Las claves para enfrentar el ‘shadow IT’, tendencia que sigue en alza
La llamada ‘shadow IT’ o TI en la sombra, es decir, aquella tecnología que se adopta en una organización sin que lo sepa el equipo de seguridad, sigue siendo una amenaza empresarial. Gestionar la visibilidad mediante una mayor vigilancia y la formación de los empleados ayuda a mitigar los riesgos que implica esta práctica.
A pesar de la modernización tecnológica que han experimentado las organizaciones en los últimos años, los CISO siguen enfrentándose a un problema de la vieja escuela: la TI en la sombra o, lo que es lo mismo, aquella tecnología que opera dentro de una empresa pero que no está autorizada de forma oficial ni se halla en el radar de los gestores del departamento de TI. El software, los servicios y los equipos no aprobados pueden convertirse en una pesadilla para un equipo de seguridad, ya que pueden introducir una gran cantidad de vulnerabilidades, puntos de entrada para agentes maliciosos y malware.
De hecho, shadow IT sigue siendo un problema tan grave como siempre e incluso puede empeorar. Muestra de ello son las cifras de la empresa de investigación Gartner, que descubrió que el 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de TI en 2022 y espera que esa cifra aumente al 75% en 2027. Por su parte, la encuesta sobre gestión de proyectos y TI en la sombra 2023 de la plataforma de revisión tecnológica Capterra, descubrió que el 57% de las pequeñas y medianas empresas han tenido esfuerzos de TI en la sombra de alto impacto que ocurren fuera del ámbito de sus departamentos de TI.
Los expertos afirman que estas estadísticas se deben a un cambio en lo que constituye shadow IT y en quién es responsable de ella. Al principio, la TI en la sombra podía consistir en un servidor no autorizado que un desarrollador instalaba para realizar trabajos sucios. Más tarde, se trataba de sistemas implantados por los líderes de las unidades de negocio sin la participación de TI porque preferían un proveedor o una aplicación concretos a los implantados y mantenidos por TI.
Aunque esas primeras formas de TI en la sombra creaban riesgos, las principales preocupaciones en esos ejemplos eran el trabajo y los costes adicionales que los sistemas extra añadían a la factura tecnológica de la organización, así como la inevitable absorción de los sistemas en la sombra en la cartera oficial del departamento de TI.
Hoy en día, la TI en la sombra es más amplia y omnipresente y la incorporan a la organización un número cada vez mayor de empleados que son capaces de lanzar rápida y fácilmente productos y servicios tecnológicos para sus necesidades en el lugar de trabajo sin consultar al departamento de TI ni al equipo de seguridad.
Una tendencia que no para de crecer
"La TI en la sombra ha vuelto, y lo ha hecho a lo grande. Pero hoy es diferente. Se trata de empleados individuales que crean, adquieren y adaptan tecnología para el trabajo. Estas personas se han convertido en tecnólogos", afirma Chris Mixter, vicepresidente de investigación de Gartner. "Ahora la TI en la sombra es como 10.000 flores que florecen. Y no se puede parar. No puedes decir a los empleados: 'Deja de hacer eso', porque tú, como seguridad, ni siquiera sabes lo que están haciendo".
Shadow IT está hoy constituida por una mezcla de productos y servicios tecnológicos. La TI todavía puede estar compuesta por unos pocos servidores no autorizados escondidos en algún lugar, pero la facilidad de uso del software moderno significa que es más probable que esté formada por despliegues tecnológicos más sustanciales y generalizados. Las aplicaciones basadas en la nube y el software como servicio creadas por una unidad de negocio o incluso por un solo empleado son culpables habituales.
"La nube ha facilitado la existencia de shadow IT porque, antes, cuando tenías que adquirir hardware y saber cómo conseguir una conexión de red, había una barrera de entrada. La nube ha reducido esa barrera", afirma Joe Nocera, director del Cyber & Privacy Innovation Institute de la empresa de servicios profesionales PwC.
Las interfaces IoT y las API no documentadas aumentan el riesgo de shadow IT
Por supuesto, la nube no es el único factor del auge de esta tendencia. La facilidad para desplegar componentes de Internet de las cosas (IoT) y otros dispositivos de punto final también contribuye al problema.
Las interfaces de programación de aplicaciones (API) de terceros, no documentadas y sin seguimiento son otro tipo de TI en la sombra que se ha vuelto común en muchas organizaciones. Un informe de mayo de 2023 de la empresa tecnológica Cequence Security descubrió que el 68% de las organizaciones analizadas habían expuesto API 'en la sombra'.
La facilidad de acceso a los recursos de la nube es sin duda un factor que contribuye a la proliferación de shadow IT hoy en día. "Tienes todas estas cosas para las que todo lo que necesitas [para desplegarlas] es una tarjeta de crédito, o no, a veces simplemente son gratis", dice Raffi Jamgotchian, CEO de Triada Networks, una empresa de servicios de TI y ciberseguridad. Sin embargo, esa facilidad de acceso oculta los graves riesgos que plantea esta tónica.
Jamgotchian afirma que los trabajadores no suelen saber si las aplicaciones que compran tienen capas de seguridad, ni cuáles son, ni si hay que añadirles algo para que sean seguras. Además, para empeorar las cosas, a menudo introducen datos confidenciales en estas aplicaciones para realizar su trabajo.
Como resultado, estos trabajadores están creando puntos de entrada que los hackers pueden utilizar para acceder al entorno informático de la empresa y lanzar todo tipo de ataques. También exponen los datos confidenciales a filtraciones y posibles robos. Y posiblemente estén violando los requisitos normativos de seguridad y privacidad de datos en el proceso.
Shadow IT puede aumentar los problemas de cumplimiento y regulación
Jamgotchian trabajó con una empresa que fue multada por una agencia reguladora porque las aplicaciones que utilizaban los trabajadores no protegían y archivaban los datos adecuadamente, como exige la ley; en ese caso, el director de la empresa había dado a los trabajadores su aprobación tácita para descargar y trabajar con aplicaciones fuera del control del departamento de TI (y, por tanto, del departamento de seguridad), lo que dio lugar a la infracción.
Además, los expertos afirman que shadow IT aumenta enormemente las posibilidades de que los productos y servicios, así como los proveedores que los venden, queden excluidos de cualquier revisión de diligencia debida, ya que la TI y la seguridad se excluyen del proceso de selección. "Esto forma parte del reto cuando la gente utiliza estas aplicaciones sin preguntarse si proceden de un proveedor de confianza", afirma Joseph Nwankpa, profesor asociado de sistemas de información y análisis en la Farmer School of Business de la Universidad de Miami.
Los riesgos de ciberseguridad resultantes son importantes. Tomemos como ejemplo las conclusiones de un informe de 2022 de Cequence Security, según el cual 5.000 millones de los 16.700 millones de solicitudes maliciosas observadas, es decir, el 31%, tenían como objetivo API desconocidas, no gestionadas y desprotegidas. El estudio de Capterra de 2023 descubrió que el 76% de las pequeñas y medianas empresas encuestadas informaron de que los esfuerzos de TI en la sombra planteaban amenazas de ciberseguridad de moderadas a graves para la empresa.
La falta de revisión de la seguridad es el mayor problema
Gartner descubrió que los tecnólogos empresariales, aquellos empleados de unidades de negocio que crean e introducen nuevas tecnologías, tienen 1,8 veces más probabilidades que otros empleados de comportarse de forma insegura en todos los comportamientos.
"La nube ha facilitado mucho que todo el mundo consiga las herramientas que quiere, pero lo realmente malo es que no hay revisión de la seguridad, por lo que está creando un riesgo extraordinario para la mayoría de las empresas, y muchas ni siquiera saben que está ocurriendo", afirma Candy Alexander, CISO de NeuEon y presidenta de Information Systems Security Association (ISSA) International.
Para minimizar los riesgos de shadow IT, los CISO deben comprender primero el alcance de la situación dentro de su empresa. "Tienes que ser consciente de hasta qué punto se ha extendido en tu empresa", afirma Pierre-Martin Tardif, profesor de ciberseguridad de la Universidad de Sherbrooke y miembro del Grupo de Trabajo de Tendencias Emergentes de la asociación profesional de gobernanza de TI ISACA. Tecnologías como las herramientas de gestión de SaaS, las soluciones de prevención de pérdida de datos y las capacidades de escaneado ayudan a identificar aplicaciones y dispositivos no autorizados dentro de la empresa.
Busque gastos que apunten a un uso no autorizado de la tecnología
Jon France, CISO de (ISC)², una organización de formación y certificación sin ánimo de lucro, dice que aconseja a los CISO que trabajen también con el equipo de compras y el departamento financiero de su organización para detectar gastos que puedan apuntar a shadow IT. Dice que escanear los informes de gastos de los trabajadores es especialmente útil para descubrir esta práctica porque ayuda a encontrar solicitudes de reembolso para gastos en tecnología que son demasiado pequeños para pasar por el proceso de adquisición.
France y otros expertos afirman que los CISO también deben educar a los trabajadores sobre los riesgos de seguridad que plantea adoptar tecnología sin su conocimiento o el del equipo de TI, pero que deben moderar sus expectativas sobre la eficacia de la formación para prevenirla, afirma Mixter. Dice que la mayoría de los trabajadores conocen los riesgos de seguridad que están creando, pero siguen adelante con sus planes de todos modos: el estudio de Gartner muestra que el 69% de los empleados se saltó intencionadamente las directrices de ciberseguridad en los últimos 12 meses.
Educar a los empleados sobre cómo incorporar la nueva tecnología
Mixter afirma que los trabajadores que despliegan TI sin el conocimiento ni autorización del equipo de TI no son malintencionados en sus actividades. Más bien intentan hacer su trabajo de forma más eficiente y buscan herramientas que les ayuden a conseguirlo. Por eso, además de la formación de concienciación, los CISO deben trabajar para capacitarlos aumentando su competencia en seguridad.
"Los CISO tienen que pasar al desarrollo de competencias, a 'déjame ayudarte a descubrir cómo hacerlo de forma segura'", afirma Mixter. Según Mixter, eso significa desarrollar orientaciones dirigidas a los tecnólogos empresariales; ofrecer opciones para que los tecnólogos de empresa protejan su trabajo; ayudar a los técnicos de empresa a obtener las certificaciones de seguridad pertinentes; integrar soluciones de ciberseguridad en los flujos de trabajo de los tecnólogos de empresa; elaborar políticas que cubran explícitamente las actividades de los tecnólogos empresariales.
"Los CISO tienen que averiguar cuántos conocimientos de seguridad necesitan, entendiendo que no pueden convertir a todo el mundo en un especialista en seguridad, por lo que deben determinar cuál es la competencia mínima que necesitan", afirma Mixter.
Ese trabajo merece la pena, añade. Gartner ha descubierto que quienes reciben formación específica para sus actividades relacionadas con la tecnología tienen 2,5 veces más probabilidades de evitar la introducción de riesgos cibernéticos adicionales y más del doble de probabilidades de avanzar más rápido que los tecnólogos de empresa sin esa formación.
