El uso de Shadow IT expone a las empresas a ciberincidentes

Fecha de publicación
Cateogría del artículo Tecnología
Visualizaciones del artículo Leído  333  veces
Tags del artículo

Un estudio de Kaspersky señala que 1 de cada 10 empresas ha sufrido incidentes cibernéticos debido al uso de programas o apps no autorizadas por parte de sus empleados.

El uso de Shadow IT expone a las empresas a ciberincidentes

Las empresas corren un mayor riesgo de convertirse en blanco de ciberincidentes por el uso de Shadow IT por parte de los empleados. Se trata del uso de aplicaciones, dispositivos y/o servicios de nube pública que no están autorizados o no cumplen con las políticas de seguridad de los departamentos de TI.

Un estudio reciente de Kaspersky revela que 77% de las empresas en todo el mundo sufrió incidentes cibernéticos en los últimos dos años; el 11% precisamente a raíz del uso de Shadow IT por parte de los empleados. Las consecuencias del uso de plataformas no autorizadas pueden ser de diversa gravedad, ya sea por la filtración de datos confidenciales o por daños tangibles al negocio.

La investigación de Kaspersky desveló, asimismo, que la industria TI ha sido la más afectada, sufriendo el 16% de los ciberincidentes debido al uso no autorizado de Shadow IT entre 2022 y 2023. Otros sectores afectados por este problema fueron el de infraestructuras críticas, así como las organizaciones de transporte y logística con un 13% de los incidentes en cada área.

Shadow IT y su uso no autorizado en empresas

Cuando se habla de Shadow IT, significa que puede tratarse de aplicaciones no autorizadas instaladas en los equipos de los empleados de las empresas, o de memorias USB y dispositivos móviles no solicitados, entre otros. Pero también hay algunas opciones que son menos llamativas. Un ejemplo es el hardware que queda obsoleto tras la reorganización de la infraestructura informática de una empresa. En este caso, puede ser utilizado por otros empleados, adquiriendo vulnerabilidades que, tarde o temprano, encontrarán su camino en la infraestructura de la empresa.

En cuanto a los programadores, como ocurre a menudo, pueden crear programas a la medida para optimizar el trabajo dentro de un equipo/departamento, o para resolver problemas internos, haciendo que el trabajo sea más rápido y eficaz. Sin embargo, no siempre piden autorización al departamento de TI para utilizarlos, y esto puede tener consecuencias desastrosas.

La situación con el uso generalizado de Shadow IT se complica por el hecho de que muchas organizaciones no tienen documentadas las sanciones que sufrirán sus empleados como consecuencia de ir en contra de las políticas de TI en esta materia. Además, se prevé que Shadow IT podría convertirse en una de las principales amenazas para la ciberseguridad corporativa en 2025.

La buena noticia es que la motivación de los empleados para utilizar los programas no autorizados no siempre es maliciosa sino que, incluso, puede ser todo lo contrario. En muchos casos, los colaboradores la utilizan como una opción para ampliar la funcionalidad de sus herramientas de trabajo porque creen que el conjunto de software permitido es insuficiente, o simplemente prefieren un programa conocido de sus equipos personales.

Recomendaciones para mitigar los riesgos del uso de Shadow IT en una organización

El estudio de Kaspersky indica que, para atenuar esos riesgos, la empresa debería crear flujos de información entre el departamento de TI y los empleados. Algunas recomendaciones destacadas son:

  • Realizar periódicamente un inventario de los activos informáticos y escanear la red interna para evitar la aparición de hardware y servicios no controlados.
  • Invertir en programas de formación relevantes para especialistas en seguridad de TI para mejorar los conocimientos en control de amenazas.
  • Limitar el trabajo de los empleados con servicios externos de terceros y, si es posible, bloquear el acceso a los recursos de intercambio de información en la nube más populares.

 

En cuanto a los dispositivos personales de los empleados, lo mejor es dar a los usuarios un acceso lo más limitado posible correspondiente sólo a los recursos que necesitan para hacer su trabajo.

Según indica Alexey Vovk, responsable de Seguridad de la Información de Kaspersky "Los empleados que utilizan aplicaciones, dispositivos o servicios en la nube no autorizados por el departamento de TI creen que, si esos productos informáticos proceden de proveedores de confianza, deben estar protegidos y seguros. Por ello, las empresas necesitan herramientas para controlar el Shadow TI cuando sus empleados lo utilizan”.

 

Descargas