Shadow IT - Uso de tecnología no aprobada
Lectura de 2 min aprox.
El shadow IT es un término colectivo para los servicios, aplicaciones y dispositivos de TI que los empleados adoptan y utilizan por su cuenta, sin la aprobación ni la supervisión del departamento de TI o de seguridad de la organización. Guardar archivos de trabajo en un Google Drive personal, gestionar proyectos con una herramienta SaaS no aprobada o leer el correo del trabajo en un smartphone personal son ejemplos de shadow IT. Según un estudio de Gartner, entre el 30 y el 40% del gasto de TI de una empresa ocurre fuera de la visibilidad del departamento de TI, lo que plantea graves riesgos tanto para el cumplimiento normativo como para la seguridad.
¿Por qué surge el shadow IT?
La causa raíz del shadow IT es la brecha entre las herramientas oficiales y las necesidades del personal de primera línea. Cuando el proceso de aprobación tarda semanas, la interfaz de la herramienta oficial es difícil de usar o falta una función necesaria, los empleados priorizan la eficiencia del trabajo y recurren a medios no oficiales. En particular, desde la expansión del teletrabajo, el uso laboral de dispositivos personales y servicios en la nube contratados de forma particular se ha disparado, reduciendo aún más la visibilidad del departamento de TI.
La aprobación interna tarda semanas. El personal no puede esperar y lo resuelve por su cuenta.
La falta de funciones y la mala usabilidad impulsan el cambio a herramientas no oficiales.
En el entorno doméstico, el límite entre los dispositivos personales y los servicios personales se vuelve difuso.
Los riesgos que conlleva el shadow IT
El mayor riesgo es la fuga de datos. Cuando los datos de trabajo se almacenan en servicios que el departamento de TI desconoce, la recuperación de datos al producirse una baja, la auditoría de los derechos de acceso y la investigación de incidentes se vuelven difíciles. Los casos en los que queda información de clientes abandonada en una cuenta personal de almacenamiento en la nube son interminables. Además, si un servicio no aprobado no cumple con normativas como el GDPR, toda la organización asume el riesgo de un incumplimiento normativo.
Visibilidad y control con CASB
CASB (Cloud Access Security Broker) es una solución para obtener visibilidad de los servicios en la nube que utilizan los empleados y controlarlos conforme a la política. Analiza el tráfico de red para detectar el uso de SaaS no aprobados y bloquea o advierte sobre el acceso según una puntuación de riesgo. Al integrarlo con IAM, es posible ofrecer inicio de sesión único a los servicios aprobados y, al mismo tiempo, impedir la carga de datos a servicios no aprobados, logrando una gestión unificada.
El flujo de gestión del shadow IT
Cambiar de la prohibición a un enfoque de gestión
Un enfoque que prohíbe el shadow IT de forma generalizada no es realista. Aun con una prohibición, los empleados simplemente encuentran otro medio y, en realidad, la visibilidad cae aún más al pasar la actividad a la clandestinidad. Las organizaciones avanzadas cambian su política de «prohibir» a «gestionar» e implementan un proceso para evaluar y aprobar rápidamente las herramientas que los empleados desean usar. Es eficaz adoptar de forma oficial y activa las herramientas que cumplen los requisitos de seguridad y ofrecer alternativas aprobadas con funcionalidad equivalente para las que no los cumplen.
El shadow IT en la gestión de contraseñas
La gestión de contraseñas es un caldo de cultivo clásico del shadow IT. Cuando una empresa no ha implementado oficialmente un gestor de contraseñas, los empleados gestionan sus credenciales con la función de guardado del navegador, un gestor de contraseñas contratado de forma particular o incluso una hoja de cálculo o un bloc de notas. Como estos quedan fuera del control del departamento de TI, surgen problemas como la imposibilidad de recuperar la información de las cuentas cuando un empleado se va, o que la contraseña de una cuenta compartida quede almacenada solo en el dispositivo de una persona. También desde la perspectiva del control de acceso, implementar una base unificada de gestión de contraseñas en toda la organización es imprescindible. Para más detalles, consulte el artículo sobre el shadow IT y los riesgos de las contraseñas.libros sobre seguridad de la información (Amazon) también ayudan a construir la postura de seguridad de su organización.
Casos de uso reales
«Tras introducir un CASB, descubrimos que dentro de la empresa se usaban más de 200 servicios SaaS no aprobados. En 30 de ellos había datos de clientes almacenados, por lo que migramos los datos y cerramos las cuentas de inmediato. Al mismo tiempo, adoptamos oficialmente las herramientas de uso frecuente mediante una revisión acelerada, reduciendo el riesgo de forma considerable y manteniendo la comodidad de los empleados.»
Las medidas de seguridad para los entornos de teletrabajo se explican en detalle en el artículo sobre la seguridad del teletrabajo, y la construcción de una base de seguridad para toda la organización se trata en la lista de verificación de seguridad para startups.
¿Te resultó útil este artículo?