que implica introducir shadow IT

El shadow IT deja la puerta abierta a la fuga de datos, robo de información confidencial y muchos más riesgos de seguridad que suponen un auténtico quebradero de cabeza para los equipos de tecnología.

Uno de esos riesgos son las brechas de seguridad. El departamento de IT tiene la responsabilidad de supervisar y controlar todas las tecnologías utilizadas en los entornos corporativos. Sin embargo, la presencia de este tipo de tecnología en la sombra complica esta labor. En caso de que se produzca una violación de seguridad, es muy probable que la empresa no disponga de los procedimientos y recursos adecuados para detectar esta circunstancia y responder de manera efectiva. Esto se traduce en importantes demoras en la mitigación de la amenaza.

Además, es importante tener en cuenta que las aplicaciones que no forman parte de los circuitos oficiales de las áreas de tecnología pueden no estar actualizadas con los últimos parches de seguridad. Esta situación crea un entorno propicio para que los ciberdelincuentes se aprovechen de vulnerabilidades y accedan a datos confidenciales.  Y se produzcan, de este modo, posibles fugas de información.

Shadow IT: un peligro en la sombra

Hay que tener claro que no todas las aplicaciones y herramientas están diseñadas para garantizar la confidencialidad y el cumplimiento de las regulaciones de privacidad. Si un empleado maneja información sensible y decide compartirla a través de tecnología que no ha sido aprobada por el equipo de Tecnología, aumenta la posibilidad de que esa información se filtre y acabe en manos equivocadas.

La violación de normativas y las posibles sanciones son riesgos adicionales que pueden surgir al introducir la tecnología en la sombra en los entornos corporativos por usar sistemas de información no regulados y fuera de los estándares legales o de cumplimiento de los organismos reguladores; algo que podría afectar también a la reputación de esa entidad. En ese sentido, cabe recordar que muchas de las licencias consideradas como gratuitas no lo son en todos los entornos, y se podría estar incurriendo en una utilización de ese software sin pagar por la licencia correspondiente.

¿Cómo evitar la práctica de shadow IT?

Informar a los empleados sobre los riesgos asociados al uso de tecnología en la sombra es una tarea de imperiosa necesidad para las organizaciones, para evitar la proliferación de esta práctica, que es cada vez más fácil con el crecimiento de la oferta de servicios en la nube.

También es necesario establecer políticas y procedimientos firmes y claramente definidos sobre el uso de tecnología en la empresa. Esto permitirá que se cumplan los estándares de seguridad necesarios para proteger los datos corporativos y cumplir con los requisitos legales. Uno de los mecanismos a implementar es la comunicación, por parte de cada empleado, de aquellos activos, sistemas o herramientas de las Tecnologías de la Información y Comunicaciones cuyos riesgos no hayan sido evaluados para que se haga, precisamente, un análisis de riesgos y, llegado el caso, se presente una solución técnica que cuente con todas las garantías y que pueda homologarse dentro de la organización.

Realizar auditorías periódicas de los sistemas y aplicaciones también puede ayudar a identificar posibles amenazas de seguridad y garantizar el cumplimiento de las políticas establecidas.

Siguiendo estas buenas prácticas se podrán combatir todos estos riesgos en la sombra y arrojar algo más de luz sobre la problemática del shadow IT.

Cómo combaten las Fuerzas y Cuerpos de Seguridad del Estado a los ciberdelincuentes

00:00 28:20