El departament IT d’una empresa sempre ha de tenir el coneixement i control sobre tots els programes i dispositius que s’utilitzen per fer les operacions de negoci. Si els usuaris instal·len o utilitzen software a esquena del departament, estaran generant un gran risc en multiplicar les bretxes de seguretat que escapen al monitoratge, documentació i control per part d’aquesta.
El conegut com Shadow IT és una pràctica que incrementa els riscos de seguretat d’una empresa i que pot suposar pèrdues abundants, afectar negativament la imatge de la marca o propiciar sancions per no complir amb les normatives de protecció de dades existents.
Què és el Shadow IT
Shadow IT o IT invisible engloba tots els programes i dispositius que s’utilitzen en l’àmbit laboral sense l’aprovació o coneixement del departament IT. Aquest tipus d’aplicacions i tecnologies introdueixen riscos de seguretat, ja que no estan subjectes a les mateixes mesures que la resta d’infraestructura de l’empresa i que sí que controla el departament IT.
En l’apartat de hardware a l’ombra podem trobar l’ús de dispositius mòbils, com smartphones i tablets, o pendrives sense el consentiment de l’empresa. Pel costat del software tenim l’ús de plataformes lliures com Google Sheet, o Docs i serveis de missatgeria com WhatsApp o Skype, dos exemples d’aquest tipus d’aplicacions que escapen als responsables d’IT.
Quins són els beneficis del Shadow IT
El software Shadow que s’utilitza en l’entorn laboral moltes vegades és el resultat d’una manca en l’oferta d’eines que la mateixa empresa ofereix als treballadors, que acaben recorrent a programes no autoritzats per resoldre alguna tasca concreta.
Un exemple d’aquest tipus d’aplicacions a les quals recorren els treballadors d’una empresa per a resoldre alguna tasca que no cobreixen les seves eines de treball són les macros d’Excel, capaços d’automatitzar moltes tasques i estalviar molt de temps.
Quins riscos comporta el Shadow IT
L’ús de programes i dispositius shadow a internet creen una situació d’alt risc en estar ocultes per al departament IT, que no pot monitorar ni controlar-los, escapant dels protocols i polítiques de seguretat propis de l’empresa.
Els principals riscos que comporta l’ús de Shadow IT són:
Protecció de dades
Les normatives sobre protecció de dades són molt restrictives amb l’objectiu de garantir la privacitat, integritat i seguretat de la informació, sobretot quan es tracta de dades personals i sensibles dels usuaris o clients. Incomplir amb aquestes normatives com la LGPD o la RGPD pot suposar unes sancions econòmiques molt elevades per a l’empresa.
L’ús de plataformes no autoritzades per emmagatzemar arxius de treball com a documents, fulls de càlcul, informes, vídeos o imatges és una pràctica Shadow habitual per part de molts treballadors, deixant a l’empresa en una situació delicada pel que fa a l’acompliment de les normatives de protecció de dades.
Ús de dispositius personals
Quan els usuaris fan ús de dispositius propis per realitzar-la sense el consentiment o coneixement del departament IT, estan posant en risc la seguretat de tot el sistema perquè no disposen de les mesures, protocols i eines de seguretat necessaris.
Els dispositius més comuns que s’utilitzen en el treball de forma paral·lela i sense la supervisió de l’empresa solen ser els smartphones i ordinadors portàtils. Moltes empreses han vist els avantatges que suposa deixar als seus treballadors utilitzar els seus propis dispositius a la feina i per això implementen protocols i mesures de seguretat perquè compleixin amb les polítiques de seguretat pròpies. A aquesta pràctica se la coneix com BYOD (Bring Your Own Device) o porta el teu propi dispositiu, i cada vegada és més freqüent la seva aplicació en els entorns laborals.
Recórrer a macros d’Excel
Sens dubte, les macros d’Excel són una eina molt flexible i personalitzable per poder automatitzar tasques i resoldre petits problemes que es troben en el dia a dia de qualsevol treball. No obstant això, el seu ús intensiu pot fer que molts processos o tasques comencin a tenir una gran dependència d’aquest tipus de solucions que escapen al control del departament IT.
Moltes d’aquestes macros poden començar a substituir altres eines de l’empresa per realitzar les mateixes funcions que són molt més eficients i segures. Per aquest motiu moltes empreses limiten l’ús d’Excel i la creació de macros per disposar així d’un major control de les eines que utilitzen els treballadors en les seves operacions diàries.
No complir amb els protocols de seguretat
Un dels principals problemes del Shadow IT ve per l’incompliment dels diferents protocols i polítiques de seguretat que el departament IT ha implantat en l’empresa per maximitzar les mesures de seguretat i reduir els riscos d’atacs informàtics i la pèrdua o robatori d’informació. Entre els majors riscos que es generen amb aquesta situació podem destacar:
- L’ús de contrasenyes poc segures que no compleixen amb els criteris de seguretat de l’empresa.
- Allotjament de dades en servidors externs no autoritzats pel departament IT, com serveis cloud d’emmagatzematge gratuïts.
- Còpies de seguretat que no segueixen les normes de l’empresa, com en dispositius externs o en plataformes cloud personals.
- L’enviament d’informació i dades sense utilitzar sistemes de xifrat que en garanteixin la integritat i privacitat, permetent que siguin llegits en cas que un tercer els intercepti.
Molt dels temuts atacs ransomware que han patit empreses en els últims temps es deuen a bretxes de seguretat que s’han creat per part del Shadow IT, on usuaris han utilitzat programes i dispositius que no estaven sota el control del departament IT de l’empresa i que no complien amb les normes i polítiques de seguretat apropiades.
L’ús d’aquestes eines i dispositius invisibles és causa de preocupació per als responsables IT, ja que suposen un alt percentatge dels riscos als quals l’empresa es veu sotmesa. Fer un esforç per incloure eines apropiades pels treballadors, invertir en formació en ciberseguretat i disposar de polítiques i protocols per a l’ús de dispositius propis en el treball són algunes de les principals mesures per disminuir o eliminar els riscos que comporta el Shadow IT.
