Evitar la Shadow IT, consejos de seguridad para la oficina y teletrabajo

Foto: Kaspersky

El fenómeno conocido como Shadow IT (reemplazo de software, TI paralela o TI oculta) se produce cuando algún empleado decide escoger un servicio que, según él, es 10 veces mejor que el escogido por la empresa; lo empieza a usar y lo recomienda activamente a sus colegas.

Nikolay Pankov, investigador principal de Kaspersky, ha explicado que esto puede ayudar a que la empresa encuentre una solución que se adapte a sus necesidades comerciales pero, en la mayoría de los casos, todo lo que provoca es un dolor de cabeza mayúsculo.

“Si la gente supiera esto, se plantearían la seguridad antes y preguntarían al responsable de TI. Pero vivimos en un mundo imperfecto y los empleados a menudo recurren al uso compartido de archivos, aplicaciones de correo electrónico, redes sociales o aplicaciones de mensajería instantánea sin pensarlo dos veces y solamente después, si acaso, reflexionan sobre las posibles consecuencias”.

El problema no sería necesariamente que la herramienta sea una nueva aplicación de mensajería gratuita, cuyo desarrollo es más bien improvisado, ya que también podría tratarse de un servicio bien establecido.

A su juicio, el problema es que ni los especialistas en seguridad (en caso de que la empresa cuente con alguno) ni el departamento informático saben qué es lo que ocurre.

Esto significaría, entonces, que la aplicación no autorizada no está contemplada entre los modelos de amenaza contra la infraestructura, los diagramas de flujo de datos ni las decisiones de planificación elemental, y esto equivale a buscar problemas.

Uno de esos problemas es la probable filtración de datos, ya que los empleados pueden desconocer los peligros que supone el uso de las herramientas de terceros.

“Cualquier aplicación, ya sea basada en la nube o alojada en local, puede contar con varios ajustes muy sutiles que controlan la privacidad. Y no todos los empleados son expertos en software”.

Por ejemplo, Pankov ha comentado que son muy comunes los casos en donde un empleado puede dejar las gráficas con datos personales, sin protección, en Documentos de Google.

Vulnerabilidades en servicios

El investigador principal de Kaspersky también ha explicado que los servicios pueden presentar vulnerabilidades con las que terceros pueden acceder a los datos de quien los use.

“Sus desarrolladores pueden cerrar esos huecos rápidamente, pero ¿quién te garantiza que los empleados instalarán todos los parches necesarios destinados a las aplicaciones del lado cliente? Sin la participación del departamento informático, ni siquiera puedes saber si recibirán un aviso sobre la actualización”.

Además, ha dicho que es menos frecuente que una persona asuma la responsabilidad de la gestión de los derechos de acceso en aplicaciones y servicios no autorizados.

“Por ejemplo, la revocación de privilegios después de la renuncia o despido, si es que dicha función está disponible. En fin, nadie se hace responsable de la seguridad de los datos transmitidos o procesados al usar servicios no autorizados por el área de informática o seguridad”.

Por otro lado, ha añadido que varios países actualmente tienen sus propias leyes que especifican la manera en que las empresas deben gestionar los datos personales, sin olvidar las diversas normas que existen sobre este mismo tema.

Siendo así, las empresas tienen que someterse a auditorías para cumplir con los requisitos de varios organismos reguladores.

Entonces, si una auditoría de repente descubre que los datos de los clientes y del personal se han enviado mediante servicios poco fiables, y que el área informática hizo caso omiso, la empresa podría enfrentarse a una cuantiosa multa.

“Es decir, una empresa no necesita filtración de datos real para meterse en problemas”, ha precisado el experto.

Cuando se da la Shadow IT también se produce un desperdicio de presupuesto, según Pankov, ya que el uso de una herramienta alternativa (en lugar de la recomendada) puede no parecer gran cosa pero, para la empresa, representa en el mejor de los casos un desperdicio de dinero.

Después de todo, si se compran licencias para cada participante aprobado dentro del flujo de trabajo, pero no todos las utilizan, entonces la empresa habrá pagado por nada.

Gestionar el Shadow IT

Nikolay Pankov ha puntualizado que no se necesita combatir la Shadow IT, sino gestionarlo. Si la empresa lo tiene bajo control, puede mejorar no solo la seguridad de los datos, sino que podrá encontrar herramientas verdaderamente populares y útiles que pueden implementarse en toda la organización.

“Ahora mismo, en medio de la pandemia y el teletrabajo, siguen en aumento los riesgos asociados con el uso de aplicaciones y servicios que no cuentan con soporte”.

Y es que los empleados se ven obligados a adaptarse a las nuevas condiciones y, como norma general, intentan encontrar nuevas herramientas que ellos consideran aptas para realizar su trabajo a distancia.