La seguridad se ha situado como una de las materias más importantes a cuidar para cualquier tipo de empresa, pues de ello depende la continuidad de su negocio. Lograr que la infraestructura TI disponga de un alto nivel de protección es una de las metas más ansiadas hoy en día, porque esto permite incrementar de forma notable la competitividad y la rentabilidad en un mercado tan exigente como el actual.
El shadow IT es uno de los desafíos más importantes a los que se enfrentan las organizaciones actuales, que tienen que lidiar con dispositivos y aplicaciones fuera de su control utilizadas por trabajadores y colaboradores cada día.
Esta práctica sitúa a las empresas en una situación crítica, ya que pueden quedar expuestas a peligrosos ciberataques como ransomware, phishing, denegación de servicio o inyección SQL, entre otras, con nefastas consecuencias para el negocio.
Índice de contenidos
Que es shadow IT
Shadow IT o TI en la sombra, hace referencia a la práctica de emplear sistemas informáticos, dispositivos, aplicaciones o servicios sin la aprobación o conocimiento del departamento de TI, lo que lleva a elevar la situación de riesgo.
Estas soluciones “ocultas” son utilizadas por empleados de forma independiente para satisfacer sus necesidades específicas de trabajo, sin pasar por los canales formales de adquisición y gestión de IT establecidos por el negocio.
El concepto BYOD (bring your own device) permite que los usuarios utilicen sus dispositivos en el trabajo, pero siempre con la supervisión y aprobación del departamento de TI. Si esta práctica se realiza sin este control, estamos ante casos de shadow TI.
Ejemplos de shadow IT
En shadow IT tenemos ejemplos para comprender mejor qué es este concepto:
- Utilizar un pendrive personal en los equipos de la empresa.
- Acceder a plataformas y servicios de trabajo con un portátil, tablet, smartphone u ordenador personal (sin conocimiento de los responsables de IT).
- Usar aplicaciones de mensajería instantánea no autorizadas como WhatsApp, Telegram o Snapchat.
- Realizar comunicaciones en plataformas como Skype, Zoom o VoIP sin el conocimiento de los profesionales de TI encargados de la infraestructura.
- Gestionar tareas con herramientas específicas de gestión de proyectos que no son parte de las soluciones de software autorizadas para ello (plataformas online como Trello o Basecamp).
Los riesgos del shadow IT para una empresa
Al permanecer oculto a los ojos de los responsables y profesionales de IT, estos dispositivos son una auténtica amenaza para la seguridad y protección de datos y sistemas. Veamos cuáles son los principales riesgos del shadow IT:
- Abrir las puertas a ciberataques. El shadow IT hace vulnerable la infraestructura de una empresa, elevando el riesgo de que sufra severos ciberataques por parte de los ciberdelincuentes. Al escapar al control de los profesionales de IT, estos dispositivos ocultos pueden no disponer de las medidas y configuraciones necesarias de protección, por lo que se convierte en una entrada para este tipo de ataques e incursiones no deseadas.
- Fugas de datos. Otra de las consecuencias negativas del uso de dispositivos y aplicaciones no autorizadas en el entorno empresarial es la exposición de los datos, que pueden ser robados o sustraídos por terceros no autorizados. Esta situación es especialmente grave cuando hablamos de datos especiales o sensibles, como puede ser información personal, bancaria o datos confidenciales del negocio.
- Incumplimiento de las normativas de protección de datos. Lo que implica la posibilidad de enfrentarse a serias sanciones y multas al no respetar las directrices marcadas por la LOPD española o el RGPD europeo.
- Pérdida de control de los activos IT al estar funcionando una serie de dispositivos y aplicaciones en la sombra y sin supervisión (dificulta el desarrollo e implementación de políticas y protocolos de seguridad coherentes).
Buenas prácticas para prevenir el shadow IT
A la hora de evitar dispositivos y aplicaciones ocultas, es necesario implementar las mejores prácticas de protección y seguridad.
Formar y concienciar al personal
Una de las mejores formas de evitar este tipo de prácticas peligrosas para la ciberseguridad es a través de la capacitación del personal. Recibiendo una formación especializada en seguridad en la empresa y haciéndoles ver los grandes peligros que supone el shadow IT, se minimizará su práctica.
Establecer protocolos de ciberseguridad
Con estrictos protocolos de seguridad se minimiza el impacto de shadow IT, como bloquear el uso de los puertos USB para datos, forzar el uso acceso mediante VPN que solo puede instalar los profesionales IT, políticas transparentes de BYOD, sistemas de autenticación de doble o múltiple factor, etc.
Monitorización y control continuo
La mejor forma de controlar todo lo que sucede en la infraestructura empresarial y detectar el uso de este tipo de dispositivos o software oculto es implementando sistemas modernos y sofisticados de monitorización y seguimiento.
Con este tipo de sistemas se podrá descubrir el shadow IT para actuar de forma inmediata e impedir así que pongan en riesgo la seguridad de datos y sistemas.
Te hemos mostrado qué es shadow IT, los riesgos a los que expone a las empresas, y cómo se puede minimizar su impacto gracias a la implementación de buenas prácticas de ciberseguridad.