Podemos definir el Shadow IT como el software, las aplicaciones u otros recursos informáticos que son usados en una empresa sin el conocimiento de los departamentos o los responsables encargados de la infraestructura tecnológica.
Esta invisibilidad al radar de los especialistas tiene muchos peligros potenciales, ya que hace a las compañías muy vulnerables en un aspecto crucial como es la protección de sus sistemas y datos críticos, lo que puede originar desde incumplimientos normativos graves, hasta brechas de seguridad susceptibles de ser explotadas por los ciberdelincuentes.
Para hacernos una idea de la magnitud del problema, hay estudios de grandes tecnológicas que cifran en un 82% el número de empresas que no tienen un control pleno de las aplicaciones que usan sus empleados, mientras que el porcentaje de estos que compartirían información corporativa en clouds de terceros alcanzaría el 33%.
¿Qué se considera Shadow IT?
El espectro de recursos en la sombra es amplísimo, al abarcar todo tipo de dispositivos físicos: smartphones, tablets, aparatos IoT, unidades flash, hardwares externos… pero igualmente cualquier solución en la nube, App de mensajería, aplicación de control de productividad, red VPN externa, repositorio de datos, interfaz de programación de aplicaciones, etc.
¿Por qué se extiende el uso de Shadow IT?
La expansión del Shadow IT, más allá de por la creciente complejidad tecnológica inherente a la transformación digital de las empresas, se explica también por fenómenos coyunturales como el auge del teletrabajo, que propició por ejemplo el abandono de los endpoints corporativos, y el uso de smartphones o portátiles personales para asuntos laborales. Una tendencia que recibe el nombre de bring your own device o BYOD.
Asimismo, si no se controla es fácil que se extiendan malas prácticas como compartir documentos de las empresas en aplicaciones en la nube, redes no autorizadas o softwares de terceros, normalmente mediante el acceso a servicios gratuitos que se encuentran en internet, que precisamente en sus versiones free no extreman mucho la seguridad, algo que sin una adecuada concienciación sobre los peligros es muy factible que no se tenga en cuenta, máxime cuando supone un recurso ‘goloso’ por su instalación y uso sencillos.
A este respecto, haciendo una especie de ingeniería social inversa, tampoco se puede obviar que el uso al Shadow IT en muchas ocasiones no es un capricho por parte del personal, sino que responde a la necesidad de solventar de manera rápida un problema, para poder seguir con el siguiente cometido. Por poner un ejemplo, la falta de capacidad para soportar archivos pesados de un correo corporativo, aboca fácilmente a buscar otras opciones para solventar la situación por la vía que sea.
¿Qué importantes problemas provoca el Shadow IT?
Este descontrol en los sistemas TI de la empresa pone en peligro su información crítica, compromete la eficacia de funcionamiento por las potenciales incompatibilidades con programas y softwares foráneos, supone una amenaza potencial para la óptima custodia de los datos de los clientes, y por ende para la reputación corporativa, y en el peor de los casos abona la existencia de ciberataques que pueden comprometer la continuidad de operaciones, e incluso hasta la propia supervivencia de la organización.
Así, esta vida tecnológica clandestina en las sombras supone un auténtico dolor de cabeza para los responsables de velar por la ciberseguridad de las empresas, que tienen que lidiar con un aumento de la superficie expuesta a vunerabilidades y ataques, haciendo toda la infraestructura de red mucho más porosa a los ciberdelincuentes, que tienen muy bien apuntadas este tipo de vulnerabilidades para explotarlas a fondo.
¿Qué medidas se pueden tomar para combatir el Shadow IT en las empresas?
La adopción de estrategias coherentes que incluyan el establecimiento de protocolos de uso de softwares y aplicaciones, la monitorización permanente de toda la infraestructura tecnológica, la concienciación del personal, e incluso valorar la idoneidad de contar con la figura de un CISO… todas ellas son medidas que se pueden aplicar para luchar contra un fenómeno tan potencialmente peligroso como el Shadow IT.
Inclusión en el Plan Director del tratamiento del Shadow IT
En anteriores post vimos la importancia de cualquier empresa tenga trazado un Plan Director de Tecnologías de la Información subsumible en el estratégico general que ya puede haber, y alineado con las recomendaciones del INCIBE, concernientes a la previsión de qué sistemas tecnológicos se usan en la empresa, cómo se emplean y los límites existentes a la hora de utilizar otros dispositivos, softwares, redes, etc.
Además, han de explicitarse las vías de vigilancia y monitorización de la infraestructura IT, el modo en que se va a llevar a cabo y los recursos que se van a poner en liza para ello, desde los IDS para detectar intrusiones o los cortafuegos, hasta los MDM para gestión remota de dispositivos.
Formación del personal
La ingeniería social de los ciberdelincuentes tiene en el punto de mira a la vulnerabilidad inherente a la naturaleza humana, aprovechando aspectos como por ejemplo que cuando se tiene que resolver de manera urgente una tarea para pasar a la siguiente, se puede recurrir a una herramienta online no autorizada. Para impedir esto, la formación juega un papel clave, ya que el personal precisa ser concienciado de las consecuencias que puede tener para la propia continuidad de una empresa un ciberataque devastador, y saber que estas cosas pueden ocurrirle en cualquier momento a una organización con independencia de su actividad o tamaño.
Figura del CISO
Ya sea como cabeza de un departamento o dentro de un servicio de CISO as a Service, contar con la tutela de un responsable de ciberseguridad es fundamental para negocios de todos los sectores, porque es una solución que permite un tratamiento sistemático del problema que parta de la evaluación de los procesos de trabajo y cómo se realizan las tareas en cada área desde el punto de vista del uso de los sistemas TI. Esto al margen de servir para la detención temprana de ‘malas praxis’, posibilita identificar nuevos recursos tecnológicos que puede resultar preciso implementar, para unirlos al inventario de hardwares, softwares y soluciones cloud autorizadas, evitando que por suplir una carencia el personal de la empresa haga descargas inapropiadas o se suscriba a servicios online maliciosos.
Plan de respuesta incidentes
Ponerse en lo peor es inevitable teniendo en cuenta lo fácil que es la infiltración del Shadow IT, por ello hay que tener previsto qué hacer en caso de desastre, para poder articular un plan de respuesta que permita proteger los sistemas e información crítica de la empresa en caso de que se produzca un ciberataque, con independencia de la brecha de seguridad que se haya aprovechado para hacerlo posible.
En ITRES ofrecemos unos servicios y soluciones de ciberseguridad que incluyen desde la prestación de cobertura externalizada de CISO as a Service (CISOaaS), hasta el trazado de planes directores TI a medida para cada cliente. Además, protegemos y respaldamos la información de las empresas con Nube Pública, Privada e Híbrida, y monitorizamos sus sistemas desde un centro de detección y respuesta a incidentes propio operativo 24×7x 365.
Si quiere que le expliquemos más en detalle todo lo que podemos aportar a la seguridad de su negocio no dude en comunicárnoslo. ¡Escríbanos o llámenos al 868 300 513, estaremos encantados de atenderle!
