Los desafíos del uso de Inteligencia Artificial pa...

Más allá de su popularidad y beneficios, la Inteligencia Artificial también tiene retos a ser considerados cuando se trata de seguridad digital.

¿Qué es el Shadow IT y por qué debería importarte?

¿Qué es el Shadow IT y por qué debería importarte?

El uso indiscriminado de aplicaciones y software no autorizado por los departamentos de IT son un riesgo enorme para cualquier organización.

El uso no autorizado de las tecnologías de información y comunicación, o "Shadow IT" (IT en la sombra, o IT invisible) es la práctica de acceder a programas y sistemas sin autorización explícita o incluso sin que se sepa. Estas aumentan los riesgos de seguridad y las responsabilidades financieras, sobre todo con empleados teletrabajando.

En las empresas, el Shadow IT se ha vuelto cada vez más común debido a la presencia constante de servicios basados en la nube y a la popularidad de las configuraciones de la nube híbrida. Si añadimos a esto que es muy fácil disponer de estas aplicaciones, tenemos un efecto bola de nieve que nunca será beneficioso para ningún departamento de tecnología.

¿Qué es el Shadow IT?

El IT invisible es una expresión general que hace referencia a cualquier tecnología, ya sea una aplicación o un dispositivo (smartphone, tableta, portátil, etc.), que se implanta en una empresa sin la aprobación del departamento de IT.

Como resultado, los departamentos de IT a menudo no son conscientes de que los programas están siendo utilizados por individuos u otros áreas de negocio.

Algunos ejemplos típicos de IT en la sombra son:

  • Servicios en la nube, como SaaS, PaaS, IaaS
  • Software de nicho disponible en el mercado
  • Dispositivos de hardware como memorias USB, ordenadores, teléfonos inteligentes y tabletas

Algunos de los tipos típicos de aplicaciones identificados como parte del IT en la sombra son Trello, Slack, Asana, Snapchat, WhatsApp, memorias flash, discos externos, Dropbox, Google Drive, Skype, Zoom, entre otras menos conocidas.

La mayoría del personal que utiliza estas soluciones no aprobadas lo hace con buenas intenciones, principalmente para hacer su trabajo más rápido. Por desgracia, el Shadow IT se está extendiendo debido al exceso de software empresarial, la productividad que ofrece y a la sencillez con la que se pueden instalar estas aplicaciones.

No es extraño que los empleados puedan sentirse frustrados y tomar cartas en el asunto porque el procedimiento para obtener la aprobación oficial del departamento de IT es difícil y requiere mucho tiempo.

Riesgos del Shadow IT

Los problemas de seguridad y cumplimiento surgen cuando el departamento de IT carece de visibilidad sobre del hardware y el software que utilizan los empleados y las diferentes áreas de la empresa, lo que da lugar a varios tipos de riesgos que deben tenerse en cuenta.

Te presentamos cinco de las amenazas más graves del IT en las sombras que cualquier empresa debería conocer:

seguridad

1. Lagunas en la seguridad

El Shadow IT compromete la seguridad de una organización. Estas aplicaciones no pasan por los mismos procedimientos de seguridad que otras tecnologías soportadas ya que el departamento de IT no los ha validado.

Mientras que algunos programas SaaS no soportados parecen ser inofensivos, otros pueden fomentar el intercambio de datos sensibles entre grupos o la grabación de llamadas para servicios de transcripción.

legal

2. Posible incumplimiento de la ley

Usar software no autorizado puede tener efectos de gran alcance para las empresas sujetas a normas de cumplimiento. El IT invisible introduce nuevos puntos de auditoría, lo que requiere la ampliación de las pruebas de cumplimiento.

Por ejemplo, si los empleados de una institución sanitaria almacenan datos sensibles de los pacientes en sistemas de almacenamiento en la nube de un software no autorizado, pueden verse obligados a auditar, identificar y revelar la amplitud y el impacto de cada dato.

Además de exponer los datos sensibles a ciberataques, la empresa puede enfrentarse a costosos litigios o multas por incumplimiento, lo que podría perjudicar su reputación y sus ingresos.

flujo de trabajo

3. Alteración de los flujos de trabajo y la gestión de IT

Los departamentos de IT deben desarrollar una base de datos de gestión de la configuración (CMDB) para identificar cómo interactúan los sistemas entre sí. Cuando se introduce un programa o pieza de hardware no aprobado, es poco probable que se añada a la CMBD porque el departamento de tecnología no tiene constancia de su existencia.

El Shadow IT puede interrumpir procedimientos sensibles a los que se les han dedicado meses o años para diseñar.

Colaboración

4. Colaboración ineficaz

La colaboración se vuelve ineficaz cuando el personal depende de aplicaciones separadas de departamento a departamento.

¿Qué sucede si un departamento utiliza Google Drive para compartir archivos y otro utiliza Box cuando los dos equipos colaboran en un proyecto? ¿Con qué frecuencia se publicará, modificará y descargará un mismo documento entre los dos servicios?

Minimizar el número a dos o tres licencias empresariales facilitará la colaboración.

IT

5. Falta de conocimiento en IT

Por último, la selección de las aplicaciones SaaS incorrectas podría afectar significativamente al ancho de banda y la eficiencia. Si un equipo depende de un software de Shadow IT que falla, el departamento de tecnología no lo restaurará porque carece de los conocimientos y la documentación esenciales. Piensa en el caos que podría producirse.

Muchos programas de terceros nunca se diseñaron para formar parte de tu infraestructura, al menos sin el conocimiento de IT, así que cuando llega una actualización importante que no funciona con tu sistema, tu personal de IT estará completamente desubicado.

¿Cómo inhibir el uso de Shadow IT en tu organización?

Afortunadamente, la niebla que produce los programas no autorizados no es tan espesa como parece. Un enfoque ideal para prevenir su uso puede ser:

  1. Sé claro en las políticas IT: Establece una política clara sobre los dispositivos, sistemas y software que los empleados pueden utilizar. Comunica esa política a todos los empleados con regularidad, no sólo una vez.
  2. Gana visibilidad: Utilizando un sistema de gestión de activos de software, detecta y clasifica todo el software que se ejecuta en tu empresa. Esto puede combinar el cumplimiento, los derechos de licencia, la detección y otras características en una sola interfaz.
  3. Triaje de riesgos inaceptables: Realiza un examen exhaustivo de los peligros relacionados con las aplicaciones no aprobadas y socialízalo con todo el departamento de IT y la directiva.
  4. Establece una línea base de aplicaciones aceptables: hay que reconocer que probablemente hay muchos ejemplos de Shadow IT en tu organización. Concéntrate en las aplicaciones más populares y analiza si puede aprobar un subconjunto de ellas.
  5. Aborda las carencias de funcionalidad con un plan a largo plazo: Realiza un estudio estratégico de patrones de uso. Reconoce que tu empresa necesita un conjunto completo de herramientas y servicios para funcionar eficazmente.
BBB
Escrito por: BBB

Nada fuera de lo anormal, como tú, vamos. ;)

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
Publicaciones relacionadas
¿Qué es el spyware y cómo proteger a la empresa de sus actividades?

Este código malicioso es capaz de robar información sin ser detectado, por lo que conviene tener una estrategia global y...
Cómo aumentar el tiempo de actividad de tu centro de datos fortaleciendo las seguridad física

Conoce las ventajas de unificar los esfuerzos de seguridad física de tu centros de datos para lograr el máximo tiempo de...
Seis razones para hacer formación continua en ciberseguridad a tus empleados

En el conocimiento está el poder. Con la evolución constante de las ciberamenazas, lo más adecuado para cualquier empres...

Suscríbete al #Blog

Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
bitmap-2