TI en la sombra

Glosario

El smartphone, el reloj de fitness y la cafetera inteligente se conectan rápidamente a la wifi de la empresa. Los servicios en la nube pueden utilizarse para transferir fácilmente grandes cantidades de datos. Sin embargo, este comportamiento puede plantear enormes riesgos para la seguridad de los datos de las empresas.

¿Qué es exactamente la TI en la sombra?

El término TI en la sombra se refiere al uso de sistemas, software y servicios de TI dentro de una empresa sin la autorización o el control explícitos del departamento de TI.

En el mundo digital hiperconectado de hoy en día, las empresas intentan mantenerse al día con un panorama tecnológico en constante evolución. Este afán de innovación es sin duda esencial para mantener la competitividad de muchas empresas, pero puede tener consecuencias negativas si las empresas descuidan las características esenciales de seguridad -en primer lugar la seguridad informática- en su afán por el desarrollo rápido, la optimización de procesos o incluso el aumento de los beneficios.

La existencia de TI en la sombra es problemática para las empresas si surge durante un periodo de tiempo prolongado y sin el conocimiento de los responsables y se arraiga en la empresa. Sin embargo, las organizaciones también pueden obtener aspectos positivos de la existencia de la TI en la sombra. Mostraremos cuáles son en el siguiente artículo del blog. Profundizamos en el tema de la TI en la sombra y arrojamos luz sobre sus causas, sus efectos y las medidas que deben adoptarse para hacer frente a la TI en la sombra.

La aparición de la TI en la sombra

Como ya se ha mencionado brevemente, la TI en la sombra suele producirse cuando los empleados de una empresa utilizan soluciones, servicios o herramientas que no han sido proporcionados o aprobados por las personas responsables o por el departamento de TI responsable.

Esto puede ocurrir por diversas razones:

  • No se satisfacen las necesidades: Los empleados pueden tener necesidades específicas que las soluciones informáticas oficiales no satisfacen. Por ejemplo, una determinada función no puede realizarse con la herramienta proporcionada o el manejo plantea dificultades al usuario. A menudo, los empleados buscan alternativas por su cuenta para aumentar su productividad u optimizar su trabajo.
  • Flexibilidad y rapidez: a veces, los procesos informáticos oficiales pueden ser lentos e implicar aprobaciones y tiempos de espera. Cuando los empleados necesitan actuar con rapidez, suelen recurrir a aplicaciones que ya conocen y con las que están familiarizados, en lugar de esperar a las soluciones oficiales.
  • Facilidad de acceso: con la llegada de los servicios en la nube y el software fácilmente disponible, los empleados pueden conectarse más fácilmente y utilizar las aplicaciones que se adapten a sus necesidades sin tener que involucrar a los responsables de TI.
  • Falta de conciencia del problema: A veces los empleados no son conscientes de que lo que hacen entra en la categoría de TI en la sombra. Es posible que lo consideren una solución más que una desviación de los procesos oficiales.
    Percepción de burocracia: si se considera que el departamento de TI es demasiado estricto o que los procesos son demasiado burocráticos, los empleados pueden evitar pasar por los organismos o personas pertinentes.
  • Falta de personal: si el departamento de TI no cuenta con suficiente personal o los responsables están ausentes por enfermedad o de vacaciones, los empleados pueden tomar sus propias decisiones por necesidad y buscar alternativas por sí mismos, contribuyendo así a la aparición de la TI en la sombra.

Está claro que las razones por las que puede surgir una TI en la sombra son múltiples. Muy rápidamente -y a menudo sin ser consciente de ello- cada empleado puede contribuir a la aparición de una TI en la sombra o a la propagación de una estructura de TI en la sombra ya existente. Las siguientes situaciones de trabajo cotidianas muestran cómo actúan los empleados fuera de la infraestructura de TI interna y segura y qué posibles amenazas se derivan de ello.

Uso no autorizado del almacenamiento en la nube:

Para enviar un archivo adjunto demasiado grande, los empleados utilizan cuentas personales de almacenamiento en la nube para transferir información de la empresa a otro dispositivo.

  • Amenazas potenciales: Fugas de datos, pérdida de control sobre información sensible, incumplimientos normativos, falta de cifrado, posible exposición a ciberataques.

Aplicaciones de mensajería para la comunicación en el trabajo:

Varios equipos utilizan aplicaciones de mensajería no autorizadas, por ejemplo Whatsapp, para comunicarse rápidamente entre ellos.

  • Amenazas potenciales: Falta de cifrado de extremo a extremo, intercambio potencialmente inseguro de datos confidenciales, falta de control sobre el almacenamiento de mensajes, riesgo de propagación de malware a través del intercambio de archivos.

Instrumentos personales de gestión de proyectos:

Para planificar, controlar, supervisar y gestionar mejor los proyectos, los departamentos utilizan sus propias herramientas de gestión.

  • Amenazas potenciales: Fragmentación de datos, dificultades de integración, vulnerabilidades de seguridad, incapacidad para mantener una supervisión coherente de los proyectos, protección de datos comprometida.

Uso de suscripciones SaaS no autorizadas:

Los empleados se suscriben a aplicaciones SaaS no autorizadas, por ejemplo Microsoft 365, para tareas específicas.

  • Amenazas potenciales: Violación de datos, falta de cifrado de datos, visibilidad limitada de las prácticas de procesamiento de datos de terceros, riesgo de violación de datos, configuración de seguridad insuficiente, falta de gestión de actualizaciones de seguridad.

¿Qué tienen de peligroso los dispositivos en la sombra?

Estos cuatro ejemplos por sí solos muestran algunas de las amenazas potenciales que podrían surgir de la presencia de TI en la sombra. El problema de utilizar dispositivos en la sombra es relativamente fácil de resumir: No se puede proteger lo que no se conoce.

Esto convierte a cada dispositivo, a cada programa, en un riesgo potencial para la seguridad de los datos de la empresa. Si los responsables no son conscientes de su existencia, no pueden tomar las precauciones de seguridad o protección de datos necesarias. Por ejemplo, no se puede sensibilizar a los empleados sobre los peligros específicos de cada tecnología, no se establecen los ajustes de protección de datos y los programas de seguridad, como los cortafuegos, no están configurados o lo están de forma insuficiente.

En general, la superficie de ataque para los ciberdelincuentes aumenta cuando se utilizan programas y dispositivos adicionales y, en consecuencia, la infraestructura informática se vuelve más compleja. Este factor aumenta considerablemente cuando estas aplicaciones se utilizan sin seguridad.

Aunque la TI en la sombra también puede tener efectos positivos para una empresa (fomento de la innovación, toma de decisiones más rápida por parte de los empleados o incluso investigación de nuevas tecnologías), los riesgos superan a los beneficios.

Además de los riesgos mencionados para la seguridad de los datos, la pérdida de datos y control o la violación de las directrices de cumplimiento, también pueden surgir costes adicionales para la empresa si, por ejemplo, distintos departamentos utilizan aplicaciones similares por separado y, por tanto, pagan dos veces por licencias o suscripciones. También pueden producirse pérdidas de productividad o problemas de escalabilidad si la TI en la sombra no está diseñada para procesos de crecimiento.

Tratar y combatir la TI en la sombra

Si se descubre que la TI en la sombra se ha establecido en la empresa o está a punto de desarrollarse, hay que tomar medidas. El objetivo debe ser crear un entorno de trabajo seguro, eficiente y productivo para los empleados. Se recomienda analizar por qué se ha extendido la TI en la sombra. Tal vez una de las razones mencionadas anteriormente sea el desencadenante. A continuación, deben comprenderse las motivaciones y trabajar con el equipo para resolver el problema. Esto puede conseguirse siguiendo estos consejos.

  1. Reconocer y comprender: Hay que entender por qué existen las TI en la sombra o por qué han surgido. Es importante comprender las motivaciones y atender las necesidades del personal.
  2. Comunicación abierta: Anime a la plantilla a compartir y discutir sus necesidades de forma abierta y transparente con el departamento de TI o las personas responsables.
  3. Educación: Informe a su personal sobre los riesgos de la TI en la sombra.
  4. Soluciones cooperativas: Colabore con los empleados para encontrar soluciones. Colabore con el equipo para encontrar servicios, herramientas y aplicaciones que satisfagan sus necesidades.
  5. Optimización de procesos: implante procesos racionalizados para introducir nuevas aplicaciones, aprobar nuevas tecnologías e implantar estas herramientas.
  6. Auditorías periódicas y circuitos de retroalimentación: Realice encuestas periódicas para identificar aplicaciones no autorizadas y pregunte a los empleados si están satisfechos con los procesos y aplicaciones existentes.
  7. Actualizaciones: Mantenga actualizadas las TI que utiliza para adaptarse a las necesidades cambiantes.
  8. Celebre los éxitos: muestre a su equipo por qué debe utilizarse una aplicación o solución o qué avances positivos se han producido gracias a su uso.