¿Qué se esconde detrás del Shadow IT?

Adiel Lizama

August 16, 2022

•

min

*Los 5 principales tipos de TI en sombra en su organización y cómo superarlos*. (2020, 10 noviembre). [Sombra IT]. Software de movimientos netos. https://www.netmotionsoftware.com/blog/products-solutions/top-5-types-of-shadow-it-in-your-organization-and-how-to-overcome-them

‍
En un ambiente de trabajo, Shadow IT puede definirse como el uso de apps sin la aprobación del departamento de TI, esto es impulsado por la necesidad de realizar nuestras tareas diarias de una manera más conveniente o rápida. al buscar una herramienta, muchos de nosotros nos sentiremos más cómodos usando aquellas aplicaciones de uso personal con las que estamos más familiarizados, más simples, y más eficientes, dejando de lado los protocolos y aplicaciones seguras que recomienda el equipo de Seguridad o TI. Si bien para los departamentos encargados de monitorear y preservar la seguridad de la red, la TI en la sombra es un vector de riesgo, para el resto de los empleados es una alternativa que les permite trabajar más rápido y sin fricción, enfocándose en los beneficios sin mirar los posibles problemas que esto pueda ocasionar.

Origen: https://www.cloudflare.com/learning/access-management/what-is-shadow-it/

‍

Algunos ejemplos

Almacenamiento en la nube:

Uno de los incidentes más comunes relacionados con Shadow IT ocurre cuando tenemos que enviar archivos muy grandes por correo electrónico, cuando sobrepasamos las limitaciones del servicio, optamos por utilizar alguna solución de almacenamiento en la nube, muchas veces incluso utilizando nuestras cuentas personales, esto crea un riesgo potencial de fuga de información o acceso no autorizado a la misma.

Mensajería instantánea:

Otra mala práctica que es común es utilizar aplicaciones de mensajería instantánea, como WhatsApp o el servicio de chat de nuestra red social de elección, sin duda este ser un servicio personal puede ser más rápido cuando necesitamos una pronta respuesta de un cliente u otro departamento, sin embargo, cuando usamos una app de mensajería instantánea no aprobada por el equipo de TI estas no serán monitoreadas dejando al usuario comprometido con diversas vulnerabilidades que pueden comprometer la integridad de tu equipo y/o información.

Hardware:

Un punto que no es tan común como los anteriores pero que genera las mismas inquietudes. Este punto abarca modificaciones en equipos de trabajo, dispositivos de almacenamiento externo no autorizados, o el uso de nuestros dispositivos personales para realizar nuestro trabajo, siendo este último el más común. BYOD o Bring Your Own Device es cuando usamos nuestros dispositivos personales para hacer nuestro trabajo, comúnmente teléfonos celulares. BYOD puede ser beneficioso para la empresa, ya que es una medida económica y, en muchos casos, mejora la productividad del usuario, pero no contar con protocolos de seguridad adecuados puede ser riesgoso tanto para el usuario como para la empresa.

Riesgos

El riesgo radica en que muchas de las aplicaciones de uso personal no están reguladas ni monitoreadas por el departamento correspondiente, y a pesar de que no representa un riesgo en sí mismas, pueden comprometer la información de usuarios o clientes, lo cual es un problema importante, sobre todo cuando esta información está regulada, por ejemplo, en casos financieros o de salud. Un estudio de RSA muestra que 63% de los empleados utilizan cuentas personales para enviarse documentos entre sí para seguir trabajando desde casa.

Otro riesgo es la pérdida de información, que puede ocurrir en el momento en que un empleado sale de la empresa, será difícil recuperar el trabajo que el empleado estaba realizando si él/ella tiene el hábito de usar aplicaciones no autorizadas para comunicarse y/o almacenar información.

Conclusión

Shadow IT ocurre cuando las aplicaciones se usan sin autorización previa, por esto quiero centrarme en que el tema no está en las aplicaciones o dispositivos, está más arraigado en el hecho de hacerlo sin el consentimiento explícito del departamento responsable de salvaguardar la seguridad de los usuarios, infraestructura e información, lo cual puede verse fácilmente comprometido al perpetuar esta mala práctica. Limitar los permisos de los usuarios para instalar aplicaciones por su cuenta o sin autorización, es una de las medidas que comúnmente se toman, pero esto no será suficiente debido a las diversas aplicaciones en la nube a las que hoy tenemos acceso, es necesario complementar estas medidas con capacitaciones basadas en la conciencia de riesgos, el usuario debe entender el procedimiento estipulado para el uso seguro de las aplicaciones.

Adiel Lizama

Ingeniero de Seguridad Junior

Referencias

Alvarenga, G. (22 de abril de 2022). ¿QUÉ ES SHADOW IT? Recuperado de CROWDSTRIKE: https://www.crowdstrike.com/cybersecurity-101/cloud-security/shadow-it/#:~:text=Shadow%20IT%20is%20the%20unauthorized,supported%20by%20the%20IT%20department.

Barbosa, D. C. (2020, 20 de agosto). Shadow IT: qué es y qué son los riesgos que puede causar a una empresa. Recuperado de welivesecurity: https://www.welivesecurity.com/la-es/2020/08/20/shadow-it-que-es-riesgos-puede-causar-empresa/

EDU, C. (sin fecha). ¿Qué es Shadow IT? Recuperado de Forcepoint: https://www.forcepoint.com/cyber-edu/shadow-it#:~:text=Shadow%20IT%20is%20the%20use,cloud%2Dbased%20applications%20and%20services.

Perrin-Monlouis, P. (2021, 20 de octubre). La amenaza interna no contada: los trabajadores de oficina confiesan un comportamiento cotidiano que pone en riesgo la información confidencial. Recuperado de Edubourse: https://edubourse.com/finance-actualites-actu-34403/

¿Qué es la TI en la sombra y puede ser un problema dentro de su organización? (22 de julio de 2021). Recuperado de Ingeniería de Sistemas: https://blog.systemsengineering.com/blog/what-is-shadow-it-and-can-it-be-a-problem-within-your-organization

‍

Share this post