bienvenido a t-cert
En la era de la pandemia, muchas organizaciones priorizaron la continuidad del negocio a expensas de la ciberseguridad. Especialmente en los primeros días de la pandemia, el foco estuvo en “poder seguir haciendo las cosas”, impulsando un cambio rápido hacia el trabajo remoto y nuevas formas de llegar a los clientes. Esto significó flexibilizar ciertas políticas para poder acompañar al personal a medida que realizaban ajustes importantes. Ciertamente, fue justificable en su momento. Pero a medida que entramos en una nueva fase postpandémica, caracterizada por el modelo de trabajo híbrido, también se ha creado una capa de opacidad completamente nueva con la que deben lidiar los equipos de IT y que supone un gran desafío: hablamos de los riesgos para la ciberseguridad relacionados con el uso por parte de los empleados de hardware y software sin la aprobación y el control de los equipos de IT.
Shadow IT ha existido durante años. El término general podría referirse a cualquier aplicación, solución o hardware utilizado por los empleados de una empresa u organización sin el consentimiento y el control del departamento de IT. A veces se trata de tecnologías de nivel empresarial que sencillamente fueron compradas o empleadas sin el conocimiento de IT. Pero, la mayoría de las veces, son aplicaciones o programas instalados por los propios empleados para su propio consumo, lo que puede exponer a la organización a un riesgo adicional.
La Shadow IT podría estar presente como alguna de las siguientes soluciones:
Es común que el uso de Shadow IT se produzca cuando los empleados están hartos de sentir que ciertas herramientas corporativas son ineficientes y afectan a la productividad. Con el advenimiento de la pandemia, muchas organizaciones se vieron obligadas a permitir que el personal usara sus dispositivos personales para trabajar desde casa. Pero esto abrió las puertas a las descargas de aplicaciones no autorizadas.
Esta situación se ve agravada por el hecho de que muchos empleados ignoran la política de seguridad corporativa, o que los propios líderes de IT se han visto obligados a suspender tales políticas para “poder seguir haciendo las cosas”. Según un estudio realizado en 2021, el 76% de los equipos de IT admiten que durante la pandemia la prioridad que tenía la seguridad fue desplazada en favor de la continuidad del negocio, mientras que el 91% dice que sintió la presión de comprometer la seguridad.
La pandemia también puede haber alentado a un mayor uso de software y hardware sin autorización debido a que los propios equipos de IT resultaban menos visibles para los trabajadores. Esto hizo que fuera más difícil para los usuarios verificar con el equipo de IT antes de usar nuevas herramientas y puede haberlos vuelto psicológicamente más predispuestos a desobedecer la política de la organización. Un estudio de 2020 afirma que más de la mitad (56%) de los trabajadores remotos a nivel global utilizaron una aplicación que no era del trabajo en un dispositivo corporativo, y el 66% cargó datos corporativos en las mismas. Casi un tercio (29%) dijo que siente que necesita usar una aplicación que no es del trabajo, ya que las soluciones respaldadas por IT “no tienen sentido”.
Si bien el uso de dispositivos de los empleados en tiempos de pandemia puede explicar parte del riesgo que implica Shadow IT, esto no explica el problema en su totalidad. También existe una amenaza en unidades de negocio específicas que alojan recursos en las laaS o Paas en la nube corporativa y que no se tienen en cuenta. El problema aquí es que muchos malinterpretan la naturaleza del modelo de responsabilidad compartida en la nube y asumen que el proveedor de servicios (CSP) se encargará de la seguridad. Sin embargo, la protección de las aplicaciones y los datos depende de la organización cliente. Y no se puede proteger lo que no puede ver.
Desafortunadamente, la naturaleza misma del Shadow IT hace que resulte difícil comprender la verdadera magnitud del problema. Un estudio de 2019 revela que el 64% de los trabajadores estadounidenses habían creado al menos una cuenta sin reportar a IT. A su vez, otras investigaciones afirman que el 65% del personal que trabaja de forma remota desde antes de la pandemia utiliza herramientas que no fueron aprobadas por IT, mientras que el 40% de los empleados actuales utilizan soluciones de comunicación y colaboración que no están bajo el radar de los equipos de IT. Curiosamente, ese mismo estudio señala que la tendencia del uso de Shadow IT varía con la edad: solo el 15% de los baby boomers afirman que utilizan Shadow IT, mientras que en los milennials el porcentaje asciende a un 45%.
El potencial riesgo que la Shadow IT puede introducir en una organización está fuera de toda duda. A modo de ejemplo, a principios de 2021 una compañía estadounidense de rastreo de contactos de COVID puede haber expuesto información de 70.000 personas luego de que los empleados usaron cuentas de Google para compartir información como parte de un “canal de colaboración no autorizado”.
A continuación describimos brevemente el potencial riesgo de Shadow IT para las organizaciones:
El primer paso es comprender la potencial magnitud de la amenaza. Los departamentos de IT deben tener en claro que la Shadow IT está muy extendida y que puede representar un riesgo grave, pero que también se puede mitigar. Para eso, se recomienda considerar:
Shadow IT expande la superficie de ataque corporativa y aumenta el riesgo cibernético. Pero ha crecido debido a que las herramientas y políticas vigentes a menudo se consideran demasiado restrictivas. Por lo tanto, solucionarlo requerirá que IT adapte su propia cultura para comprometerse más estrechamente con la fuerza laboral en general.
.jpg){kind=small}