Es posible que los empleados no estén satisfechos con las tecnologías o los flujos de trabajo actuales. Es posible que algunos de ellos aún no hayan expresado sus preocupaciones sobre los problemas inminentes en el lugar de trabajo. Los riesgos de la TI en la sombra no pueden pasarse por alto y, a menudo, comienzan con estas emociones. Un empleado descontento que teme demasiado la cultura laboral puede recurrir al uso de una herramienta de TI en la sombra para realizar su trabajo.
¿El motivo? Porque no quiere molestar al jefe y que los demás sepan que sus procesos actuales son ineficientes. Pero, sin saberlo, esa pequeña iniciativa propia puede crear nuevos riesgos. El software que ejecutan puede contener código malicioso o el software de TI en la sombra puede estar en fase de prototipo o beta. En esta guía se explica qué es la TI en la sombra en el ámbito de la ciberseguridad. A continuación, comprenderá cómo funciona la seguridad de la TI en la sombra, todo lo relacionado con las herramientas de TI en la sombra y mucho más.
¿Qué es la TI en la sombra?
A veces, las herramientas de seguridad y los sistemas de TI tradicionales no son suficientes para realizar determinadas tareas. Es entonces cuando algunos empleados deciden utilizar software y herramientas especializadas que no están aprobadas por las autoridades y los sistemas centrales de TI. La TI en la sombra se está convirtiendo en un gran problema para las empresas, no solo porque elude los límites, sino porque plantea varios riesgos de seguridad. Según un estudio de Gartner, en el futuro los empleados seguirán modificando o creando tecnología que va más allá de la visibilidad de TI.
La mayoría de los riesgos de seguridad de la TI en la sombra están ocultos a simple vista. Sin embargo, a menudo pasan desapercibidos y pueden ser muy lentos de detectar. Las herramientas SaaS desconocidas, los sistemas heredados que se supone que deben dejarse de utilizar pero que siguen en uso, las bases de datos redundantes y el intercambio no autorizado de archivos o la colaboración a través de plataformas no aprobadas son algunos ejemplos de actividades de TI en la sombra en entornos locales, híbridos y multinube.
Causas de la TI en la sombra
Las causas de la TI en la sombra pueden estar relacionadas con la necesidad de satisfacer las necesidades específicas de trabajo de los empleados, que utilizan estas herramientas por su comodidad. Estas son algunas de las principales causas:
- Mayor familiaridad – Los empleados pueden sentirse más cómodos o productivos en el lugar de trabajo gracias al uso de herramientas de TI en la sombra. Pueden sentir que estas tecnologías les ayudan a terminar sus tareas más rápido y con mayor fluidez.
- Falta de concienciación sobre la seguridad y los riesgos – Algunos empleados son realmente crédulos y piensan que estas herramientas no autorizadas son seguras. Es posible que no sean conscientes de que las herramientas de TI en la sombra pueden contener malware.
- Procesos de aprobación lentos – Los empleados pueden cansarse de los largos periodos de espera para que el software o las herramientas aprobadas obtengan las autorizaciones para las nuevas tecnologías. Entonces recurren a prácticas de trabajo de TI en la sombra sin el conocimiento de otros miembros de la organización.
- Restricciones presupuestarias – Algunas herramientas de TI en la sombra se consideran alternativas más asequibles, sin límites ni restricciones de uso, que el software aprobado dentro de la organización. Esto motiva a los empleados a utilizarlas.
Impacto de la TI en la sombra
La TI en la sombra plantea riesgos y peligros reales que se desarrollan silenciosamente en segundo plano sin ninguna evidencia visible.
Estas son algunas de las repercusiones de las amenazas de la TI en la sombra:
- La TI en la sombra puede eludir la MFA y los controles de acceso basados en roles. Sus sistemas pueden provocar un aumento de los riesgos de producción, como el robo de datos, pérdidas, daños en las aplicaciones y malware.
- Los usuarios con acceso no autorizado pueden realizar cambios críticos en datos confidenciales y bases de datos de clientes. Incluso podrían modificar historiales médicos, manipular información y afectar a las operaciones diarias de la empresa.
- Las actividades de TI en la sombra pueden inyectar código malicioso en cualquier parte del proceso de producción, tanto de forma involuntaria como intencionada. Pueden hacer que las organizaciones sean más vulnerables a los ataques de día cero y de ransomware. También pueden romper los cortafuegos y eludir los sistemas de detección de intrusiones y antivirus.
¿Cómo detectar la TI en la sombra?
Puede detectar la TI en la sombra mediante la supervisión y verificación periódicas de la red. A continuación se indican algunas formas de hacerlo:
- Puede realizar auditorías periódicas de la red para identificar aplicaciones y servicios no autorizados que se ejecutan en ella
- Debe implementar la supervisión del tráfico de red para detectar transferencias de datos inusuales o conexiones sospechosas
- Si dispone de informes de gastos y datos de adquisiciones, puede analizarlos para detectar compras de software no autorizadas
- Debe conectarse con sus proveedores de SSO e ID, como Google Workspace o Azure Active Directory, para rastrear a los usuarios de las aplicaciones
- Existen agentes de detección y extensiones de navegador que puede implementar para encontrar aplicaciones instaladas en los terminales.
- Debe formar a los empleados para que informen de las nuevas aplicaciones que utilizan y que no han sido aprobadas.
- Si no realiza evaluaciones de seguridad periódicas, la TI en la sombra seguirá creciendo sin ser detectada
- Puede supervisar los patrones de uso de la nube para identificar los servicios en la nube no autorizados a los que se accede
- Antes de implementar cualquier solución, realice un inventario completo de todas las aplicaciones aprobadas
- Será necesario utilizar una combinación de estos métodos para lograr una visibilidad completa
¿Cómo prevenir y controlar la TI en la sombra?
A continuación se explica cómo puede prevenir y controlar los riesgos de la TI en la sombra:
- Utilice herramientas de detección de TI en la sombra – Estas herramientas pueden ayudar a su empresa a encontrar e identificar tecnologías de TI en la sombra. Ofrecen una visión general completa de todos los riesgos de la TI en la sombra y proporcionan capacidades de supervisión en tiempo real. Su departamento de TI obtendrá la visibilidad que tanto necesita y podrá reaccionar rápidamente ante los problemas de la TI en la sombra.
- Pruebe los agentes de acceso a la seguridad en la nube (CASB) – Los Cloud Security Access Brokers (CASB) pueden proteger las redes de su empresa y la seguridad en la nube. Se pueden utilizar para implementar los mejores protocolos de cifrado, controles de acceso y medidas de prevención de pérdida de datos (DLP). También puede evitar fugas de datos y garantizar que los datos confidenciales permanezcan protegidos, además de aplicar las mejores prácticas de seguridad SaaS al utilizarlos.
- Incorporar formación sobre concienciación y gestión de riesgos de la TI en la sombra – No hace falta decirlo, pero es necesario formar a todos los empleados, independientemente de su conocimiento de las prácticas de TI en la sombra. Cuando todos están en sintonía y conocen las últimas innovaciones en materia de TI en la sombra, es menos probable que se dejen engañar o se vean sorprendidos. Es importante realizar sesiones de formación periódicas y evaluar los conocimientos de los empleados de vez en cuando. También deben saber qué alternativas de TI en la sombra utilizar en caso de que prefieran otras soluciones.
Ventajas de la TI en la sombra
Las herramientas de TI en la sombra tienen sus ventajas para los usuarios:
- Los empleados pueden realizar sus tareas de forma más eficaz cuando tienen acceso directo al software necesario.
- Las aplicaciones de TI en la sombra pueden facilitar mucho el intercambio de archivos y hacer que la mensajería sea más cómoda. Permiten una colaboración más rápida entre los empleados y los departamentos pueden comunicarse entre sí de forma mucho más eficiente.
- Las tecnologías de TI en la sombra son muy flexibles y fáciles de implementar. Se pueden desplegar rápidamente y proporcionan integraciones perfectas. Si su organización se enfrenta a ineficiencias o cuellos de botella en el rendimiento, también pueden solucionarlos.
- Las herramientas de TI en la sombra también son muy personalizables, lo que significa que puede añadir o eliminar funciones a su gusto. No están restringidas como el software comercial ni tienen reglas integradas como los servicios en la nube. Algunas tecnologías de TI en la sombra son completamente de código abierto y gratuitas, lo que significa que también ahorra dinero.
Riesgos y retos de la TI en la sombra
Estos son algunos de los riesgos y retos de la TI en la sombra:
Falta de visibilidad
Los departamentos de TI no saben lo que ocurre en segundo plano cuando los empleados utilizan herramientas no autorizadas y aplicaciones basadas en la nube. Pierden control y se hace difícil gestionar la seguridad. La empresa pierde el acceso al seguimiento de las últimas actualizaciones de seguridad y no puede aplicar medidas de seguridad estrictas de forma eficaz.
Seguridad de datos deficiente
Las herramientas de TI en la sombra pueden provocar fugas de datos confidenciales o un intercambio de archivos inseguro. Dado que estas herramientas son creadas por proveedores no autorizados, no se sabe qué puede ocurrir con los datos que almacenan y transmiten. Esto puede causar graves daños a la reputación y las finanzas de una organización.
Crea brechas de cumplimiento
La TI en la sombra puede crear nuevas brechas de cumplimiento y violar las normativas de protección de datos existentes, como CIS Benchmark, NIST, HIPAA o GDPR. Las herramientas no autorizadas no siempre siguen los estándares del sector y pueden hacer que una empresa sea más propensa a recibir multas legales, demandas y otras sanciones.
Ineficiencias y flujos de trabajo fragmentados
Las aplicaciones de TI en la sombra no se integran fácilmente en los sistemas de TI. Pueden provocar flujos de trabajo fragmentados, inconsistencias en los datos y fallos operativos. En última instancia, todo ello puede afectar a la productividad de los empleados y, a largo plazo, a la organización en su conjunto.
Prácticas recomendadas para gestionar la TI en la sombra
A continuación se indican algunas de las prácticas recomendadas que puede implementar para gestionar la TI en la sombra en su organización:
- Revise y audite todas las cuentas de usuario presentes en la organización, revise también el uso de las aplicaciones SaaS y compruebe si se ajustan a los requisitos de uso y tolerancia al riesgo de su organización.
- También debe revisar los controles de acceso y cumplir con las obligaciones legales y normativas. Examine todas las transacciones asociadas a aplicaciones no autorizadas, realice un análisis comparativo de los datos de las transacciones y tome nota de los volúmenes de descarga y carga de las mismas.
- Compruebe sus parámetros de seguridad y vea si su organización está utilizando los últimos estándares de cifrado. Además, si hay algún indicio de sistemas sin parches o falta de actualizaciones, póngase a trabajar en ellos inmediatamente. También se recomienda crear políticas dinámicas y hacerlas granulares para poder controlar eficazmente la transferencia de datos entre la aplicación y el usuario.
- Adopte el principio de acceso con privilegios mínimos y cree una arquitectura de seguridad de red de confianza cero. Revise sus políticas periódicamente y recopile los comentarios de los usuarios finales para ver cómo funcionan.
- Además, cree mecanismos de excepción que puedan resultar útiles cuando su organización no desee aplicar políticas o controles específicos. Esto le dará flexibilidad y no obligará a utilizar tecnologías y herramientas de TI en la sombra.
Ejemplos de TI en la sombra
A continuación se muestran algunos ejemplos de TI en la sombra en acción:
- Las aplicaciones de terceros como Discord, Telegram, Signal y Slack pueden utilizarse para cifrar las comunicaciones y difundir el intercambio no autorizado de archivos. Las organizaciones no pueden rastrear los flujos de información a través de estos servicios ni supervisarlos.
- La descarga de software especializado sin la aprobación previa de la organización puede introducir riesgos de TI en la red de la empresa. Los empleados también pueden utilizar herramientas de diseño de TI en la sombra, CRM, cuentas y otras aplicaciones SaaS que pueden crear problemas de cumplimiento y falta de control.
- Los empleados pueden hacer uso de los controles de la política de TI en la sombra y personalizar las políticas de seguridad existentes de una organización con ellos, sin el conocimiento de los miembros de la junta directiva y las partes interesadas. En lo que respecta a las políticas de BYOD (traiga su propio dispositivo)BYOD (Bring Your Own Device, traiga su propio dispositivo), pueden optar por ignorarlas y trabajar con sus ordenadores portátiles, teléfonos y tabletas personales, que no están gestionados por el departamento de TI, lo que introduce varios riesgos de ciberseguridad de la TI en la sombra.
Ciberseguridad basada en IA
Mejore su postura de seguridad con detección en tiempo real, respuesta a velocidad de máquina y visibilidad total de todo su entorno digital.
DemostraciónConclusión
Así es como se previene la TI en la sombra y se detiene el uso de estas herramientas y tecnologías en su organización. No estamos diciendo que toda la TI en la sombra sea mala, pero en la mayoría de los casos puede resultar perjudicial. Todo depende de las necesidades de su organización, el estado mental de sus empleados y el rendimiento de todos.
La comunicación transparente es la clave para el éxito continuo, por lo que debe fomentar la retroalimentación abierta. También puede crear canales de denuncia anónimos para los empleados que quieran expresar sus preocupaciones, pero tienen demasiado miedo. Esto les dará una vía para expresar lo que piensan sin tener que recurrir a prácticas de TI en la sombra.
"FAQs
La TI en la sombra es cualquier software, hardware o servicio digital que se utiliza sin el conocimiento o la aprobación de su departamento de TI. Se produce cuando los empleados crean cuentas en la nube, descargan aplicaciones o utilizan dispositivos personales para tareas laborales. Eluden los canales oficiales para realizar su trabajo más rápidamente. Cuando esto ocurre, su organización pierde visibilidad y control sobre el destino de los datos de la empresa y cómo se accede a ellos. No se puede proteger lo que no se sabe que existe.
Una política de TI en la sombra establece reglas claras sobre el uso de tecnología no autorizada en su organización. Describe qué herramientas pueden utilizar los empleados, cómo solicitar nuevo software y qué ocurre si no siguen las reglas. Puede utilizar un enfoque por niveles basado en los niveles de riesgo: las herramientas de bajo riesgo se tramitan por la vía rápida, las de riesgo medio necesitan correcciones y las de alto riesgo se prohíben de inmediato. Si crea una buena política, debe incluir un período de gracia para que los empleados declaren la TI en la sombra existente sin ser sancionados.
La TI en la sombra crea importantes brechas de seguridad en su red. Cuando los empleados utilizan herramientas no aprobadas, exponen los datos confidenciales a posibles violaciones. No se puede parchear ni supervisar lo que no se sabe que existe. Si tiene Shadow IT, se enfrentará a mayores costes por violaciones de datos, unos 4,24 millones de dólares de media. También provocarán incumplimientos de normativas como el RGPD, la HIPAA y la PCI-DSS, lo que dará lugar a sanciones y multas severas.
Los empleados recurren a la TI en la sombra cuando las herramientas oficiales no satisfacen sus necesidades. Buscarán opciones más rápidas y sencillas cuando el software aprobado les resulte torpe u obsoleto. Si los procesos de aprobación de TI son estrictos, los trabajadores los eluden para evitar retrasos. Cuando el personal no puede realizar su trabajo de manera eficiente con las herramientas autorizadas, busca alternativas. Este comportamiento se intensifica cuando el trabajo remoto exige soluciones rápidas o cuando los empleados necesitan funciones específicas que no están disponibles en las opciones aprobadas por la empresa.
La TI en la sombra se manifiesta de muchas formas en toda la organización. Los empleados utilizan cuentas personales de Google Drive o Dropbox para compartir archivos de trabajo. Configurar cargas de trabajo en la nube no autorizadas utilizando credenciales personales. Si revisa sus dispositivos, es posible que encuentre aplicaciones de mensajería no aprobadas, como WhatsApp, o cuentas de Zoom no autorizadas. Compran suscripciones SaaS que no alcanzan los umbrales de compra de TI. También es posible encontrar empleados que utilizan herramientas de productividad como Trello o Asana sin la aprobación de TI.
Puede encontrar la TI en la sombra utilizando herramientas de detección de activos que escanean su red regularmente. Le ayudarán a localizar aplicaciones y servicios en la nube no autorizados. Si supervisa el tráfico de la red, detectará patrones inusuales que indican el uso de la TI en la sombra. Debe implementar herramientas automatizadas de detección en la nube que detecten cuándo los empleados acceden a servicios no autorizados. Las auditorías periódicas de inventario ayudan a identificar los dispositivos personales que acceden a los datos de la empresa. Es necesario mantener una supervisión continua de las aplicaciones SaaS de alto riesgo para realizar un seguimiento de los patrones de acceso.
Debe crear procesos de aprobación claros y sencillos para las nuevas tecnologías. Si implementa un sistema de vía rápida para las herramientas de bajo riesgo, los empleados no eludirán al departamento de TI. Hable con su personal sobre por qué utilizan herramientas no autorizadas y solucione esas deficiencias. Debe implementar alternativas seguras que satisfagan sus necesidades: si utilizan una aplicación de mensajería no aprobada, ofrézcales Microsoft Teams o Slack. Asegúrese de educar a los empleados sobre los riesgos de seguridad sin castigarlos por informar sobre la TI en la sombra.
Su departamento de TI lidera la gestión de la TI en la sombra, pero no puede hacerlo solo. Necesitará el apoyo de los jefes de departamento, que deben hacer cumplir las políticas. Si usted se dedica a la seguridad, supervisará las redes e implementará herramientas de detección. Los directivos deben asignar recursos y apoyar la creación de políticas. Es necesario que los empleados asuman su responsabilidad y denuncien las herramientas no autorizadas que utilizan. Cuando todos trabajan juntos, se crea una cultura en la que la TI en la sombra se hace visible en lugar de permanecer oculta.
La TI en la sombra pone en grave riesgo su cumplimiento normativo. Cuando los datos se transmiten a través de canales no autorizados, no se cumplen los requisitos de normativas como el RGPD, la HIPAA y la SOX. Si tiene información de clientes en sistemas en la sombra, no puede aplicar los controles de acceso o el cifrado adecuados. Su marco de gobernanza de datos se rompe cuando existen datos ocultos fuera de la gestión centralizada. Debe preocuparse especialmente por las copias de datos olvidadas en entornos de desarrollo o aplicaciones fuera de servicio que contienen información confidencial.
