La Shadow IT (la adopción de hardware, software, aplicaciones y servicios no autorizados en una organización) ha sido durante mucho tiempo una plaga para los responsables de TI. Un informe reciente de CORE concluyó que el uso de la Shadow IT se ha disparado un 59 % desde que las organizaciones adoptaron ampliamente el modelo de trabajo remoto, y el 54 % de los equipos de TI consideran que, debido a este aumento, sus organizaciones están "considerablemente más expuestas al riesgo de una fuga de datos".
¿Qué está impulsando el auge de la Shadow IT, y cómo pueden las organizaciones proteger a sus empleados y redes contra los riesgos que comporta?
Dos de los factores responsables son el aumento de la adopción de la nube y el auge del trabajo remoto. La plantilla moderna es cada vez más ágil y está más dispersa, y opera desde ubicaciones y dispositivos sobre los que los responsables de TI tiene una visibilidad y un control limitados. Los empleados, ya trabajen in situ o de forma remota, prefieren herramientas que les ayuden a realizar su trabajo. Cuando esas herramientas no se ajustan a la lista de aplicaciones aprobadas por los responsables de TI, o se utilizan para resolver necesidades para las que no se ha proporcionado ninguna, esto supone un problema para muchas organizaciones.
Según una encuesta realizada por Stratecast y Frost & Sullivan, el 80 % de los empleados adoptan aplicaciones SaaS sin la aprobación de los responsables de TI. Esto expone su red corporativa a un sinfín de amenazas y vulnerabilidades de seguridad.
Sin embargo, antes de que las organizaciones puedan detener la propagación de la Shadow IT, primero deben comprender a) qué coste les supone, b) por qué sus empleados siguen utilizándola, y c) qué herramientas de detección y corrección pueden ayudarles.
En 2021, la empresa de gestión informática Insight Global sufrió una fuga de datos que expuso la información personal de aproximadamente 70 000 residentes de Pensilvania. La empresa fue contratada para ayudar al departamento de salud del Estado con el rastreo de contactos durante la COVID-19, pero puso en riesgo la información que recopilaron cuando los empleados abrieron "varias cuentas de Google para compartir información como parte de un canal de colaboración no autorizado".
Aunque el departamento de salud de Pensilvania no pudo encontrar ningún uso indebido grave de los datos filtrados, el incidente subraya la facilidad con que la Shadow IT puede debilitar la postura de seguridad de una organización.
Cuando los responsables de TI carecen de visibilidad sobre las herramientas y las cuentas que utilizan los empleados, no tienen forma de garantizar que los datos y los recursos confidenciales permanezcan dentro del perímetro corporativo. Como resultado, no pueden evaluar las herramientas en busca de fallos de seguridad, aplicar controles de seguridad adecuados, supervisar y restringir el movimiento de datos, cumplir los requisitos de conformidad, ni anticiparse a las fugas de datos y los ataques desencadenados por vulnerabilidades de estas aplicaciones y estos servicios no administrados.
A diferencia de la fuga de datos de Insight Global, la mayoría de los ataques son costosos y su reparación requiere mucho tiempo (según IBM, una fuga de datos supone una pérdida promedio de 4,24 millones de dólares), sobre todo cuando no se informa al equipo de TI que las aplicaciones o las cuentas están en riesgo. En un estudio realizado por Forbes Insights, una de cada cinco organizaciones encuestadas sufrió un ciberataque debido a la Shadow IT, mientras que menos de la mitad de los encuestados tenían la seguridad de que su organización podría recuperarse de un ciberincidente sin repercusiones empresariales significativas.
Si no se controla, la Shadow IT no solo aumenta los riesgos de ciberataques. También incrementa otros costes. Dada la expansión del trabajo remoto y la proliferación de herramientas y servicios en la nube, la adopción de la Shadow IT representa un porcentaje significativo del gasto en informática para las grandes organizaciones. En una encuesta realizada por NetEnrich, el 59 % de los responsables de la toma de decisiones de TI indicaron que el gasto y los excesos en informática eran una de las principales preocupaciones de cara al futuro.
Controlar la Shadow IT puede ser un proceso difícil, incluso para el departamento de TI más diligente. Según Productiv, las empresas emplean de media entre 270 y 364 aplicaciones SaaS, y las aplicaciones no autorizadas representan el 52 %.
Antes de que las organizaciones puedan tomar medidas para identificar y resolver los riesgos que conlleva la Shadow IT, deben comprender por qué los empleados siguen adoptándola. A menudo, no son conscientes de que el uso de herramientas, dispositivos y cuentas no administrados puede crear importantes vulnerabilidades de seguridad. En cambio, sus razones para adoptar la Shadow IT suelen ser de tres tipos:
Los empleados se sienten atraídos por herramientas cómodas, eficaces y que resuelven propósitos empresariales específicos. Y si una organización no proporciona las herramientas y los recursos que los empleados necesitan, estos las encontrarán por su cuenta. Según IBM, el 67 % de los empleados de las empresas Fortune 1000 utilizan aplicaciones SaaS que no han sido explícitamente aprobadas por los departamentos internos.
Puede que los empleados no entiendan los riesgos de ciberseguridad que implica la Shadow IT. Es posible que no sepan que deben obtener la aprobación de los responsables de TI para las nuevas herramientas, o que no se den cuenta de lo mucho que ponen en riesgo al introducir en la red aplicaciones y servicios no aprobados.
Es posible que las políticas informáticas y los procesos de aprobación sean poco claros o inexistentes. Puede ser difícil conseguir la aprobación del equipo de TI, llevar mucho tiempo o incluso ser imposible debido a limitaciones presupuestarias, problemas de seguridad o por otras razones. Y puede que algunas organizaciones no hayan establecido políticas relativas a la adopción de aplicaciones, lo que involuntariamente lleva a los empleados a adoptar nuevas herramientas sin comunicar antes su uso al equipo de TI.
Debido a la prevalencia y la naturaleza cambiante de la Shadow IT, no existe una solución única eficaz para detectar y combatir las vulnerabilidades de las herramientas y los servicios no administrados. Sin embargo, hay varias estrategias clave que las organizaciones pueden adoptar para minimizar su propagación y su impacto. Entre ellas, las siguientes:
Adoptar una solución de descubrimiento de Shadow IT. El descubrimiento de Shadow IT puede ayudar al departamento de TI a detectar y registrar todas las aplicaciones en uso en su red, incluso aquellas que los empleados aún no han comunicado. Una vez que el departamento de TI ha catalogado todas las herramientas aprobadas y no aprobadas, puede evaluarlas en busca de fallos de seguridad o de configuraciones erróneas, colocar delante de ellas políticas de acceso y protección de datos, y gestionar más eficazmente el acceso de los empleados a ellas.
Proporcionar formación a los empleados sobre ciberseguridad. Formar a los empleados sobre los riesgos de las herramientas y las cuentas no aprobadas puede contribuir en gran medida a evitar la adopción de la Shadow IT.
Establecer políticas internas de Shadow IT. Crear políticas relativas a la adopción de nuevas tecnologías e informar continuamente a la organización de estas políticas permite al departamento de TI examinar a fondo los nuevos servicios y aplicaciones antes de que se implementen, lo que frena o evita eficazmente la propagación de la Shadow IT. Mediante la aplicación de medidas concretas para la adopción y la gestión de nuevas aplicaciones y herramientas, las organizaciones pueden reducir la frustración de los empleados y ayudarles a trabajar de forma más eficaz con las herramientas que necesitan para llevar a cabo su trabajo.
Un sistema de protección eficaz contra la Shadow IT empieza con la arquitectura Zero Trust: un modelo de seguridad basado en el principio de que no se debe confiar intrínsecamente en ningún usuario o dispositivo para acceder a los recursos corporativos. Al colocar controles Zero Trust frente a los recursos corporativos, las organizaciones pueden garantizar que sus empleados solo tienen acceso a las aplicaciones autorizadas mediante las cuentas autorizadas. Esto dificulta que los usuarios vean, compartan y muevan datos en aplicaciones no autorizadas.
Cloudflare Zero Trust proporciona al departamento de TI visibilidad y control totales sobre las aplicaciones aprobadas y no aprobadas, y ayuda a minimizar los riesgos de la Shadow IT y otros problemas de seguridad.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
La razón del aumento de la Shadow IT de un 59 %
Qué lleva al 80 % de los empleados a adoptar aplicaciones SaaS no autorizadas
Cómo 1 de cada 5 organizaciones sufre un ciberataque debido a la Shadow IT
Las 3 estrategias clave para minimizar la adopción de la Shadow IT
Para saber más sobre cómo Cloudflare mitiga la Shadow IT, obtén el resumen de la solución: Visibilidad y control Zero Trust de las aplicaciones SaaS.