En la era de la transformación digital, el uso no autorizado de tecnologías, conocido como Shadow IT, se ha convertido en una preocupación creciente para las empresas, especialmente en el sector de telecomunicaciones y tecnología. Un reciente estudio de Kaspersky destaca que el 77% de las empresas a nivel mundial han sufrido incidentes cibernéticos en los últimos dos años, con un 11% directamente relacionados con Shadow IT. Este artículo explora las implicancias de esta práctica y las estrategias para mitigar sus riesgos
Francisco Carrasco M.
Shadow IT y sus riesgos
El concepto de Shadow IT abarca el uso de aplicaciones, dispositivos y servicios de nube pública no autorizados, desafiando las políticas de seguridad establecidas. Los incidentes más notorios incluyen filtraciones de datos y daños a la infraestructura de la empresa. La industria de TI ha sido particularmente afectada, sufriendo el 16% de estos incidentes. Sectores como infraestructuras críticas, y transporte y logística también han sido impactados significativamente.
El incidente de seguridad en Okta, donde un empleado utilizó su cuenta personal de Google en un dispositivo corporativo, dio como resultado un acceso no autorizado a datos sensibles, afectando a 134 clientes. Este caso ilustra las consecuencias potenciales del Shadow IT, subrayando la necesidad de una gestión y control eficaces.
Desde aplicaciones no autorizadas hasta dispositivos personales y hardware obsoleto, el Shadow IT adopta varias formas. Incluso los programadores, al desarrollar soluciones a medida sin autorización, pueden introducir vulnerabilidades en la red de la empresa.
A menudo, los empleados utilizan Shadow IT para mejorar su eficiencia laboral, sin intenciones maliciosas. Sin embargo, ignoran que bajo los términos de responsabilidad compartida, ellos son responsables de actualizar y mantener seguras estas aplicaciones no autorizadas.
Para controlar el uso de Shadow IT, Kaspersky recomienda varias estrategias, como la cooperación entre los departamentos de TI y el resto de la empresa, el inventario regular de activos informáticos, el control de acceso a los dispositivos personales, capacitaciones en seguridad de la información, inversiones en programas de formación para especialistas en seguridad de TI, y el uso de productos y soluciones para monitorear y controlar el Shadow IT.
Alexey Vovk, responsable de Seguridad de la Información de Kaspersky, señaló:
Los empleados que utilizan aplicaciones, dispositivos o servicios en la nube no autorizados por el departamento de TI creen que, si esos productos informáticos proceden de proveedores de confianza, deben estar protegidos y seguros. Sin embargo, en los ’términos y condiciones’, los proveedores externos utilizan el llamado ’modelo de responsabilidad compartida’ [...] Las empresas necesitan herramientas para controlar el Shadow TI cuando sus empleados lo utilizan.
¿Cómo puede tu empresa mejorar la gestión del Shadow IT para fortalecer su seguridad cibernética?
