En un contexto en el que el trabajo remoto se extendió rápida y exponencialmente, las empresas y su fuerza laboral buscan herramientas tecnológicas que favorezcan la colaboración. Esto incluye aquellas basadas en software, hardware, aplicaciones y/o servicios en la nube que, si bien no están prohibidas, tampoco son provistas por la empresa; “Están a la sombra del área de TI” y son el inicio del concepto “Shadow IT”.
Forcepoint, compañía global líder en ciberseguridad, comparte algunos datos que nos ayudan a entender, conocer y gestionar el riesgo de este fenómeno. Esto se basa en su experiencia al haber implementado programas de protección de datos y usuarios con sus clientes a nivel global y en diferentes industrias:
- Por cada aplicación en la nube autorizada se encuentran al menos 8 que no lo están. Si en promedio una organización utiliza 5 aplicaciones de nube, nos encontramos con 40 aplicaciones desconocidas o no autorizadas por la organización.
- No es económicamente viable replicar o implementar los controles de seguridad que se tienen dentro de las organizaciones, en un nuevo perímetro alrededor del colaborador o trabajo remoto.
- Los ataques exitosos y brechas de seguridad son derivados de fallas en la implementación de los controles adecuados para estos entornos.
- En el entorno actual se ha creado una tormenta perfecta en términos de nuevos riesgos para las organizaciones que deben ser valorados lo más pronto posible y hacer uso de arquitecturas de tipo SASE para implementar e integrar los controles adecuados de protección de datos sensitivos y de los usuarios.
- Se tienen que identificar y analizar las motivaciones que llevan a los colaboradores a implementar dichas herramientas sin informar al área de TI , o incluso evitando los controles de seguridad.
- Es fundamental que los colaboradores reciban una constante capacitación sobre seguridad. El factor humano es el eslabón más débil dentro de la cadena de seguridad cibernética, por lo que es esencial educar para prevenir ataques.
“Esta infraestructura o servicios no autorizados, aunque pretenden agilizar procesos de negocio o proveer soporte para la ejecución de algunas acciones, representan un riesgo para la organización. Lo que se recomienda es realizar análisis periódicos para identificar puntos de Shadow IT, valorar la necesidad de esas herramientas no autorizadas, eliminarlas o sustituirlas por tecnología valorada y suministrada por el área de tecnologías de la información, contar con la configuración adecuada y controles de seguridad basados en mejores prácticas y alineado con el apetito de riesgo de la organización”, comentó Mario Cinco, Ingeniero experto en ciberseguridad de Forcepoint.
Shadow IT significa un riesgo tanto para la información sensitiva y datos confidenciales que maneja la empresa y también podría llevar a la organización a ser acreedoras de penalizaciones, multas, desprestigios de la marca y pérdida de confianza de sus cliente y socios de negocio.