Cómo gestionar los riesgos de seguridad de Shadow IT

En la era de la pandemia, muchas organizaciones priorizaron la continuidad del negocio a expensas de la ciberseguridad. Especialmente en los primeros días de la pandemia, el foco estuvo en “poder seguir haciendo las cosas”, impulsando un cambio rápido hacia el trabajo remoto y nuevas formas de llegar a los clientes. Esto significó flexibilizar ciertas políticas para poder acompañar al personal a medida que realizaban ajustes importantes. Ciertamente, fue justificable en su momento. Pero a medida que entramos en una nueva fase postpandémica, caracterizada por el modelo de trabajo híbrido, también se ha creado una capa de opacidad completamente nueva con la que deben lidiar los equipos de IT y que supone un gran desafío: hablamos de los riesgos para la ciberseguridad relacionados con el uso por parte de los empleados de hardware y software sin la aprobación y el control de los equipos de IT.

La conclusión es que, si los empleados utilizan software y dispositivos fuera de la supervisión del departamento de IT, esto podría convertirse en una amenaza importante para la organización. Pero queda una pregunta: ¿Qué hacer al respecto, cuando incluso la escala del problema puede ser difícil de discernir?

¿Qué es Shadow IT?

Shadow IT ha existido durante años. El término general podría referirse a cualquier aplicación, solución o hardware utilizado por los empleados de una empresa u organización sin el consentimiento y el control del departamento de IT. A veces se trata de tecnologías de nivel empresarial que sencillamente fueron compradas o utilizadas sin el conocimiento de IT. Pero, la mayoría de las veces, son aplicaciones o programas instalados por los propios empleados para su propio consumo, lo que puede exponer a la organización a un riesgo adicional.

La Shadow IT podría estar presente como alguna de las siguientes soluciones:

• Almacenamiento de archivos a nivel consumidor diseñado para ayudar a los trabajadores a colaborar de manera más eficiente entre sí.
• Herramientas de productividad y gestión de proyectos que también pueden impulsar la colaboración y la capacidad del personal para realizar sus tareas diarias.
• Mensajería y correo electrónico para impulsar una comunicación más fluida con contactos laborales y no laborales.
• Sistemas de Infraestructura como servicio para la nube (IaaS, por sus siglas en inglés) y de Plataformas como servicio (PaaS, por sus siglas en inglés) que podrían utilizarse para alojar recursos no autorizados.

¿Por qué está sucediendo?

Es común que el uso de Shadow IT se produzca cuando los empleados están hartos de sentir que ciertas herramientas corporativas son ineficientes y afectan a la productividad. Con el advenimiento de la pandemia, muchas organizaciones se vieron obligadas a permitir que el personal usara sus dispositivos personales para trabajar desde casa. Pero esto abrió las puertas a las descargas de aplicaciones no autorizadas.

Esta situación se ve agravada por el hecho de que muchos empleados ignoran la política de seguridad corporativa, o que los propios líderes de IT se han visto obligados a suspender tales políticas para “poder seguir haciendo las cosas”. Según un estudio realizado en 2021, el 76% de los equipos de IT admiten que durante la pandemia la prioridad que tenía la seguridad fue desplazada en favor de la continuidad del negocio, mientras que el 91% dice que sintió la presión de comprometer la seguridad.

La pandemia también puede haber alentado a un mayor uso de software y hardware sin autorización debido a que los propios equipos de IT resultaban menos visibles para los trabajadores. Esto hizo que fuera más difícil para los usuarios verificar con el equipo de IT antes de usar nuevas herramientas y puede haberlos vuelto psicológicamente más predispuestos a desobedecer la política de la organización. Un estudio de 2020 afirma que más de la mitad (56%) de los trabajadores remotos a nivel global utilizaron una aplicación que no era del trabajo en un dispositivo corporativo, y el 66% cargó datos corporativos en las mismas. Casi un tercio (29%) dijo que siente que necesita usar una aplicación que no es del trabajo, ya que las soluciones respaldadas por IT “no tienen sentido”.

La magnitud del problema

Si bien el uso de dispositivos de los empleados en tiempos de pandemia puede explicar parte del riesgo que implica Shadow IT, esto no explica el problema en su totalidad. También existe una amenaza en unidades de negocio específicas que alojan recursos en las laaS o Paas en la nube corporativa y que no se tienen en cuenta. El problema aquí es que muchos malinterpretan la naturaleza del modelo de responsabilidad compartida en la nube y asumen que el proveedor de servicios (CSP) se encargará de la seguridad. Sin embargo, la protección de las aplicaciones y los datos depende de la organización cliente. Y no se puede proteger lo que no puede ver.

Desafortunadamente, la naturaleza misma del Shadow IT hace que resulte difícil comprender la verdadera magnitud del problema. Un estudio de 2019 revela que el 64% de los trabajadores estadounidenses habían creado al menos una cuenta sin reportar a IT. A su vez, otras investigaciones afirman que el 65% del personal que trabaja de forma remota desde antes de la pandemia utiliza herramientas que no fueron aprobadas por IT, mientras que el 40% de los empleados actuales utilizan soluciones de comunicación y colaboración que no están bajo el radar de los equipos de IT. Curiosamente, ese mismo estudio señala que la tendencia del uso de Shadow IT varía con la edad: solo el 15% de los baby boomers afirman que utilizan Shadow IT, mientras que en los milennials el porcentaje asciende a un 45%.

¿Por qué Shadow IT es una amenaza?

El potencial riesgo que la Shadow IT puede introducir en una organización está fuera de toda duda. A modo de ejemplo, a principios de 2021 una compañía estadounidense de rastreo de contactos de COVID puede haber expuesto información de 70.000 personas luego de que los empleados usaron cuentas de Google para compartir información como parte de un “canal de colaboración no autorizado”.

A continuación describimos brevemente el potencial riesgo de Shadow IT para las organizaciones:

• “Sin control de IT” implica que el software puede permanecer sin actualizar o mal configurado (por ejemplo, con contraseñas débiles), exponiendo a posibles ataques tanto a los usuarios como a los datos corporativos
• No hay una solución antimalware a nivel empresarial u otras soluciones de seguridad que protejan los activos Shadow IT o las redes corporativas
• No existe capacidad para controlar filtraciones o intercambios de datos accidentales o deliberados
• Obstáculos a la hora de realizar auditorías y monitorear el cumplimiento normativo
• Exposición a pérdidas de datos, ya que las aplicaciones y los datos de Shadow IT no estarán cubiertos por los procesos de backup corporativos
• Daños financieros y de reputación derivados de una brecha de seguridad grave

Cómo gestionar Shadow IT

El primer paso es comprender la potencial magnitud de la amenaza. Los departamentos de IT deben tener en claro que la Shadow IT está muy extendida y que puede representar un riesgo grave, pero que también se puede mitigar. Para eso, se recomienda considerar:

• Diseñar una política integral para controlar la presencia de Shadow IT, que incluya una lista claramente comunicada de software y hardware aprobados y no aprobados, y un proceso para obtener la aprobación
• Fomentar la transparencia entre los empleados, educándolos acerca del potencial impacto de la Shadow IT e iniciando un diálogo bidireccional honesto
• Escuchar y adaptar las políticas tomando en cuenta los comentarios de los empleados sobre qué herramientas funcionan y cuáles no. Puede ser momento de revisar las políticas de cara a la nueva era de trabajo híbrido, equilibrando mejor la seguridad y la conveniencia.
• Utilizar herramientas de monitoreo para rastrear el uso de Shadow IT en la empresa y cualquier actividad de riesgo, y tomar las medidas adecuadas con respecto a infractores persistentes.

Shadow IT expande la superficie de ataque corporativa y aumenta el riesgo cibernético. Pero ha crecido debido a que las herramientas y políticas vigentes a menudo se consideran demasiado restrictivas. Por lo tanto, solucionarlo requerirá que IT adapte su propia cultura para comprometerse más estrechamente con la fuerza laboral en general.