Shadow IT: una amenaza contra los datos de las empresas

El uso de diferentes servicios y programas que ni tu departamento de TI ni el de seguridad conocen puede causar muchos problemas. Te explicamos cómo evitarlos.

Es prácticamente imposible escoger herramientas software que a todos les gusten. Por lo menos existe un empleado que siempre conoce un servicio diez veces mejor que el software de la empresa. Si esa persona empieza a usarla y recomienda activamente esta otra opción a sus colegas, entonces se da el fenómeno conocido como Shadow IT (o reemplazo de software). A veces, de hecho, puede ayudar a que la empresa encuentre una solución de TI que se adapte a sus necesidades comerciales; pero en no pocas ocasiones solamente provoca problemas mayúsculos.

Si tan solo la gente supiera lo que hace, porque entonces desistirían al pensar primero en la seguridad informática. Pero vivimos en un mundo imperfecto y los empleados de todas las edades a menudo recurren al uso compartido de archivos, aplicaciones de correo electrónico, clientes de redes sociales o aplicaciones de mensajería instantánea sin pensarlo dos veces y solamente después, si caso, es que reflexionan en las consecuencias.

El problema del Shadow IT no es necesariamente que la herramienta gratuita sea una nueva aplicación de mensajería gratuita cuyo desarrollo es más bien improvisado. Podría tratarse de un servicio bien establecido que presente vulnerabilidades. El problema es que ni los especialistas en seguridad ni tu departamento de TI, si acaso tu empresa cuenta con ellos, saben qué es lo que ocurre. Y eso significa que la aplicación no autorizada no se ve contemplada en los modelos de amenaza contra infraestructura, los diagramas de flujo de datos ni las decisiones de planeación elemental. Esto, por su parte, equivale a buscar problemas.

Probabilidad de filtración por Shadow IT

¿Quién sabe qué peligros aguardan al usar herramientas de terceros? Cualquier aplicación, ya sea basada en la nube o alojada localmente, puede contar con varios ajustes muy sutiles que controlan la privacidad. Y no todos los empleados son expertos en el software. Abundan los casos donde un empleado dejó las tablas con datos personales sin contraseña en Documentos de Google para citar un ejemplo obvio, lo cual puede provocar filtraciones de datos personales.

En otro ejemplo de Shadow IT, los servicios pueden presentar vulnerabilidades a través de las cuales entidades terceras pueden ganar acceso a tus datos. Sus desarrolladores pueden cerrar esos huecos a la brevedad, pero ¿quién te garantiza que los empleados instalarán todos los parches necesarios destinados a las aplicaciones del lado cliente? Sin la participación del departamento de TI, no puedes saber que siquiera recibirán un memo sobre la actualización. También, es muy poco frecuente que una persona asuma la responsabilidad de la gestión de los derechos de acceso en aplicaciones y servicios no autorizados; por ejemplo, la revocación de privilegios después de la renuncia o despido, si es que dicha función está disponible. En fin, nadie se hace responsable de la seguridad de los datos transmitidos o procesados al usar servicios no autorizados por el departamento de TI o de seguridad.

Violación de requisitos normativos

Actualmente, varios países tienen sus propias leyes sobre la protección de datos personales que especifican cómo los negocios deben manejarlos. Añádele a esto las diversas normas del ramo sobre el mismo tema. Las empresas tienen que someterse a auditorías para cumplir con los requisitos de privacidad de datos de varios organismos reguladores. Si una auditoría de repente descubre que los datos de los clientes y del personal se enviaron mediante servicios poco fiables, y que el área de TI hizo caso omiso, la empresa podría hacerse acreedora a una cuantiosa multa por la filtración de datos. Es decir, una empresa no necesita una vulneración de datos real para meterse en problemas.

 

Desperdicio de presupuesto

El uso de una herramienta alternativa en lugar de la recomendada puede no parecer gran cosa, pero para la empresa, el fenómeno Shadow IT representa en el mejor de los casos un desperdicio de dinero. Después de todo, si compras licencias para cada participante aprobado dentro del flujo de trabajo, pero no todos las utilizan, entonces habrás pagado por nada.

Qué hacer ante el Shadow IT

No necesitas combatir el shadow IT, sino gestionarlo. Si lo tienes bajo control, puedes mejorar no solo la seguridad de datos en tu empresa, sino que también puedes encontrar herramientas útiles y populares en verdad que pueden implementarse en toda la empresa.

Ahora mismo, en medio de la pandemia por COVID-19  y el teletrabajo, siguen en aumento los riesgos de ciberseguridad asociados con el uso de aplicaciones y servicios que no cuentan con soporte. Los empleados se ven forzados a adaptarse a las nuevas condiciones y por lo normal intentan encontrar nuevas herramientas que ellos creen son más aptas para realizar su trabajo a distancia. Por lo tanto, hemos añadido algunas funciones adicionales a la versión actualizada de Kaspersky Endpoint Security Cloud,  para detectar el uso no autorizado de aplicaciones y servicios basados en la nube.

Además, Kaspersky Endpoint Security Cloud Plus también puede bloquear el uso de dichos servicios y aplicaciones. Esta versión de la solución de seguridad de Kaspersky también le da a la empresa acceso a la seguridad de Kaspersky Security for Microsoft Office 365, la cual proporciona una capa adicional de protección para Exchange Online, OneDrive, SharePoint Online y Microsoft Teams.

Puedes aprender más sobre nuestra solución de seguridad y adquirir en la página oficial de Kaspersky Endpoint Security Cloud.

Consejos