La computación en la nube es beneficiosa. Muchas organizaciones ya lo saben y están cosechando los beneficios que les ha brindado la adopción de la nube: costes de TI reducidos, escalabilidad, eficiencia de colaboración y, sobre todo, flexibilidad para acceder al almacenamiento y al software para satisfacer sus necesidades. Los usuarios ahora pueden contratar servicios y soluciones más fácilmente que facilitarán su trabajo diario.
Sin embargo, esa flexibilidad es un arma de doble filo. Y es posible que te preguntes cómo puede ser algo malo, especialmente cuando hace que todos trabajen de manera más eficiente.
La cuestión es que muchas de esas soluciones y software a los que tus empleados obtienen acceso no están bajo el control de tu departamento de TI. Si bien TI generalmente hace cumplir las políticas que dictan el software, el hardware y otros recursos utilizados dentro de la organización, con supervisión sobre cómo se usan, la introducción de la computación en la nube significa que los usuarios pueden acceder mucho más fácilmente a los recursos que necesitan con una visibilidad limitada de TI.
Entonces, sí, el uso de estos recursos puede mejorar la productividad, pero su introducción sin el gobierno y la aprobación del departamento de TI de una organización puede generar numerosos riesgos de seguridad, pérdida de datos, incumplimiento y crecimiento exponencial de la superficie de ataque.
Por eso, vamos a hablar aquí de Shadow IT, qué es, sus riesgos, beneficios y cómo gestionarlo adecuadamente.
Indice
¿Qué es Shadow IT?
Cuando algo está en la sombra, no sabes qué es. No sabes si es malicioso o completamente inofensivo. ¿Cómo puedes comenzar a manejar y administrar algo para lo que no tienes una visión general?
Bueno, la TI de tu organización tiene su propia sombra. Se llama apropiadamente «Shadow IT».
Shadow IT es el uso de sistemas, dispositivos, software, aplicaciones y servicios sin la aprobación del departamento de TI de una organización . La mayoría de los usuarios que emplean soluciones no autorizadas no lo hacen con mala intención, sino para ser más productivos en su trabajo.
Shadow IT puede incluir:
- Dispositivos físicos y de hardware: teléfonos inteligentes, tabletas, IoT, unidades flash, unidades externas
- SaaS, PaaS, IaaS y otros servicios en la nube: aplicaciones de productividad, aplicaciones de mensajería, almacenamiento en la nube
- Repositorios de datos como hojas de cálculo con datos internos
- API
- VPN
- Software comercial listo para usar
Sin embargo, Shadow IT no es del todo malo. Si bien algunos pueden verlo como una molestia potencialmente peligrosa que debe abordarse y prevenirse, otros lo ven como un motor de innovación y la manifestación natural de la constante necesidad de ponerse al día en un entorno empresarial en constante cambio. No importa cuál sea tu postura sobre la TI en la sombra, está aquí y se queda.
La empresa promedio utiliza 1.083 servicios en la nube , pero el departamento de TI solo conoce 108 de ellos. Muchos empleados se sienten cómodos descargando cualquier aplicación o servicio en la nube siempre que les facilite el trabajo.
La explosión de las aplicaciones SaaS en los últimos años ha perpetuado el hábito de la TI en la sombra. La infraestructura basada en la nube ha facilitado trivialmente la creación y distribución de aplicaciones potentes. Algunas de estas aplicaciones SaaS son gratuitas, lo que las hace aún más accesibles y atractivas.
¿Por qué Shadow IT es tan frecuente?
Si hay empleados en una organización, existe una TI en la sombra. Las estadísticas muestran que el 80% de los usuarios finales utilizan software y servicios no aprobados.
Hubo un tiempo, bajo el paraguas de la TI en la sombra, en el que vimos una gran cantidad de software que los empleados impacientes habían descargado y utilizado, pero no era tan frecuente como todo el software empaquetado actual ni era tan fácil de utilizar. Definitivamente no es tan fácil como hacer clic en un botón, que ha introducido la adopción de la nube. Shadow IT ahora incluye tecnología personal y dispositivos que traen los empleados, que se propaga con políticas de trabajo remoto y BYOB.
El rápido crecimiento del panorama empresarial ha aumentado la necesidad de aplicaciones adicionales que puedan hacer que las tareas diarias de los empleados sean más fáciles y eficientes.
Con numerosos negocios, productividad, almacenamiento, automatización y otras aplicaciones disponibles en la nube, impulsan la innovación, la productividad y la eficiencia. Es fácil ver por qué son tan atractivos y por qué los empleados no dudan en descargar y utilizar estas aplicaciones.
Algunas soluciones corporativas pueden no solo ser incompatibles con los dispositivos de los usuarios, sino que también pueden ser más lentas, desactualizadas y menos efectivas. Combina esto con el proceso a menudo largo y agotador de buscar la aprobación de un departamento de TI, y podemos comenzar a ver por qué la TI en la sombra está creciendo continuamente.
Una cosa es cierta: la TI en la sombra es inevitable, por lo que no sería fructífero «combatirla», sino comprender sus riesgos y la forma adecuada de gestionarla.
Riesgos asociados con Shadow IT
Cuando el departamento de TI no tiene visibilidad de las aplicaciones SaaS que utilizan los empleados y los departamentos, surgen riesgos de seguridad y cumplimiento. Existen numerosos riesgos de ciberseguridad asociados con Shadow IT no administrada e ignorada en una organización, y algunos de los más frecuentes son:
Falta de visibilidad
Ciertamente, los principales riesgos de seguridad de la TI en la sombra son la falta de visibilidad y control sobre la red y la infraestructura de una organización. Y la falta de visibilidad es lo que realmente causa todos los demás riesgos aquí: abre numerosos puntos de acceso para que los atacantes malintencionados exploten.
Sin ver y administrar todas las partes de su infraestructura, los equipos de TI desconocen la actividad y la interacción con sus recursos, si son seguros y qué tipo de datos están involucrados y potencialmente expuestos.
Incumplimiento
Las organizaciones están sujetas a diversas leyes, regulaciones y estándares, y el incumplimiento de ellos puede resultar en juicios, multas, reputación de marca y pérdida de negocios. La introducción de la TI en la sombra y el uso de aplicaciones y software no administrados pueden dificultar que las organizaciones cumplan con todas esas regulaciones. De hecho, el mero uso de la TI en la sombra en sí mismo puede considerarse una violación.
Fugas de datos
Cualquier aplicación tiene sus propios controles de privacidad y medidas de seguridad. A veces, su seguridad está a la altura de los requisitos habituales de una organización para la TI aprobada, pero otras veces pueden estar plagados de vulnerabilidades, a través de las cuales los actores malintencionados pueden obtener acceso a los datos de los usuarios.
Incluso si una aplicación tiene buenos controles de seguridad, no todos los empleados son lo suficientemente expertos en tecnología como para saber cómo usarla de forma segura. Tal vez haya una vulnerabilidad, e incluso con un parche emitido, ¿quién puede garantizar que los empleados realizarán actualizaciones periódicas?
Cuando nadie gestiona la TI en la sombra, las aplicaciones y los servicios transmiten y procesan datos no seguros, lo que puede provocar fugas de datos y mucho peor.
Incremento de la superficie de ataque
La superficie de ataque de una organización es todo su entorno de red y software que está expuesto a atacantes malintencionados. También se refiere a todas las formas en que sus aplicaciones pueden ser explotadas por ellos. Y, por supuesto, incluye TI en la sombra: cuantas más aplicaciones y servicios estén involucrados, mayor será la superficie de ataque y la cantidad de puntos de entrada que su red ofrece a los atacantes.
Ineficiencias en la colaboración
Cuando los empleados dependen de diferentes aplicaciones de un departamento a otro, la colaboración se vuelve ineficaz.
Por ejemplo, si un departamento usa Google Drive para compartir archivos mientras que otro usa Box, ¿qué sucede cuando los dos equipos necesitan trabajar juntos en un proyecto? ¿Cuántas veces se cargará, editará y descargará un documento entre los dos servicios?
La organización promedio utiliza 57 servicios de intercambio de archivos diferentes . Imagínate cuánto más fácil sería la colaboración si tu empresa redujera ese número a dos o tres licencias empresariales.
¿Cómo gestionar los riesgos de Shadow IT?
La conclusión con Shadow IT es que nunca podrás detenerlo. Está aquí para quedarse y debes aceptarlo.
Sin embargo, lo que no debes aceptar son los riesgos que conlleva. La gestión de los riesgos de la TI en la sombra puede permitir que tus empleados tengan todas las herramientas que necesitan para ser productivos y podrás evitar la mayoría de los riesgos asociados con ella.
Estas son algunas de las formas en que puedes administrar los riesgos de TI en la sombra:
Educa a tus empleados
Una de las mejores formas de abordar la TI en la sombra es dirigirse a los principales usuarios de la TI en la sombra. Educar a tus empleados sobre los peligros y las consecuencias del uso de software y aplicaciones desconocidos y no aprobados. Fomentar una cultura de concienciación sobre ciberseguridad ayudará a los usuarios a encontrar una manera de cumplir con sus requisitos tecnológicos sin pasar por alto los protocolos, y ayudará a las organizaciones a comprender cuáles son esas necesidades para que puedan ayudar y brindar opciones.
Asegúrate de que los usuarios tengan la tecnología que necesitan
Al educar y crear conciencia entre los usuarios, las organizaciones pueden aprender qué tipo de tecnología necesitan más los empleados y qué soluciones existentes hacen que los usuarios se vuelvan en otra dirección y encuentren alternativas por su cuenta.
La razón principal por la que los usuarios recurren a Shadow IT es porque las herramientas y el software ofrecidos no les permiten trabajar de la mejor manera, así que asegúrate de cultivar una naturaleza de comunicación abierta en la que puedas escuchar lo que los usuarios realmente necesitan. Además, el proceso de examinar una solicitud y finalizar el proceso de aprobación debería ser más sencillo.
De esta manera, los empleados informarán con gusto sobre las nuevas aplicaciones que creen que deberían aprobarse y agregarse, y la nueva tecnología se puede agregar / eliminar rápidamente, para adaptarse también a las necesidades comerciales.
Establecer pautas en torno a la tecnología permitida
Una vez que hayas abordado las necesidades tecnológicas de tus usuarios, el siguiente paso sería establecer pautas en torno al software, las aplicaciones y los dispositivos aprobados. Como se mencionó, una estructura que permite un proceso de investigación eficiente y hacer que la nueva tecnología esté disponible para los usuarios de manera rápida y responda a sus necesidades de TI.
Los detalles de las pautas deben comunicarse claramente con todos en la organización para garantizar que cada usuario sepa qué está permitido y qué es seguro, mitigando los riesgos de seguridad de las aplicaciones no aprobadas.
Priorizar el riesgo
Una vez que haya detectado su infraestructura de TI en la sombra, es hora de establecer prioridades. La conclusión es que estamos mitigando el riesgo.
No todas las aplicaciones y dispositivos presentan el mismo riesgo y son atacados con la misma probabilidad. Los activos conocidos por sí mismos ya necesitan atención y un marco para manejar y asegurar, el descubrimiento de activos de TI en la sombra solo aumentará la carga.
Es por eso que la priorización basada en el riesgo ayudará a guiar tu estrategia de TI en la sombra. Algunos de los objetivos más tentadores en tu TI en la sombra son aquellos activos directamente expuestos a Internet, aquellos que no están detrás de su VPN y firewall, y deben abordarse primero.
Utiliza herramientas para descubrir tu infraestructura de Shadow IT
Adoptar la TI de la sombra, pero no la sombra en sí, es crucial. La visibilidad es la razón principal por la que la TI en la sombra puede ser peligrosa, por lo que detectar el uso de aplicaciones no aprobadas ayudará a guiar tu estrategia y te permitirá minimizar las posibles consecuencias.
Utiliza soluciones para monitorizar tu red en busca de comportamientos anómalos, dispositivos conocidos y desconocidos, para saber cómo se utilizan los recursos y otros indicadores de TI en la sombra.
El descubrimiento proactivo de la TI en la sombra te permitirá estar completamente al tanto de tu superficie de ataque y evitar posibles ataques.
Beneficios de adoptar Shadow IT
Shadow IT no es del todo malo. Los empleados que se aventuran y buscan aplicaciones y herramientas fuera de su alcance aprobado lo hacen con el deseo de ser más productivos y eficientes. Incluso podrían descubrir aplicaciones que luego serán utilizadas por todo un equipo y resultarán bastante beneficiosas. Tan beneficioso que, a veces, su uso supera los riesgos.
Ahora que hemos repasado las mejores formas de administrar la TI en la sombra, veamos por qué deberíamos hacerlo. Éstos son algunos de sus beneficios:
Reduce la carga de trabajo del departamento de TI
No es raro ver departamentos de TI sobrecargados y abrumados tratando de mantener todo en funcionamiento mientras apagan incendios sobre la marcha. Y además, la aprobación de solicitudes de nuevas soluciones puede resultar demasiado difícil de manejar. Sin embargo, adoptar la TI en la sombra brindaría a los usuarios soluciones aprobadas previamente o las herramientas para crear las suyas propias, lo que eliminaría la carga de un departamento de TI que luego puede concentrarse en tareas más críticas.
Mejora la satisfacción y la productividad de los empleados
La gestión adecuada de la TI en la sombra puede permitir a los empleados utilizar sus herramientas preferidas y darles la satisfacción de ser productivos en su trabajo. Cuando los empleados usan sus tecnologías preferidas, no solo son más productivos, sino que también están más comprometidos y es probable que permanezcan en la empresa a largo plazo. Nutrir la satisfacción de tu equipo y brindarles acceso a los recursos que necesitan para hacer su mejor esfuerzo puede ser fácil con la TI en la sombra administrada de manera adecuada.
Impulsa la innovación
Una de las razones más comunes por las que los empleados recurren a la TI de la sombra en primer lugar es que, en lugar de esperar nuevas aplicaciones valiosas, prefieren crear las suyas propias. Por lo tanto, al proporcionar las herramientas necesarias para crear sus propias soluciones, los usuarios obtendrán las aplicaciones que necesitan sin realizar solicitudes a TI. Incluso los no especialistas podrán crear soluciones eficientes y rentables sin la necesidad de herramientas patentadas de terceros.
Ejemplos de Shadow IT
Los ejemplos comunes de TI en la sombra incluyen:
- Aplicaciones de productividad (Trello, Slack, Asana)
- Aplicaciones de mensajería en dispositivos corporativos (Snapchat, WhatsApp)
- Dispositivos físicos (unidades flash, unidades externas)
- Almacenamiento en la nube (Dropbox, Google Drive)
- Aplicaciones de comunicación (Skype, VOIP)
Herramientas para la gestión de Shadow IT
Las reglas necesitan herramientas para que funcionen. A continuación, se muestran tres herramientas que desempeñan un papel importante en la gestión de la TI en la sombra en el entorno laboral actual.
Herramienta de auditoría de aplicaciones
Este servicio realiza escaneos automatizados las 24 horas del día, los 7 días de la semana de todas las aplicaciones de terceros que están conectadas a las cuentas de G Suite de tus empleados para identificar aplicaciones comerciales de riesgo. Con esta herramienta, se minimiza el riesgo de que los datos de tu empresa se filtren o se pierdan.
Como dijimos, es útil crear rápidamente una lista de aplicaciones prohibidas que debes recopilar. En lugar de depender únicamente de la autenticación de dos factores, los lugares de trabajo modernos ahora optan por soluciones adaptativas basadas en el comportamiento que analizan los indicadores de riesgo para detectar actividad sospechosa y aplicaciones de riesgo.
Actualmente, existen pocos servicios presentados en el mercado. Puedes hacer tu propia investigación; por nuestra parte, te recomendamos que consultes un servicio de ciberseguridad dedicado, SpinAudit.
Herramienta de respaldo
Uno de los riesgos de la TI en la sombra es la pérdida de datos. Si un actor de amenazas ejecuta una aplicación de terceros o una extensión web, puede infectar tus datos con ransomware o eliminarlos.
Sin siquiera hablar de los riesgos de la TI en la sombra, la copia de seguridad es una parte indispensable de toda organización donde la administración sabe cómo las pérdidas de datos paralizan el negocio.
Puedes elegir cualquier servicio de respaldo que se adapte a tus necesidades. Te recomendamos que eches un vistazo más de cerca a Spinbackup. Va junto con la herramienta SpinAudit, pero es un servicio de respaldo con todas las funciones adecuado tanto para pequeñas y medianas empresas como para grandes empresas.
Herramienta de protección contra ransomware
Shadow IT no se trata solo de aplicaciones de terceros, aunque ahora también se están convirtiendo en una de las principales fuentes de ransomware.
Pero lo que quizás no sepas es que el ransomware también puede filtrarse a través de los dispositivos no autorizados que tus empleados traen al trabajo y usan todos los días.
¿Cómo sucede? Principalmente explotando las vulnerabilidades de estos dispositivos y luego, a medida que estos dispositivos están conectados a la red de trabajo, también se filtran en la red.
Por otro lado, tener una copia de seguridad puede no ser tan efectivo contra el ransomware como lo era antes. El ransomware actual se ha convertido en una amenaza silenciosa y al acecho que no se destaca antes de infectar todas tus copias de seguridad.
Tu lugar de trabajo necesita un sistema de monitorización de ransomware impulsado por IA que detecte un ataque de ransomware antes de que llegue a tus copias de seguridad. SpinSecurity es un software de protección contra ransomware que viene con la herramienta Spinbackup para evitar que las copias de seguridad se infecten.
Shadow IT puede poner en peligro la seguridad de una empresa, si lo permitimos. Sin embargo, existen innumerables formas de proteger los datos de la empresa y, al mismo tiempo, brindar a las personas acceso a herramientas que aumentan su productividad y su moral.
Equilibrar los riesgos y los beneficios es clave para desarrollar una política de TI paralela sostenible. Las herramientas basadas en la nube con la capacidad de integrarse con múltiples sistemas ofrecen a las empresas modernas una solución que puede apaciguar tanto a la TI como al negocio.
Los problemas planteados por la TI en la sombra pueden mitigarse en gran medida mediante funciones automatizadas de calidad de datos, que garantizan datos limpios y precisos antes de que ingresen a tus sistemas, y funciones de gobernanza de datos, que garantizan que los datos de buena calidad estén disponibles para todos los que los necesitan a través del acceso de autoservicio