Lösungen

Preise

Partner

Login

Kostenlose Beratung

TI en la sombra

Los teléfonos inteligentes, los relojes de fitness y las máquinas de café inteligentes se registran rápidamente en la propia red Wi-Fi de la empresa. Los servicios en la nube pueden utilizarse para transferir fácilmente grandes cantidades de datos. Sin embargo, este comportamiento puede entrañar enormes riesgos para la seguridad de los datos de las empresas.

¿Qué es exactamente la TI en la sombra?

El término TI en la sombra se refiere al uso de sistemas, software y servicios de TI dentro de una empresa sin la autorización o el control explícitos del departamento de TI. En el mundo digital hiperconectado de hoy en día, las organizaciones intentan seguir el ritmo del panorama tecnológico en constante evolución. Este afán de innovación es sin duda esencial para que muchas empresas sigan siendo competitivas, pero puede tener consecuencias negativas si las empresas descuidan elementos esenciales de seguridad -sobre todo la seguridad informática- en su afán de desarrollo rápido, optimización de procesos o incluso aumento de beneficios. La existencia de TI en la sombra es problemática para las empresas si surge durante un periodo de tiempo prolongado y sin el conocimiento de los responsables y se arraiga en la empresa. Sin embargo, las organizaciones también pueden obtener aspectos positivos de la existencia de la TI en la sombra. Mostramos cuáles son en el siguiente artículo del blog. Profundizamos en el tema de la TI en la sombra y arrojamos luz sobre sus causas, sus efectos y las medidas que deben adoptarse al tratar con la TI en la sombra.

La historia de la TI en la sombra

Como ya se ha mencionado brevemente, la TI en la sombra suele surgir cuando los empleados de una empresa utilizan soluciones, servicios o herramientas que no han sido proporcionados o autorizados por las personas responsables o por el departamento de TI encargado. Esto puede ocurrir por varias razones:
  • No se satisfacen las necesidades: Los empleados pueden tener necesidades especiales que las soluciones informáticas oficiales no satisfacen. Por ejemplo, una determinada función no puede realizarse con la herramienta proporcionada o el manejo plantea dificultades al usuario. Entonces, los empleados suelen buscar alternativas por su cuenta para aumentar su productividad u optimizar su trabajo.
  • Flexibilidad y rapidez: los procesos informáticos oficiales a veces pueden ser lentos e implicar aprobaciones y tiempos de espera. Cuando los empleados necesitan actuar con rapidez, suelen recurrir a aplicaciones que ya conocen y con las que están familiarizados, en lugar de esperar a las soluciones oficiales.
  • Facilidad de acceso: Con la llegada de los servicios en la nube y el software fácilmente disponible, los empleados pueden conectarse más fácilmente y utilizar las aplicaciones que se adapten a sus necesidades sin tener que involucrar a los responsables de TI.
  • Falta de conciencia del problema: A veces los empleados no son conscientes de que lo que hacen entra en la categoría de TI en la sombra. Es posible que lo consideren una solución más que una desviación de los procesos oficiales.
  • Percepción de burocracia: Si el departamento de informática se percibe como demasiado estricto o los procesos se consideran demasiado burocráticos, los empleados pueden evitar pasar por los organismos o personas pertinentes.
  • Falta de personal: Si el departamento de TI no tiene personal suficiente o los responsables están ausentes por enfermedad o de vacaciones, los empleados pueden tomar sus propias decisiones por necesidad y buscar alternativas por sí mismos, contribuyendo así a la aparición de la TI en la sombra.

Está claro que hay muchas razones por las que puede surgir la TI en la sombra. Muy rápidamente -y a menudo sin darse cuenta- cualquier empleado puede contribuir a la aparición de TI en la sombra o a la propagación de estructuras de TI en la sombra ya existentes. Las siguientes situaciones cotidianas de trabajo muestran cómo operan los empleados fuera de la infraestructura informática interna y segura, y qué amenazas potenciales se derivan de ello. Uso no autorizado del almacenamiento en la nube: Para enviar un archivo adjunto demasiado grande, los empleados utilizan cuentas personales de almacenamiento en la nube para transferir información de la empresa a otro dispositivo.
  • Posibles amenazas: Filtración de datos, pérdida de control sobre la información sensible, incumplimiento de la normativa, falta de encriptación, exposición potencial a ciberataques.

Aplicaciones de mensajería para la comunicación en el trabajo: Varios equipos utilizan aplicaciones de mensajería no autorizadas, como Whatsapp, para comunicarse rápidamente entre sí.
  • Posibles amenazas: Falta de encriptación de extremo a extremo, intercambio potencialmente inseguro de datos confidenciales, falta de control sobre el almacenamiento de mensajes, riesgo de propagación de malware a través del intercambio de archivos.

Herramientas personales de gestión de proyectos: Los departamentos utilizan sus propias herramientas de gestión para planificar, controlar, supervisar y completar mejor los proyectos.
  • Posibles amenazas: Fragmentación de datos, dificultades de integración, vulnerabilidades de seguridad, incapacidad para mantener una supervisión coherente del proyecto, privacidad de los datos comprometida.

Suscripciones SaaS no autorizadas: Los empleados se suscriben a aplicaciones SaaS no autorizadas, por ejemplo Microsoft 365, para tareas específicas.
  • Posibles amenazas: Violación de datos, Falta de encriptación de datos, Visibilidad limitada de las prácticas de tratamiento de datos de terceros, Riesgo de incumplimiento de la normativa de protección de datos, Ajustes de seguridad insuficientes, Falta de gestión de las actualizaciones de seguridad.


¿Qué tienen de peligroso los dispositivos en la sombra?

Sólo estos cuatro ejemplos muestran algunas de las amenazas potenciales que pueden surgir de la presencia de TI en la sombra. El problema de utilizar dispositivos en la sombra puede resumirse con relativa facilidad: No puedes proteger lo que no conoces. Esto significa que cada dispositivo y cada programa representan un riesgo potencial para la seguridad de los datos de la empresa. Si los responsables no son conscientes de su existencia, no pueden tomar las precauciones necesarias en materia de seguridad o protección de datos. Por ejemplo, no se puede concienciar a los empleados de los peligros específicos de cada tecnología, no se establecen los ajustes de protección de datos y los programas de seguridad, como los cortafuegos, no están configurados o lo están de forma insuficiente. En general, la superficie de ataque para los ciberdelincuentes aumenta cuando se utilizan programas y dispositivos adicionales y, en consecuencia, la infraestructura informática se vuelve más compleja. Este factor aumenta significativamente si estas aplicaciones se utilizan sin seguridad. La TI en la sombra también puede tener efectos positivos para una empresa (fomento de la innovación, toma de decisiones más rápida por parte de los empleados o investigación de nuevas tecnologías), pero los riesgos superan a los beneficios. Además de los riesgos para la seguridad de los datos mencionados anteriormente, la pérdida de datos y control o el incumplimiento de las directrices de cumplimiento, también pueden surgir costes adicionales para la empresa si, por ejemplo, distintos departamentos utilizan aplicaciones similares por separado y, por tanto, pagan dos veces por las licencias o suscripciones. También pueden producirse pérdidas de productividad o problemas de escalabilidad si la TI en la sombra no está diseñada para procesos de crecimiento.

Tratar y combatir la TI en la sombra

Si se determina que la TI en la sombra se ha establecido en la empresa o está en proceso de desarrollo, deben tomarse medidas. El objetivo debe ser crear un entorno de trabajo seguro, eficaz y productivo para los empleados. Es aconsejable analizar por qué se ha extendido la TI en la sombra. Quizá una de las razones mencionadas anteriormente sea el desencadenante. A continuación, hay que comprender las razones y trabajar junto con el equipo para resolver el problema. Esto puede conseguirse siguiendo los consejos que se dan a continuación.

  1. Reconocer y comprender: Hay que entender por qué existe la TI en la sombra o por qué ha surgido. Es importante comprender los motivos y responder a las necesidades de los empleados.
  2. Comunicación abierta: Anima al personal a compartir y discutir sus necesidades de forma abierta y transparente con el departamento informático o los responsables.
  3. Educación: Informa a tus empleados sobre los riesgos de la TI en la sombra.
  4. Soluciones cooperativas: Colabora con los empleados en la búsqueda de soluciones. Trabaja con el equipo para encontrar servicios, herramientas y aplicaciones que satisfagan sus necesidades.
  5. Optimización de procesos: Implanta procesos racionalizados para la introducción de nuevas aplicaciones, la aprobación de nuevas tecnologías y el suministro de estas herramientas.
  6. Auditorías periódicas y circuitos de retroalimentación: Lleva a cabo investigaciones periódicas para identificar solicitudes no autorizadas y pregunta a tus empleados si están satisfechos con los procesos y aplicaciones existentes.
  7. Actualizaciones: Mantén actualizada la informática que utilizas para adaptarla a las necesidades cambiantes.
  8. Celebra los éxitos: Muestra a tu equipo por qué debe utilizarse una aplicación o solución o qué avances positivos se han derivado de su uso.
Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung