El Shadow IT es un problema al que se enfrentan todas las empresas del mundo y que puede suponer una amenaza más importante de la que aparenta ser. Cada empresa proporciona sus equipos y programas a sus colaboradores pero muchos de ellos, además, descargan e instalan otros programas que no están supervisados por el departamento de IT. Según IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a herramientas externas de la organización. Ahí es cuando aparece el Shadow IT o el IT en la sombra, principalmente a causa de aplicaciones de almacenamiento en la nube, redes no permitidas, ordenadores no controlados o aplicaciones de terceros tipos SaaS. Aproximadamente un 82% de las empresas, desconocen la totalidad de las aplicaciones utilizadas por sus trabajadores en su día a día.
Las consecuencias del Shadow IT para las organizaciones
Con el teletrabajo, los usuarios han debido utilizar dispositivos propios que no estaban supervisados por la empresa y han podido entrar en aplicaciones de terceros no controladas. Cabe destacar, que solo el 7% de las aplicaciones SaaS gratuitas de Internet cumplen con los estándares mínimos de seguridad por lo que las personas que las utilizan exponen a la organización sin saberlo.
Los bancos y las compañías de seguros son las organizaciones que mayor riesgo corren con el Shadow IT ya que, por ejemplo, no pueden enviar información sensible a través de plataformas como WeTransfer. Esta aplicación es una de las herramientas más utilizadas para la transferencia de archivos, pero lo que muchas personas pasan por alto es que todo lo que se envía queda publicado en la nube. La información queda totalmente accesible. Esta circunstancia puede provocar a las empresas y en particular al CISO, un rompecabezas para encontrar el origen de la fuga de información. Según estudios, aproximadamente las pérdidas anuales a causa del Shadow IT son de 1,7 billones de dólares.
¿Cómo enfrentarlo? Buenas prácticas
Para evitar el Shadow IT existen buenas prácticas que el CISO puede aportar a la empresa, como identificación y monitoreo de todos los dispositivos y herramientas que los empleados vayan a utilizar. De esta manera, no solo se evita al máximo que pueda haber Shadow IT sino que en caso que lo haya, será más fácil encontrar el origen. No es tarea fácil pero sí necesaria.
Después, deberá seguir el análisis de riesgo y adecuación, es decir analizar las herramientas que tienen a su disposición los colaboradores y valorar si son las adecuadas. En caso de que no lo sean, buscar nuevas herramientas válidas acorde a la estrategia de IT y ciberseguridad.
Además, es primordial concienciar a todos los trabajadores de manera continua, acerca de la importancia de la seguridad de la información. El error humano es cada vez más corriente en el mundo digital, pero también es subsanable con acciones de concienciación. Los usuarios son parte de la solución.
Fuente: Smartfense
