Shadow IT no es un problema nuevo en las empresas, sino que se trata de un tema que siempre ha traído de cabeza a los equipos de IT. Sin embargo, con el aumento de un formato de trabajo híbrido y remoto en los últimos años, el número de dispositivos, aplicaciones y cuentas que deben ser monitorizadas se ha disparado y la visión estratégica para frenar su proliferación se ha perdido por completo.

Cuando hablamos de Shadow IT, nos referimos a cualquier tipo de sistema de información o tecnología no controlado, que utilizan los empleados pero que no aparece en el radar de los equipos de IT y seguridad. Esto incluye cuentas en la nube o aplicaciones de mensajes, pero también hardwares como portátiles o smartphones que se usan sin conocimiento de los responsables de tecnología de las organizaciones.

¿Cómo surge el Shadow IT ?

Para poder frenar el incremento de este tipo de sistemas, es necesario conocer el entorno en el que surge y por qué los empleados usan aplicaciones y servicios no controlados. Estos son los principales motivos:

1.Trabajo remoto e híbrido

Con el objetivo de ser productivo en entornos de trabajo en remoto e híbridos, los empleados necesitan una serie de herramientas y dispositivos compartidos, que no necesitarían si se encontraran en entornos seguros, como una oficina. En los inicios de la pandemia, la mayoría de los empleados comenzaron a trabajar desde casa, en algunos casos sin estar preparados. Muchos trabajadores espontáneamente recurrieron a nuevas herramientas que el departamento de TI no había aprobado. Como resultado de estos servicios y aplicaciones incontrolados y, en ocasiones, inseguros, el ataque al perímetro de las organizaciones  se ha incrementado masivamente en poco tiempo.

El peligro aquí es que incluso los empleados que trabajan en remoto a menudo tienen acceso administrativo a las estaciones de trabajo y aplicaciones locales. Y si un adversario logra obtener acceso a un dispositivo con derechos de administrador local, puede usarlo para robar contraseñas, instalar malware o filtrar datos. Incluso puede elevar los privilegios para obtener acceso a todo el entorno de IT.

 

2. Navegadores no controlados

La mayor parte del trabajo de hoy se hace a través de navegadores de internet, motivo por el que muchos de los usuarios tienen al menos dos o más ejecutándose en sus ordenadores. Si esos navegadores no son controlados por las compañías, -y esa es la realidad-, surgen grandes brechas de seguridad.  Esto se debe principalmente a que los navegadores solicitan a los usuarios que almacenen credenciales de inicio de sesión, contraseñas o información de tarjetas de crédito confidenciales. Y los ciberdelincuentes saben cómo explotar esta vulnerabilidad y ven los navegadores no gestionados como una oportunidad ideal para robar información crítica para acceder a los sistemas y bases de datos de una empresa, o para realizar pagos fraudulentos en nombre de la compañía.

 

3. Aplicaciones de productividad

Las aplicaciones de productividad que permiten a los usuarios completar tareas de manera efectiva y rápida son cada vez más populares. Ya sea descargadas desde Google Play o App Store o desde un navegador. Si estas aplicaciones se descargan e instalan sin ser comprobado por parte del departamento de IT, la empresa se enfrenta a grandes riesgos. Muchos usuarios no saben que algunas de estas aplicaciones carecen de los controles de seguridad necesarios o no se actualizan con la frecuencia que requiere la política de seguridad de su empresa. En muchas ocasiones, los datos confidenciales se almacenan en todo tipo de repositorios y la información crítica no se oculta para el resto del equipo. Además, el software puede contar con modelos de seguridad no compatibles con las políticas corporativas de control de accesos o del uso de datos de la empresa.

 

4. Ciclos de trabajo cada vez más rápidos

Con el incremento de la necesidad de dar una respuesta rápida o poner en marcha servicios en un tiempo reducido y de forma eficiente, los desarrolladores y los equipos de DevOps se ven obligados a sacrificar la seguridad por la velocidad, lo que favorece la proliferación de Shadow IT. Por ejemplo, los desarrolladores crean fácilmente instancias en la nube y con la misma rapidez las hacen desaparecer. El problema: los datos siguen albergados en la nube sin que los equipos de IT o de seguridad lo sepan.

 

¿Cómo recuperar el control?

A menos que el equipo de IT sea capaz de dar a todos los empleados acceso a herramientas seguras y sencillas, existe el riesgo de que se tomen la justicia por su mano y desarrollen soluciones por su cuenta. Para frenar Shadow IT a largo plazo, los equipos de IT y de seguridad deben ser capaces de equilibrar los requisitos de seguridad y protección de datos con los de productividad. Esto funciona mejor con la introducción y la aplicación coherente de directrices y soluciones de control que funcionen automáticamente y, sobre todo, en segundo plano.

Para una primera «limpieza», es aconsejable utilizar una herramienta que detecte de forma fiable todas las aplicaciones y programas maliciosos, inseguros y desconocidos de la propia red y que permita detectarlos, eliminarlos o revisarlos. Y también es necesario contar con una herramienta que identifique y muestre las contraseñas almacenadas en el navegador para todos los usuarios de Active Directory.

Además, debe existir un control de aplicaciones basado en políticas, que permita comprobar automáticamente las aplicaciones que los usuarios quieren descargar con las listas de aplicaciones de confianza o con los últimos datos sobre amenazas de las aplicaciones sospechosas. Debe garantizarse que cada aplicación desconocida y no fiable sea introducida automáticamente en un repositorio de seguridad para su comprobación antes de ser utilizada. Y es que la clave para frenar el aumento de Shadow IT en las empresas, se basa en tres factores: visibilidad, automatización e integración. Y no sólo ayudan a las organizaciones a minimizar su superficie de ataque, sino que también pueden mejorar la experiencia del usuario.

 

Autor:

Juan Luis Molpeceres, Enterprise Sales Executive de Delinea

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre