¿Qué es la Shadow IT?
"Shadow IT" hace referencia al uso no autorizado de software, hardware, u otros sistemas y servicios en de una organización, a menudo sin el conocimiento del departamento de Tecnología de la información (TI) de esa organización. A diferencia de la infraestructura de TI estándar, la Shadow IT no la gestiona una organización a nivel interno.
La Shadow IT puede entrar en una organización de diferentes maneras, pero lo habitual es que se produzca por una de las dos siguientes acciones:
- Usar una herramienta no aprobada para acceder, almacenar o compartir datos corporativos. Por ejemplo, si una organización ha aprobado usar de forma exclusiva Google Workspace para compartir archivos, un empleado podría introducir la Shadow IT en la empresa si decide compartir archivos con Microsoft 365.
- Acceder a una herramienta aprobada de una forma no autorizada. Para seguir con el ejemplo, si un departamento de TI ha aprobado el uso de Google Workspace con cuentas gestionadas por la empresa, un empleado puede introducir la Shadow IT en la empresa si decide acceder a Google Workspace con una cuenta personal que no está gestionada por la empresa.
Tanto si la adopción de la Shadow IT es intencionada como si no, esto genera problemas y costes de seguridad importantes. Aumenta el riesgo de que se produzcan fugas de datos, robos y otros ciberataques, a la vez que impide a los equipos de TI tomar medidas cruciales para minimizar los daños que puedan causar.
¿Por qué los usuarios eligen la Shadow IT?
Dada la multitud de riesgos de seguridad que presenta la Shadow IT, puede parecer sorprendente que los empleados decidan saltarse la aprobación del Departamento de IT al adoptar nuevas herramientas. A continuación, algunos de sus posibles motivos para hacerlo:
- Los empleados no son conscientes de los riesgos de seguridad inherentes a la Shadow IT. Es posible que los empleados no intenten de forma deliberada eludir los controles que ha establecido su departamento de TI, sino que simplemente desconocen que sus acciones pueden comprometer datos corporativos confidenciales y aumentar el riesgo de fuga de datos y ataques.
- Los empleados están más pendientes de las ventajas de utilizar herramientas no aprobadas. Puede que las mejores herramientas para realizar el trabajo no sean las que haya aprobado explícitamente el departamento de TI de una organización. Esto suele motivar que los empleados incorporen servicios adicionales que les ayuden a satisfacer una necesidad empresarial concreta, a obtener una ventaja competitiva en su mercado o a colaborar de forma más eficiente.
- Los empleados usan herramientas no aprobadas para llevar a cabo actividades maliciosas. La mayor parte de la Shadow IT no se usa con fines maliciosos; sin embargo, algunos empleados pueden usar aplicaciones y herramientas no aprobadas para robar datos, acceder a información confidencial o introducir otros riesgos para la organización.
¿Cuáles son los riesgos de la Shadow IT?
Aunque la Shadow IT puede facilitar el trabajo de algunos empleados, sus inconvenientes superan con creces sus beneficios. Si los equipos de TI no pueden realizar un seguimiento de cómo se utilizan las herramientas y los servicios en su organización, puede que no sean conscientes de hasta qué punto tiene presencia la Shadow IT, y no tienen ni idea de cómo se accede, se almacena y se transfieren los datos de la empresa.
El uso de Shadow IT también hace que los equipos de TI pierdan el control sobre la gestión y el movimiento de los datos. Cuando los empleados implementan servicios no aprobados o trabajan en servicios aprobados con métodos no aprobados, pueden ver y mover datos confidenciales sin una adecuada supervisión del departamento de TI. Como resultado de esta falta de visibilidad y control, la Shadow IT puede ocasionar riesgos adicionales, incluyendo los siguientes:
- Los datos confidenciales pueden verse afectados o ser robados. Los atacantes pueden aprovechar los errores de configuración y las vulnerabilidades de los servicios alojados en la nube, lo cual abre la puerta a fugas de datos y otros ciberataques. Estos ataques pueden producirse sin que lo sepa un departamento de TI, especialmente cuando tienen como objetivo aplicaciones y herramientas que no están no aprobadas (y que posiblemente no sean seguras). Y poner remedio a estos ataques puede ser muy caro: en un estudio de 2020, IBM estimó que las fugas de datos causadas por desconfiguraciones en la nube cuestan una media de 4,41 millones de dólares.
- Las organizaciones pueden, a veces, incumplir las leyes de cumplimiento de datos sin saberlo. En el caso de las organizaciones que deben cumplir con las normativas de protección de datos (por ejemplo, el RGPD), es imperativo que tengan la capacidad de seguir y controlar cómo se procesan y comparten los datos. Cuando los empleados usan herramientas no autorizadas para gestionar los datos sensibles, es posible que pongan su organización en riesgo al incumplir estas leyes, lo que puede conllevar graves multas y penalizaciones.
¿Cómo pueden las organizaciones detectar y remediar la Shadow IT?
Hay varios pasos que puede dar un equipo de TI para minimizar los efectos de la Shadow IT en su organización:
- Implementar la detección de Shadow IT. Usar una herramienta de detección de Shadow IT puede ayudar a los equipos de TI a descubrir, rastrear y analizar todos los sistemas y servicios, tanto los aprobados como los no aprobados, que los empleados están usando en este momento. A continuación, los equipos de TI pueden desarrollar políticas para permitir, restringir o bloquear el uso de esas herramientas, según se vea necesario.
- Usar un agente de seguridad de acceso a la nube (CASB). Un CASB ayuda a salvaguardar las aplicaciones y servicios alojados en la nube mediante tecnologías de seguridad combinadas, que incluyen detección de Shadow IT, control de acceso, prevención de pérdida de datos (DLP), aislamiento del navegador, y muchos más.
- Mejorar la formación de los empleados en gestión de riesgos. Puede que los empleados no sean conscientes de los riesgos de seguridad de la Shadow IT. Formar a los usuarios en buenas prácticas, como no utilizar el correo electrónico personal para acceder a recursos corporativos, revelar el uso de cualquier hardware y software no autorizado, informar de fugas de datos, entre otras, puede ayudar a prevenir que los datos se vean comprometidos o sean robados.
- Hablar con los empleados para conocer las herramientas que necesitan. Los empleados suelen saber qué herramientas son las mejores para su trabajo, pero puede que les incomode tener que pedir la aprobación explícita del departamento de TI, debido a limitaciones presupuestarias o cualquier otro problema. Iniciar esas conversaciones e implantar una cultura de no buscar culpables (en referencia a aquellos que ya hayan adoptado la Shadow IT) puede facilitar la creación de un entorno de trabajo más abierto y seguro.
¿Qué es una política Shadow IT?
Una política de Shadow IT ayuda a establecer protocolos para la adopción, aprobación y gestión de nuevo hardware y software en una organización. Los departamentos de TI crean estas políticas y pueden adaptarlas según la evolución de los riesgos de seguridad y las necesidades de la empresa.
Las políticas de Shadow IT son uno de los varios pasos necesarios para controlar y gestionar los sistemas y servicios en una organización, a la vez que se evita la introducción de cualquier herramienta no autorizada. Sin embargo, muchas organizaciones todavía no han estandarizado las políticas de Shadow IT; en una encuesta realizada a 1000 profesionales de TI de EE.UU., Entrust descubrió que el 37 % de los encuestados afirmaba que sus organizaciones no había consecuencias claras por usar Shadow IT.
¿Cómo protege Cloudflare contra la Shadow IT?
La suite de seguridad Zero Trust de Cloudflare ayuda a los departamentos de TI a descubrir, catalogar y gestionar fácilmente las herramientas no aprobadas en sus organizaciones. Más información sobre cómo detecta Cloudflare la Shadow IT.