El Shadow IT, un desafío creciente para las organizaciones en la era digital

¿Qué es Shadow IT? Tecnologias de la información

Shadow IT es cualquier tecnología de la información que un empleado utiliza sin la aprobación del departamento de TI, incluyendo software, aplicaciones, servicios y dispositivos. Las herramientas no autorizadas pueden poner a una empresa en riesgo de infracciones de cumplimiento normativo o filtraciones de datos.

Desafortunadamente, la rápida adopción de los servicios en la nube ha aumentado la prevalencia de Shadow IT, exponiendo a las organizaciones a riesgos de seguridad.

Ejemplos de Shadow IT

Shadow IT consiste en aplicaciones y hardware no autorizados, y el software suele ser de marcas reconocidas.

Algunos ejemplos de aplicaciones de TI en la sombra y servicios en la nube son:

  • Slack, Trello y otras herramientas de productividad
  • Gmail, Google Drive y otros elementos de Google Suite
  • Dropbox, Box y otras herramientas de colaboración entre pares
  • Apple AirDrop y otras herramientas de intercambio basadas en Bluetooth
  • WhatsApp y otras aplicaciones de mensajería
  • Herramientas de Microsoft Office 365
  • Herramientas de IA generativa

Otra forma en que la TI en la sombra se infiltra en una organización es a través de los dispositivos. Algunos ejemplos de hardware de TI en la sombra incluyen:

  • Portátiles personales
  • Tabletas
  • Smartphones
  • Memorias USB
  • Discos duros (HDD)
  • PC

¿Por qué se produce la TI en la sombra?

La TI en la sombra se produce en las empresas porque los empleados pueden necesitar trabajar de forma diferente a la que les permiten las herramientas actuales de su organización. De hecho, un estudio reciente reveló que el 32 % de los trabajadores utilizan herramientas de comunicación y colaboración no autorizadas.

Por ejemplo, una organización puede bloquear acciones específicas en su aplicación de correo electrónico, por lo que un empleado utiliza su Gmail personal para completar el trabajo. Otro ejemplo podría ser que un proveedor externo utilice un software de gestión de proyectos específico, por lo que un empleado accede a él desde su dispositivo para comunicarse con él.

Si bien acceder a aplicaciones y software no autorizados no suele ser malicioso, la TI en la sombra conlleva diversos riesgos.

La amenaza emergente de la TI espejo

Mientras que la TI en la sombra se centra en tecnología no autorizada, una amenaza denominada TI espejo está surgiendo en el software que su empresa ha aprobado.

La TI espejo es una aplicación autorizada donde los empleados tienen cuentas personales y profesionales y usan la personal para compartir datos de forma insegura. Ejemplos de esta tecnología incluyen Google Drive, Gmail, Slack y OneDrive.

La mejor manera de detectar la TI espejo es con una solución integral de protección de datos que tenga visibilidad completa de todos los movimientos de datos y priorice automáticamente los riesgos de seguridad según el contexto del archivo y el usuario, no solo el destino al que se transfieren.

¿Cuáles son los riesgos de la TI en la sombra?

Existen cuatro riesgos principales de la TI en la sombra:

  • Brechas de seguridad: Las herramientas de colaboración e intercambio de archivos no autorizadas pueden crear situaciones en las que los empleados transfieran la propiedad intelectual, intencional o involuntariamente, sin que el departamento de seguridad lo sepa.
  • Problemas operativos o de seguridad relacionados con aplicaciones prohibidas: La tecnología prohibida puede no cumplir con las leyes de privacidad, las regulaciones o los estándares de protección de datos de la empresa.
  • Operaciones ineficientes: Si diferentes empleados adquieren, sin saberlo, soluciones duplicadas o similares, se puede generar una proliferación de aplicaciones, lo que supone una pérdida de tiempo y dinero para la empresa.
  • Pérdida de acceso a los datos: Si un empleado almacena archivos de la empresa en un disco duro personal, la empresa pierde el acceso a esos activos.

Si bien la TI en la sombra puede representar un gran riesgo para la seguridad, si una empresa la gestiona adecuadamente, puede impulsar la eficiencia y el rendimiento de los empleados.

¿Cuáles son los beneficios de la TI en la sombra?

El principal beneficio de la TI en la sombra es el aumento de la productividad y la colaboración. Los líderes empresariales también podrían considerar el ingenio de los empleados como fundamental para fomentar una cultura de velocidad, agilidad, flexibilidad e innovación.

Los equipos de seguridad pueden aprovechar esta ventaja de la TI en la sombra mientras protegen los datos de la empresa mediante:

  • Optimizar el proceso de adquisición de tecnología para eliminar cuellos de botella
  • Usar herramientas de seguridad que les ayuden a mantener el control sobre los permisos del sistema
  • Implementar una solución integral de protección de datos con visibilidad completa del movimiento de datos, ya sea hacia aplicaciones autorizadas o no autorizadas
  • Educar a los empleados sobre los riesgos de la TI en la sombra

Establecer formas constructivas de abordar la TI en la sombra puede promover la eficiencia y, al mismo tiempo, proteger la empresa.

¿Cuáles son los desafíos de la TI en la sombra?

En el dinámico panorama laboral moderno, la TI en la sombra plantea importantes desafíos para las organizaciones. Un obstáculo importante es la falta de conocimiento en los departamentos de seguridad sobre las aplicaciones que utilizan los empleados, lo que imposibilita brindar soporte y protección adecuados. Los riesgos asociados con aplicaciones no autorizadas, como las herramientas de intercambio de archivos y colaboración, también pueden provocar fugas de datos confidenciales.

Más allá de las preocupaciones de seguridad, la TI en la sombra puede provocar una proliferación de aplicaciones, donde diferentes departamentos adquieren soluciones duplicadas sin saberlo, lo que genera pérdida de tiempo, dinero e ineficiencias en la colaboración.

Para mitigar los desafíos de la TI en la sombra, las organizaciones deben obtener visibilidad completa de su entorno de datos, supervisar los movimientos de archivos, tanto para el uso autorizado como no autorizado de las aplicaciones, y educar a los usuarios finales sobre las mejores prácticas de seguridad para garantizar un entorno seguro y optimizado.

Proteja su organización de los riesgos de la TI en la sombra

Abordar la TI en la sombra puede ser abrumador. ¿Por dónde empezar, cuando podrían producirse pequeñas fugas de cientos de aplicaciones diferentes? El software y las políticas de protección de datos tradicionales solo cubren lo que se considera en riesgo. Code42 ofrece una solución que detecta el movimiento de datos tanto a aplicaciones autorizadas como no autorizadas.

Mimecast Incydr es una solución inteligente de protección de datos que identifica todos los movimientos de datos riesgosos, no solo las exfiltraciones clasificadas por seguridad, lo que le ayuda a detectar y detener posibles filtraciones de datos de los empleados. Incydr detecta automáticamente el movimiento de datos a aplicaciones en la nube no confiables, bloquea las exfiltraciones inaceptables y adapta la respuesta de seguridad según el infractor y la infracción. Los empleados que cometen errores de seguridad reciben automáticamente capacitación educativa para corregir el comportamiento del usuario y reducir el riesgo de TI en la sombra con el tiempo.