4 enero, 2021

Qué es el Shadow IT y qué riesgos conlleva

 El departamento IT de una empresa siempre debe tener el conocimiento y control sobre todos los programas y dispositivos que se utilizan para realizar las operaciones de negocio. Si los usuarios instalan o utilizan software a espaldas del departamento, estarán generando un gran riesgo al multiplicar las brechas de seguridad que escapan a la monitorización, documentación y control por parte del mismo

El conocido como Shadow IT es una práctica que incrementa los riesgos de seguridad de una empresa y que puede suponer pérdidas cuantiosas, afectar negativamente a la imagen de la marca o propiciar sanciones por no cumplir con las normativas de protección de datos existentes.

Qué es el Shadow IT

Shadow IT o IT invisible engloba todos los programas y dispositivos que se utilizan en el ámbito laboral sin la aprobación o conocimiento del departamento IT. Este tipo de aplicaciones y tecnologías introducen riesgos de seguridad, ya que no están sujetos a las mismas medidas que el resto de infraestructura de la empresa y que sí controla el departamento IT.

En el apartado de hardware en la sombra podemos encontrar el uso de dispositivos móviles, como smartphones y tablets, o pendrives sin el consentimiento de la empresa. Por el lado del software tenemos el uso de plataformas libres como Google Sheet, o Docs y servicios de mensajería como WhatsApp o Skype, dos ejemplos de este tipo de aplicaciones que escapan a los responsables de IT.

Cuáles son los beneficios del Shadow IT

El software Shadow que se utiliza en el entorno laboral muchas veces es el resultado de una carencia en la oferta de herramientas que la propia empresa ofrece a los trabajadores, que acaban recurriendo a programas no autorizados para resolver alguna tarea concreta.

Un ejemplo de este tipo de aplicaciones a las que recurren los trabajadores de una empresa para resolver alguna tarea que no cubren sus herramientas de trabajo son las macros de Excel, capaces de automatizar muchas tareas y ahorrar mucho tiempo.

Qué riesgos conlleva el Shadow IT

El uso de programas y dispositivos shadow en internet crean una situación de alto riesgo al estar ocultas para el departamento IT, que no puede monitorizarlos ni controlarlos, escapando de los protocolos y políticas de seguridad propios de la empresa.

Los principales riesgos que conlleva el uso de Shadow IT son:

Protección de datos

Las normativas sobre protección de datos son muy restrictivas con el objetivo de garantizar la privacidad, integridad y seguridad de la información, sobre todo cuando se trata de datos personales y sensibles de los usuarios o clientes. Incumplir con estas normativas como la LGPD o la RGPD puede suponer unas sanciones económicas muy elevadas para la empresa.

El uso de plataformas no autorizadas para almacenar archivos de trabajo como documentos, hojas de cálculo, informes, vídeos o imágenes es una práctica shadow habitual por parte de muchos trabajadores, dejando a la empresa en una situación delicada en cuanto al cumplimiento de las normativas de protección de datos. 

Uso de dispositivos personales

Cuando los usuarios hacen uso de dispositivos propios para realizar su trabajo sin el consentimiento o conocimiento del departamento IT, están poniendo en riesgo la seguridad de todo el sistema al no disponer los mismos de las medidas, protocolos y herramientas de seguridad necesarios.

Los dispositivos más comunes que se utilizan en el trabajo de forma paralela y sin la supervisión de la empresa suelen ser los smartphones y ordenadores portátiles. Muchas empresas han visto las ventajas que supone dejar a sus empleados utilizar sus propios dispositivos en el trabajo y para ello implementan protocolos y medidas de seguridad para que cumplan con las políticas de seguridad propias. A esta práctica se la conoce como BYOD (Bring Your Own Device) o trae tu propio dispositivo, y cada vez es más frecuente su aplicación en los entornos laborales.

Recurrir a macros de Excel

Sin duda, las macros de Excel son una herramienta muy flexible y personalizable para poder automatizar tareas y resolver pequeños problemas que se encuentran en el día a día de cualquier trabajo. Sin embargo, su uso intensivo puede hacer que muchos procesos o tareas empiezan a tener una gran dependencia de este tipo de soluciones que escapan al control del departamento IT.

Muchas de estas macros pueden empezar a sustituir otras herramientas de la empresa para realizar las mismas funciones que son mucho más eficientes y seguras.  Por este motivo muchas empresas limitan el uso de Excel y la creación de macros para disponer así de un mayor control de las herramientas que utilizan los trabajadores en sus operaciones diarias.

No cumplir con los protocolos de seguridad

Uno de los principales problemas del Shadow IT viene por el incumplimiento de los distintos protocolos y políticas de seguridad que el departamento IT ha implantado en la empresa para maximizar las medidas de seguridad y reducir los riesgos de ataques informáticos y la pérdida o robo de información. Entre los mayores riesgos que se generan con esta situación podemos destacar:

  • El uso de contraseñas poco seguras que no cumplen con los criterios de seguridad de la empresa.
  • Alojamiento de datos en servidores externos no autorizados por el departamento IT, como servicios cloud de almacenamiento gratuitos.
  • Copias de seguridad que no siguen las normas de la empresa, como en dispositivos externos o en plataformas cloud personales.
  • El envío de información y datos sin utilizar sistemas de cifrado que garanticen su integridad y privacidad, permitiendo que sean leídos en caso de que un tercero los intercepte.

 

Mucho de los temidos ataques ransomware que han sufrido empresas en los últimos tiempos se deben a brechas de seguridad que se han creado por parte del Shadow IT, donde usuarios han utilizado programas y dispositivos que no estaban bajo el control del departamento IT de la empresa y que no cumplían con las normas y políticas de seguridad apropiadas.

El uso de estas herramientas y dispositivos invisibles es causa de preocupación para los responsables IT, pues suponen un alto porcentaje de los riesgos a los que la empresa se ve sometida. Hacer un esfuerzo por incluir herramientas apropiadas para los trabajadores, invertir en formación en ciberseguridad y disponer de políticas y protocolos para el uso de dispositivos propios en el trabajo son algunas de las principales medidas para disminuir o eliminar los riesgos que conlleva el Shadow IT.

 

 

 

¡Que aproveche!

Trabajamos incluso a la hora de cenar. Ponte en contacto con nosotros y te ayudaremos en lo que necesites.
Contáctanos