Seguridad

4 enero, 2021

Qué es el Shadow IT y qué riesgos conlleva

El departamento IT de una empresa siempre debe tener el conocimiento y control sobre todos los programas y dispositivos que se utilizan para realizar las operaciones de negocio. Si los usuarios instalan o utilizan software a espaldas del departamento, estarán generando un gran riesgo al multiplicar las brechas de seguridad que escapan a la monitorización, documentación y control por parte del mismo

El conocido como Shadow IT es una práctica que incrementa los riesgos de seguridad de una empresa y que puede suponer pérdidas cuantiosas, afectar negativamente a la imagen de la marca o propiciar sanciones por no cumplir con las normativas de protección de datos existentes.

Qué es el Shadow IT

Shadow IT o IT invisible engloba todos los programas y dispositivos que se utilizan en el ámbito laboral sin la aprobación o conocimiento del departamento IT. Este tipo de aplicaciones y tecnologías introducen riesgos de seguridad, ya que no están sujetos a las mismas medidas que el resto de infraestructura de la empresa y que sí controla el departamento IT.

En el apartado de hardware en la sombra podemos encontrar el uso de dispositivos móviles, como smartphones y tablets, o pendrives sin el consentimiento de la empresa. Por el lado del software tenemos el uso de plataformas libres como Google Sheet, o Docs y servicios de mensajería como WhatsApp o Skype, dos ejemplos de este tipo de aplicaciones que escapan a los responsables de IT.

Cuáles son los beneficios del Shadow IT

El software Shadow que se utiliza en el entorno laboral muchas veces es el resultado de una carencia en la oferta de herramientas que la propia empresa ofrece a los trabajadores, que acaban recurriendo a programas no autorizados para resolver alguna tarea concreta.

Un ejemplo de este tipo de aplicaciones a las que recurren los trabajadores de una empresa para resolver alguna tarea que no cubren sus herramientas de trabajo son las macros de Excel, capaces de automatizar muchas tareas y ahorrar mucho tiempo.

Qué riesgos conlleva el Shadow IT

El uso de programas y dispositivos shadow en internet crean una situación de alto riesgo al estar ocultas para el departamento IT, que no puede monitorizarlos ni controlarlos, escapando de los protocolos y políticas de seguridad propios de la empresa.

Los principales riesgos que conlleva el uso de Shadow IT son:

Protección de datos

Las normativas sobre protección de datos son muy restrictivas con el objetivo de garantizar la privacidad, integridad y seguridad de la información, sobre todo cuando se trata de datos personales y sensibles de los usuarios o clientes. Incumplir con estas normativas como la LGPD o la RGPD puede suponer unas sanciones económicas muy elevadas para la empresa.

El uso de plataformas no autorizadas para almacenar archivos de trabajo como documentos, hojas de cálculo, informes, vídeos o imágenes es una práctica shadow habitual por parte de muchos trabajadores, dejando a la empresa en una situación delicada en cuanto al cumplimiento de las normativas de protección de datos.

Uso de dispositivos personales

Cuando los usuarios hacen uso de dispositivos propios para realizar su trabajo sin el consentimiento o conocimiento del departamento IT, están poniendo en riesgo la seguridad de todo el sistema al no disponer los mismos de las medidas, protocolos y herramientas de seguridad necesarios.

Los dispositivos más comunes que se utilizan en el trabajo de forma paralela y sin la supervisión de la empresa suelen ser los smartphones y ordenadores portátiles. Muchas empresas han visto las ventajas que supone dejar a sus empleados utilizar sus propios dispositivos en el trabajo y para ello implementan protocolos y medidas de seguridad para que cumplan con las políticas de seguridad propias. A esta práctica se la conoce como BYOD (Bring Your Own Device) o trae tu propio dispositivo, y cada vez es más frecuente su aplicación en los entornos laborales.

Recurrir a macros de Excel

Sin duda, las macros de Excel son una herramienta muy flexible y personalizable para poder automatizar tareas y resolver pequeños problemas que se encuentran en el día a día de cualquier trabajo. Sin embargo, su uso intensivo puede hacer que muchos procesos o tareas empiezan a tener una gran dependencia de este tipo de soluciones que escapan al control del departamento IT.

Muchas de estas macros pueden empezar a sustituir otras herramientas de la empresa para realizar las mismas funciones que son mucho más eficientes y seguras. Por este motivo muchas empresas limitan el uso de Excel y la creación de macros para disponer así de un mayor control de las herramientas que utilizan los trabajadores en sus operaciones diarias.

No cumplir con los protocolos de seguridad

Uno de los principales problemas del Shadow IT viene por el incumplimiento de los distintos protocolos y políticas de seguridad que el departamento IT ha implantado en la empresa para maximizar las medidas de seguridad y reducir los riesgos de ataques informáticos y la pérdida o robo de información. Entre los mayores riesgos que se generan con esta situación podemos destacar:

El uso de contraseñas poco seguras que no cumplen con los criterios de seguridad de la empresa.
Alojamiento de datos en servidores externos no autorizados por el departamento IT, como servicios cloud de almacenamiento gratuitos.
Copias de seguridad que no siguen las normas de la empresa, como en dispositivos externos o en plataformas cloud personales.
El envío de información y datos sin utilizar sistemas de cifrado que garanticen su integridad y privacidad, permitiendo que sean leídos en caso de que un tercero los intercepte.

Mucho de los temidos ataques ransomware que han sufrido empresas en los últimos tiempos se deben a brechas de seguridad que se han creado por parte del Shadow IT, donde usuarios han utilizado programas y dispositivos que no estaban bajo el control del departamento IT de la empresa y que no cumplían con las normas y políticas de seguridad apropiadas.

El uso de estas herramientas y dispositivos invisibles es causa de preocupación para los responsables IT, pues suponen un alto porcentaje de los riesgos a los que la empresa se ve sometida. Hacer un esfuerzo por incluir herramientas apropiadas para los trabajadores, invertir en formación en ciberseguridad y disponer de políticas y protocolos para el uso de dispositivos propios en el trabajo son algunas de las principales medidas para disminuir o eliminar los riesgos que conlleva el Shadow IT.

Google Analytics	_ga	Esta cookie se usa para distinguir a los visitantes del sitio web.	2 años
	_gid	Esta cookie se usa para distinguir a los visitantes del sitio web.	1 día
	_gat	Esta cookie se usa para limitar el porcentaje de solicitudes. Recopila información de forma anónima.	10 minutos
	_utma	ILIMIT COMUNICACIONS, S.L. apoya el uso de Google Analytics en el sitio web para hacer un seguimiento de la actividad realizada en él.	2 años
	_utmb	Las cookies de Google Analytics recopilan información de registro estándar y datos sobre los hábitos de los visitantes de forma anónima.	30 minutos
	_utmc		Sesión
	_utmz	developers.google.com/analytics/resources/concepts/gaConceptsCookies (en inglés).	6 meses
	_utmv		2 años
HubSpot	_hstc	La cookie principal para monitorear visitantes. Contiene: el dominio, utk (ver abajo), fecha y hora inicial (primera visita), última fecha y hora (última visita), fecha y hora visita actual (esta visita) y número de sesión (incrementos para cada sesión posterior).	2 años
	hubspotutk	Esta cookie se utiliza para controlar la identidad de un visitante. Esta cookie se pasa a HubSpot al enviar la solicitud y se usa cuando se eliminan los contactos duplicados.	10 años
	__hssc	Cookies para controlar las sesiones. Esto se utiliza para determinar si debemos incrementar el número de sesión y las marcas de tiempo en la cookie __hstc. Contiene: el dominio, el conteo de visitas (incrementa cada visita a la página en una sesión), hora de inicio de sesión.	30 minutos
	__hssrc	Cada vez que HubSpot cambia la cookie de sesión, también se configura esta cookie. Sencillamente la fijamos al valor «1» y la usamos para determinar si el usuario ha reiniciado su navegador. Si esta cookie no existe cuando administramos las cookies, asumimos que es una nueva sesión.	Sessión
	__hs_opt_out	La política de privacidad de opt-in usa esta cookie para no volver a solicitar al usuario que acepte las cookies. Esta cookie se configura cuando el usuario opta por no aceptar las cookies.	2 años
	__hs_do_not_track	Esta cookie se configura cuando el usuario pta por no aceptar las cookies. Deshabilita el monitoreo y la personalización.	2 años
	__hs_testcookie	Esta cookie se utiliza para probar si el visitante tiene activadas las cookies.	Sessión
	hsPagesViewedThisSession	Esta cookie se usa para monitorear el número de visitas a la página en una sesión.	Sessión
	hsfirstvisit	Esta cookie se usa para monitorear la primer visita de un usuario.	10 años
Hotjar	_hjClosedSurveyInvites	Esta cookie se establece una vez que un visitante interactúa con una ventana emergente modal de la invitación a la encuesta. Se utiliza para garantizar que la misma invitación no vuelva a aparecer si ya se ha mostrado.	1 año
	_hjDonePolls	Esta cookie se establece una vez que un visitante completa una encuesta usando el widget de encuesta de votos. Se utiliza para garantizar que la misma encuesta no vuelva a aparecer si ya se ha completado.	1 año
	_hjMinimizedPolls	Esta cookie se establece una vez que un visitante minimiza un widget de Encuesta de opinión. Se utiliza para garantizar que el widget se mantenga minimizado cuando el visitante navega por su sitio.	1 año
	_hjDoneTestersWidgets	Esta cookie se establece una vez que un visitante envía su información en el widget Recruit User Testers. Se utiliza para garantizar que el mismo formulario no vuelva a aparecer si ya se ha completado.	1 año
	_hjMinimizedTestersWidgets	Esta cookie se establece una vez que un visitante minimiza un widget Recruit User Testers. Se utiliza para garantizar que el widget se mantenga minimizado cuando el visitante navega por su sitio.	1 año
	_hjIncludedInSample	Esta cookie de sesión está configurada para que Hotjar sepa si ese visitante está incluido en la muestra que se utiliza para generar embudos.	1 año

Qué es el Shadow IT y qué riesgos conlleva

Qué es el Shadow IT

Cuáles son los beneficios del Shadow IT

Qué riesgos conlleva el Shadow IT

Protección de datos

Uso de dispositivos personales

Recurrir a macros de Excel

No cumplir con los protocolos de seguridad

+ Post ILIMIT

¿Aún estás despierto?