top of page
Buscar

¿Que se esconde en las sombras del Shadow IT?


Top 5 types of shadow IT in your organization and how to overcome them. (2020, 10 noviembre). [Shadow IT]. Net motions software. https://www.netmotionsoftware.com/blog/products-solutions/top-5-types-of-shadow-it-in-your-organization-and-how-to-overcome-them


Dentro de un ámbito laboral, el Shadow IT puede ser definido como el uso de herramientas sin previa aprobación del departamento de IT, esto se genera a raíz de la necesidad de realizar nuestras tareas diarias de una manera más cómoda o rápida, y es que, al momento de buscar una herramienta muchos nos sentiremos más cómodos utilizando aquellas aplicaciones de uso personal con las cuales estamos más familiarizados, que son más sencillas y nos resultan más eficientes, dejando a un lado los protocolos y aplicaciones seguras recomendadas por el equipo de Seguridad o IT. Mientras que para los departamentos encargados de monitorear y preservar la seguridad de la red el Shadow IT es un vector de riesgo, para el resto de los empleados es una alternativa que les permite trabajar más rápido y sin fricción, centrándose en los beneficios sin fijarse en los posibles problemas que esto puede ocasionar.


Source: https://www.cloudflare.com/learning/access-management/what-is-shadow-it/


Some Examples


Almacenamiento en la nube:

Uno de los incidentes mas comunes relacionados con el Shadow IT se presenta cuando tenemos que enviar archivos muy grandes por correo, al rebasar las limitaciones del servicio optamos por utilizar alguna solución de almacenamiento en la nube, muchas veces incluso utilizando nuestras cuentas personales generando así un posible riesgo por filtración o acceso no autorizado a la información.

Mensajería instantánea:

Otra mala práctica que resulta común es la de emplear aplicaciones de mensajería instantánea, tales como WhatsApp o algún servicio de chat de nuestra red social de preferencia, sin lugar a dudas este al ser un servicio personal puede resultar más rápido cuando necesitamos la pronta respuesta del algún cliente o algún otro departamento, sin embargo, cuando utilizamos aplicaciones de comunicación no aprobadas por el equipo de IT estas no serán monitoreadas dejando al usuario comprometido a diversas vulnerabilidades que pueden llegar a poner en riesgo la integridad de su equipo y/o información.


Hardware:

Un punto no tan común como los anteriores pero que genera las mismas preocupaciones. Este punto abarca desde modificaciones a los equipos de trabajo, uso de unidades de almacenamiento externo o utilizar nuestros equipos personales para realizar nuestro trabajo, siendo este último el caso más común. BYOD o Bring Your Own Device es cuando empleamos nuestros equipos personales para trabajar, comúnmente teléfonos celulares. El BYOD puede ser beneficioso para la empresa, ya que, es una medida económica y que en muchos casos mejora la productividad del usuario, pero, no contar con los debidos protocolos de seguridad puede resultar riesgoso tanto para el usuario como para la empresa.


Riesgos

El riesgo recae en que muchas de las aplicaciones de uso personal no se encuentran reguladas ni monitoreadas por el departamento correspondiente, y si bien, por si mismo no presenta un riesgo, puede comprometer la información de los usuarios o clientes, esto es un problema mayor, sobre todo cuando esta información se encuentra regulada, por ejemplo, en casos financieros o de salud. En un estudio efectuado por el RSA muestra que el 63% de los empleados utiliza cuentas personales para mandarse a sí mismos documentos y de esta forma continuar el trabajo en casa.


Otro de los riesgos es la perdida de información, la cual puede presentarse al momento que un empleado deja la compañía, será difícil recupera el trabajo que el empleado estaba efectuado si este está acostumbrado a utilizar aplicaciones no autorizadas para comunicarse y/o guardar información.



Conclusión

El Shadow IT se presenta al momento de utilizar aplicaciones sin aprobación previa, con esto quiero centrarme en que el problema no se encuentra en las aplicaciones o los dispositivos, está más arraigado al hecho de hacerlo sin consentimiento explicito del departamento encargado de salvaguardar la seguridad de los usuarios, la infraestructura y la información, los cuales pueden verse fácilmente comprometidos al perpetuar esta mala práctica. Limitar los permisos del usuario para instalar aplicaciones por cuenta propia y sin autorización, es una de las medidas comúnmente tomadas, pero esto no bastara debido a las diversas aplicaciones en la nube a las que tenemos acceso hoy en día, es necesario complementar estas medidas con entrenamiento basado en la concientización de los riegos, el usuario debe entender el procedimiento estipulado para el uso seguro de aplicaciones.



Autor

Adiel Lizama

Ingeniero de Seguridad Junior



Referencias

Alvarenga, G. (2022, April 22). WHAT IS SHADOW IT? Retrieved from CROWDSTRIKE: https://www.crowdstrike.com/cybersecurity-101/cloud-security/shadow-it/#:~:text=Shadow%20IT%20is%20the%20unauthorized,supported%20by%20the%20IT%20department.

Barbosa, D. C. (2020, August 20). Shadow IT: qué es y cuáles son los riesgos que puede causar a una empresa. Retrieved from welivesecurity: https://www.welivesecurity.com/la-es/2020/08/20/shadow-it-que-es-riesgos-puede-causar-empresa/

EDU, C. (n.d.). What is Shadow IT? Retrieved from Forcepoint: https://www.forcepoint.com/cyber-edu/shadow-it#:~:text=Shadow%20IT%20is%20the%20use,cloud%2Dbased%20applications%20and%20services.

Perrin-Monlouis, P. (2021, October 20). The Untold Insider Threat: Office Workers Confess to Everyday Behavior that Places Sensitive Information at Risk. Retrieved from Edubourse: https://edubourse.com/finance-actualites-actu-34403/

What is Shadow IT and can it be a problem within your organization? (2021, July 22). Retrieved from Systems Engineering: https://blog.systemsengineering.com/blog/what-is-shadow-it-and-can-it-be-a-problem-within-your-organization


24 visualizaciones0 comentarios

Entradas Recientes

Ver todo

Zero Trust Cybersecurity

Introducción En el mundo digital actual, donde las amenazas en línea son una gran preocupación, los métodos de seguridad tradicionales no siempre son suficientes. Ahí es donde entra en juego la cibers

Commenti


bottom of page