Definición de shadow IT

Las tecnologías en la sombra o shadow IT es el uso no autorizado de cualquier servicio o dispositivo digital que no esté formalmente aprobado y admitido por el departamento de TI.

Aunque los usuarios suelen hacer uso de shadow IT para mejorar la velocidad a la que pueden llevar a cabo su trabajo, el equipo de TI desconoce el uso de dichos servicios y, por lo tanto, no están protegidos por las soluciones o protocolos de ciberseguridad de la organización. En el caso de las cargas de trabajo en la nube y de otros servicios que utilizan los desarrolladores, los recursos pueden contener vulnerabilidades graves como el uso de contraseñas predeterminadas o errores de configuración. De esta manera, aumenta exponencialmente el riesgo de que se produzcan brechas de datos, problemas de cumplimiento y otras responsabilidades.

Ejemplos de shadow IT

Entre los ejemplos de shadow IT se incluyen:

• Creación de cargas de trabajo en la nube mediante el uso de cuentas o credenciales personales.
• Adquisición de aplicaciones de software como servicio (SaaS) u otras suscripciones a servicios en la nube que no satisfagan los umbrales de adquisición establecidos por TI.
• Uso de aplicaciones de productividad o flujos de trabajo como Trello o Asana.
• Uso de servicios de nube pública, como Google Drive o Box, para almacenar, acceder o compartir datos u otros recursos
• Uso de plataformas de mensajería o aplicaciones de comunicación, como WhatsApp o Zoom, para llevar a cabo comunicaciones relacionadas con el trabajo.

¿Por qué la shadow IT es un problema cada vez más importante?

En los últimos años, el uso de shadow IT se ha extendido debido a los esfuerzos que se están realizado en materia de transformación empresarial. Un estudio de 2019 de Everest Group estima que casi la mitad de todo el gasto de TI “se esconde tras las sombras”. Cabe destacar que esta cifra corresponde a la situación previa a la pandemia. Probablemente, la repentina oleada de trabajadores en remoto con motivo de las restricciones de la COVID-19 haya propiciado un uso todavía más generalizado de shadow IT, ya que los trabajadores quieren mantener la productividad en un entorno nuevo con recursos limitados.

El uso de shadow IT no suele tener motivos maliciosos. Se trata de una práctica a la que recurren los empleados porque sus funciones diarias requieren un acceso rápido, flexible y sin fricciones a diferentes herramientas y aplicaciones.

La adopción de DevOps es uno de los principales impulsores de la proliferación de shadow IT. A los equipos de la nube y DevOps les gusta trabajar con rapidez y aplicar una estrategia fluida. Sin embargo, los equipos de seguridad necesitan obtener niveles de visibilidad y administración adecuados, lo que suele provocar contratiempos y retrasos en el ciclo de desarrollo. Cuando un desarrollador genera una carga de trabajo en la nube con sus credenciales personales, no lo hace por preferencia ni con una intención maliciosa, sino porque pasar por los cauces internos adecuados puede retrasar el trabajo y hacer que el equipo no cumpla los plazos.

Por ello, la respuesta a la presencia de shadow IT no es averiguar cómo acabar con su uso, sino cómo proporcionar a los empleados los recursos que necesitan para alcanzar los objetivos empresariales con rapidez y a gran escala.

Riesgos y ventajas de shadow IT

Desde la perspectiva de TI y ciberseguridad, la shadow IT es un problema que debe gestionarse para preservar la visibilidad de la red y garantizar su seguridad. Pero, ¿qué ocurre con los empleados que dependen de estos recursos para hacer su trabajo y con los directivos que hacen la vista gorda ante estos métodos? Con seguridad, piensan que la shadow IT tiene alguna ventaja. Pero, ¿merece la pena correr riesgos por esa ventaja?

En esta sección, analizaremos en profundidad las ventajas y riesgos de la shadow IT. El objetivo es que las organizaciones sepan lo que está en juego y las razones por las que los equipos de TI necesitan perfeccionar los procesos y procedimientos para conseguir la facilidad de uso y la velocidad de la shadow IT sin generar riesgos indebidos.

Ventajas de la shadow IT

Algunas de las ventajas que ofrece la shadow IT son:

• Acceso más rápido a los recursos necesarios, lo que mejora la eficiencia e impulsa la innovación.
• Reducción de costes mediante el uso de servicios gratuitos o asequibles basados en la nube.
• Optimización de los recursos limitados de TI, incluido el personal, mediante el autoservicio en solicitudes básicas.
• Mejora de la comunicación y colaboración mediante aplicaciones y plataformas muy intuitivas y accesibles.
• Una experiencia de usuario positiva mediante la reducción de tareas administrativas y burocracia.

Riesgos de la shadow IT

Aunque la shadow IT tiene muchas ventajas, las empresas no pueden subestimar el nivel de riesgo que genera el uso de herramientas, aplicaciones y dispositivos no autorizados, ya que cualquiera de ellos puede servir como punto de entrada para los ciberdelincuentes. Las organizaciones se enfrentan a un panorama de amenazas cada vez más amplio, por eso, es importante limitar el riesgo que genera la shadow IT. Algunos de estos riesgos son:

1. Visibilidad y control

Como bien suele decirse, no se puede proteger lo que no se ve.

Por definición, la shadow IT se encuentra fuera del ámbito de la seguridad de TI, lo que aumenta la probabilidad de que las vulnerabilidades, los errores de configuración y las infracciones de las directivas pasen desapercibidos.

Que haya un mayor aprovisionamiento autónomo por parte de los usuarios puede ser favorable para la velocidad, pero no está exento de inconvenientes en lo que respecta a la seguridad. Si descentralizan el control sobre el aprovisionamiento de recursos, las organizaciones pueden crear un entorno más ágil sin poner en riesgo la visibilidad.

2. Pérdida de datos

Otro reto relativo a la shadow IT es que los datos y recursos almacenados en cuentas personales no son accesibles para otros miembros de la empresa. Si un empleado deja su puesto o se le despide, puede seguir accediendo a esos recursos almacenados en la nube, mientras que la empresa podría perder el acceso.

Otro aspecto importante que debe tenerse en cuenta es que la shadow IT no está sujeta a las directivas y procedimientos corporativos; es decir, los datos almacenados en un servidor de la nube no se respaldan, archivan ni cifran de acuerdo con la directiva de la empresa.

3. Ampliación de la superficie de ataque

Aunque la pérdida de datos es una preocupación importante para las empresas, el robo de datos puede suponer un riesgo aún mayor.

Con cada nuevo recurso de shadow IT, se amplía la superficie de ataque de la empresa. Como la shadow IT no es visible para el equipo de TI ni para el de ciberseguridad, no está protegida por las soluciones de ciberseguridad de la empresa, como la protección y respuesta de endpoints (EDR), antivirus de nueva generación o los servicios de inteligencia sobre amenazas .

Además, los servicios de shadow IT suelen crearse con credenciales débiles o predeterminadas y pueden presentar errores de configuración; debilidades que podrían aprovechar los adversarios como vía de entrada a la red corporativa general de la empresa.

4. Ineficiencias del sistema

La shadow IT suele ser un problema derivado de varias cuestiones. Si una empresa no proporciona los recursos adecuados a los empleados para que hagan su trabajo y estos deben buscar de forma autónoma recursos para abordar las deficiencias, es poco probable que la empresa reconozca la necesidad de invertir en infraestructura, nuevas habilidades o procedimientos.

Además, en los casos de shadow IT, las empresas no tienen una única fuente de verdad en lo que respecta a los datos, por lo que los análisis de datos y la información podrían ser inexactos, incoherentes o incompletos. Así, se puede mermar la calidad de la información generada a partir de estos datos y se pueden producir problemas de cumplimiento.

5. Coste

En muchas ocasiones, los empleados recurren a la shadow IT para reducir costes. Sin embargo, el uso de estos servicios a largo plazo, o su ampliación en la empresa, puede no ser rentable. Por ejemplo, un servicio de almacenamiento en la nube personal adaptado para prestar servicio a una cuenta empresarial resulta prohibitivo en comparación con los servicios desarrollados específicamente para los clientes corporativos.

La shadow IT también introduce costes indirectos en forma de multas y sanciones por incumplimiento, daños a la reputación en caso de brechas, o asistencia informática intensiva si el servicio debe migrarse o desactivarse.

Cómo gestionar el riesgo que supone la shadow IT

El reto de reducir los casos de shadow IT no recae en los empleados, sino en la empresa. Las empresas deben tomar medidas para entender y satisfacer las necesidades de sus empleados, y conseguir que el proceso de aprobación y aprovisionamiento sea rápido y sin fricciones.

Incluso en el caso de las empresas más avanzadas, hay casos de shadow IT que son inevitables. Por ello, las empresas deben encontrar formas de identificarlos de manera eficiente y gestionar el riesgo asociado. Las empresas pueden tomar las siguientes medidas para reducir el uso de shadow IT y limitar su riesgo:

1. Comprender las necesidades de la empresa y de los equipos mediante auditorías exhaustivas y periódicas en toda la empresa.
2. Utilizar tecnología avanzada para monitorizar continuamente la red, y garantizar la visibilidad y el control de todos los dispositivos, aplicaciones y sistemas.
3. Comunicar, colaborar y formar a todos los empleados sobre el uso seguro de las herramientas y tecnologías, e informarles sobre el protocolo adecuado para aprovisionar un nuevo servicio.
4. Establecer y aplicar la posición de seguridad y las directivas, y garantizar el cumplimiento.
5. Crear un marco que evalúe los riesgos y priorice los esfuerzos de corrección.

Eliminar el riesgo de la shadow IT con CrowdStrike Falcon Cloud Security

CrowdStrike Falcon® Cloud Security es una herramienta de gestión de la posición de seguridad en la nube (CSPM) que detecta y evita errores de configuración y amenazas en el plano de control, elimina los ángulos muertos y garantiza el cumplimiento en todas las plataformas de la nube, incluidas AWS, Azure y Google Cloud.

Falcon Cloud Security ofrece visibilidad integral sobre todo el entorno multinube a través de una única fuente de información para todos los recursos de la nube.

Falcon Cloud Security ofrece:

• Monitorización inteligente y constante de los recursos de la nube para identificar casos de shadow IT y detectar de forma proactiva errores de configuración y amenazas.
• Implementación segura de las aplicaciones en la nube con mayor rapidez y eficiencia.
• Visibilidad y control unificados en entornos multinube.
• Procesos guiados de remediación para resolver los riesgos de seguridad.
• Medidas de seguridad para que los desarrolladores eviten errores que pueden resultar muy costosos.
• Detección selectiva de amenazas para reducir la fatiga de alertas.
• Integración fluida con las soluciones de gestión de eventos e información de seguridad (SIEM).

Para conocer más información sobre cómo Falcon Cloud Security puede ayudarte a reducir los riesgos de la shadow IT en tu organización, descárgate hoy mismo nuestra ficha técnica o solicita una demo .