Shadow IT y sus implicancias para la seguridad corporativa

En el contexto de los avances tecnológicos, cada día se ofrecen nuevas herramientas, dispositivos o aplicaciones que pueden determinar las operaciones cotidianas dentro de las organizaciones, así como de manera personal. Si bien las nuevas tecnologías facilitan y mejoran nuestras actividades, su uso también puede tener nuevas implicaciones en la protección de la información.

En el ámbito organizacional, el uso de nuevas herramientas puede convertirse en una navaja de doble filo para los equipos de TI, ya que por un lado proporcionan diversos beneficios, al tiempo que pueden representar riesgos para la información, uno de los activos más importantes. En esta publicación revisaremos las implicaciones de seguridad, relacionados con Shadow IT.

Shadow IT y su crecimiento dentro de las empresas

Gartner refiere el término Shadow IT a los “dispositivos, software y servicios de TI utilizados dentro de las organizaciones y que se encuentran fuera de su propiedad o control”, que en ocasiones son utilizados sin una autorización explícita de parte de los departamentos de TI. Estas prácticas han ido en aumento los últimos años y se espera que esta tendencia continúe creciendo, ya que debido a otras tendencias como BYOD (Bring Your Own Device), ahora las personas acceden a servicios de Internet (redes sociales, correo electrónico, banca en línea, entre otros) desde sus propios dispositivos, utilizando redes corporativas y en ocasiones manejando información de las empresas.

Del mismo modo, el aumento en la adquisición de servicios en la nube, y especialmente debido al modelo SaaS (Software as a Service), que ofrece distintos beneficios como rápido acceso a aplicaciones, software de bajo costo o incluso gratuito para versiones con funcionalidades limitadas, así como también el fácil mantenimiento y la rápida implementación, también han sido factores para el aumento del fenómeno Shadow IT.

Cuando se utilizan estos servicios (como Google Docs, Dropbox o Gmail), los requisitos de alojamiento de las aplicaciones, mantenimiento de la infraestructura y la tareas operativas (como pruebas, actualizaciones de software o respaldo de información), son responsabilidad de los proveedores, lo que facilita las tareas a los departamentos de TI que carecen de la capacidad o los recursos para implementar, probar y administrar nuevas tecnologías requeridas por el negocio.

Riesgos de seguridad relacionados con servicios de terceros

Por todo lo anterior, no se puede negar que los beneficios de utilizar este tipo de aplicaciones y software son perceptibles a simple vista. Sin embargo, la disyuntiva aparece cuando la información que se comparte requiere ser protegida y ésta se encuentra fuera del control del personal de las organizaciones.

Esto representa riesgos cuando se debe preservar la confidencialidad, integridad o disponibilidad de la información, y ésta se encuentra en servicios o software que es administrado por terceros. Por ello, en ocasiones se busca erradicar estas prácticas, a través de controles, como lineamientos que impidan su uso, y tecnología que contribuya al cumplimiento de las políticas de restricción. Esto se traduce en costos, al tiempo que se limita el uso de herramientas que pueden ofrecer mayor flexibilidad o productividad.

Pensemos en escenarios en los cuales el personal requiere editar un documento de manera simultánea sin la necesidad de tener que hacerlo en múltiples instancias, sino en un solo archivo, o bien, el caso en el que se debe acceder a información desde cualquier dispositivo sin la necesidad de tener el archivo en varios equipos, tabletas o teléfonos inteligentes. En estos ejemplos, claramente se observa la ventaja de las opciones tecnológicas.

Por lo tanto, las iniciativas no deberían estar enfocadas en evitar o restringir Shadow IT, sino en proporcionar las mejores alternativas para las organizaciones, ya que si las actividades permiten aumentar la productividad, innovar o se contribuye con el negocio, es completamente válida su adopción. Por el contrario, si no es necesario y además es riesgoso, podría ser descartado.

Entonces, ¿se debería buscar erradicar shadow TI en las organizaciones?

Las medidas de seguridad no son completamente infalibles, por lo que es posible que, a pesar de contar con ellas, se presenten incidentes de seguridad, por lo tanto lo importante es reducir su probabilidad o impacto. Lo mismo sucede si se desea eliminar el fenómeno de Shadow IT, dado que es probable que se pueda seguir presentando en las organizaciones aunque no se haya autorizado y existan controles relacionados. Más aún, si se quieren aprovechar todas las ventajas que representa.

Por ello, es necesario tomar las debidas precauciones que eviten en la medida de lo posible la materialización de riesgos relacionados, de manera que la catalogación como prácticas buenas o malas (desde un punto de vista de seguridad), debería cambiarse el enfoque para valorar si se trata de actividades requeridas o no por el negocio.

En caso de ser necesarias, se vuelve mandatorio identificar y seleccionar la mejor manera de implementarlas en las actividades cotidianas de las empresas, por ejemplo, al complementarse con medidas de seguridad como el cifrado o mecanismos de doble autenticación, que permitan proteger los datos que se encuentran fuera la empresa o bien, que puedan limitar el acceso a dicha información.

Además, las decisiones en materia de seguridad, deberían estar precedidas por evaluaciones de riesgos, que permita estimar el impacto que representaría para la organización, un incidente de seguridad relacionado con estas actividades, y la aplicación de medidas que mitiguen dicho impacto.

Gestión de la seguridad, un elemento fundamental

En este caso, la gestión de la seguridad de la información juega un papel importante, ya que en caso de que prácticas de Shadow IT sean requeridas o que no sea posible erradicarlas, es posible regularlas. Por ejemplo, a través del desarrollo y aplicación de lineamientos y políticas que definan lo que está permitido y lo que está prohibido cuando se almacena, procesa o comparte información en el uso de estas tecnologías.

Además, una adecuada clasificación de la información sería prudente, para identificar los datos que podrían permanecer fuera de la infraestructura tecnológica de la organización y aquéllos que forzosamente deberán ser protegidos de manera local.

Aunado a estas prácticas, ya mencionábamos algunos controles de seguridad adicionales que reducirían considerablemente la probabilidad o el impacto de incidentes de seguridad asociados al uso de la nube o del software y aplicaciones de terceros.

Del mismo modo como sucede con la nube, podría tratarse de una transición paulatina o parcial, y en ambos casos se trata de una decisión que debería tomarse en función de las necesidades, características y requisitos del negocio, y no simplemente por tratarse de una moda o por las comodidades que podría representar.

Finalmente, si se ha optado por su uso, los temores relacionados con el uso de la tecnología deberían cambiar a tomar precauciones, junto con la aplicación de medidas de seguridad requeridas para el almacenamiento, procesamiento o transmisión de la información en los servicios de terceros.

Créditos imagen: ©Dwilliams851/Flickr

Autor , ESET

Síguenos