Shadow IT

El denominado Shadow IT es una de las principales amenazas cibernéticas para las empresas digitales actualmente. Pero ¿de qué hablamos exactamente?, ¿cuáles son los riesgos que implica para las compañías? En este artículo trataremos de esclarecer todas las dudas acerca de este creciente problema en seguridad informática.

¿Qué es el Shadow IT?

El Shadow IT se refiere al conjunto de dispositivos, aplicaciones, softwares, archivos o servicios empleados por los trabajadores de una organización sin que hayan sido aprobados, dispensados o al menos, estén bajo el control del departamento de tecnología de la empresa. De ahí que nos refiramos a ellos como tecnología en la sombra. Los equipos de TI (tecnología de la información) de las compañías no conocen su utilización y, por lo tanto, no son capaces de establecer un protocolo de control y protección informática respecto a su uso, lo cual puede conllevar un riesgo importante para la seguridad informática de la empresa.

Diferentes tipologías de Shadow IT

Actualmente, las amenazas cibernéticas pueden provenir de multitud de canales diferentes. En concreto, el Shadow IT puede presentarse en estos formatos:

  • Hardware tales como unidades flash, smartphones, tablets, loT o unidades externas conectadas a los ordenadores corporativos
  • PaaS, IaaS, SaaS o cualquier tipo de servicio en la nube, tales como aplicaciones de mensajería o servicios de almacenamiento online
  • Softwares comerciales
  • Repositorios de datos digitales
  • VPN
  • API

Como podemos ver, para un equipo de TI resulta prácticamente imposible controlar la amenaza del Shadow IT. Un dato muy representativo para hacernos una idea más clara acerca de la magnitud de esta amenaza, es que la media de servicios en la nube utilizados por el conjunto de empleados de una compañía se sitúa en torno a los 1083, de los cuales, los equipos de TI suelen conocer aproximadamente 108 (sólo un 10%).

¿Alguna vez has descargado alguna aplicación o archivo de internet sin notificarlo al departamento de TI de tu organización? O simplemente, ¿has conectado un pen drive personal a tu ordenador de empresa en alguna ocasión? Sin saberlo, estás contribuyendo a hacer crecer el problema del Shadow IT para tu compañía.

Los riesgos del Shadow IT

Los datos que puede representar el Shadow IT en los dispositivos de una organización o compañía son varios. Desde dispositivos afectados hasta auténticas figas de gran cantidad de datos. A continuación categorizamos los principales riesgos del Shadow IT.

  • Fugas de datos: en muchas ocasiones las aplicaciones albergan importantes vulnerabilidades en lo que al tratamiento de datos se refiere. Incluso aquellas que disponen de avanzados controles de seguridad, en la mayoría de los casos suponen una amenaza, ya que la mayoría de los usuarios no disponen de los conocimientos tecnológicos necesarios para ponerlos en práctica. Por ejemplo, una medida muy importante en este sentido es realizar todas las actualizaciones periódicas para mantenerlas al día.
    Cuando los equipos de TI no tienen el control total de dichas aplicaciones y servicios, éstos transmiten datos no seguros, provocando fugas de datos que pueden ser importantes para la organización.
  • Falta de control y visibilidad: al desconocer el uso de una aplicación, el equipo de TI de una organización no dispone de la visibilidad y por tanto, del control sobre la misma. Por eso, hablamos directamente de potenciales puntos de acceso para cualquier posible atacante malintencionado. Solo usar un determinado software sin el conocimiento del departamento de TI, puede suponer una puerta abierta para cualquier agente externo malicioso.
  • Una mayor superficie de ataque: cuando hablamos de superficie de ataque para una empresa, nos referimos al conjunto de softwares usados por la misma, las diferentes modalidades de uso de sus aplicaciones, así como su entorno de red. A mayor cantidad de softwares y aplicaciones utilizadas por sus empleados, mayor será la superficie de ataque de la empresa, lo que es directamente proporcional al aumento de potenciales puntos de entrada para cualquier tipo de ataque a su red.
  • Posibles incumplimientos de la ley: la utilización de la red o de determinados softwares no es igual en términos legislativos para el uso personal que cuando hablamos de una organización. El uso de aplicaciones o entornos red no controlados por el departamento de TI de la empresa es también un grave problema en este sentido, conllevando en multitud de ocasiones un incumplimiento de determinadas leyes, estándares o regulaciones que pueden terminar desencadenando juicos e importantes pérdidas de reputación para la marca.
  • Problemas en la colaboración interdepartamental: vayamos a un ejemplo concreto. Si un sector de la compañía tiende a compartir sus archivos a través de Google Drive, mientras que otro utiliza el servicio en red de Wetransfer y otro opta por Dropbox, es normal que cuando se desarrollen tareas que impliquen a varios departamentos surjan problemas de comunicación y al mismo tiempo, vulnerabilidades en su seguridad informática. Lo normal es que se produzcan muchas más descargas de datos de las necesarias, procedentes de diferentes fuentes. En este sentido, el dato promedio es bastante desalentador. Los empleados dentro de grandes compañías utilizan hasta 57 servicios de intercambio de datos de distintos, lo que hace prácticamente imposible el control de las transacciones, cargas y descargas de datos para sus equipos de tecnología.

Si deseas más información sobre cómo evitar riesgos informáticos, contacta con Geyma a través del correo  geyma@geyma.com o utiliza nuestro formulario de contacto.