Cómo mitigar el riesgo del shadow IT en las organizaciones
Una nueva publicación del Centro Nacional de Ciberseguridad del Reino Unido brinda orientación a las organizaciones preocupadas por el shadow IT, que la mayoría de las veces resulta de la intención no maliciosa de los empleados.
Saltos:
- ¿Qué es el shadow IT y por qué es una preocupación creciente?
- ¿Qué lleva al shadow IT?
- ¿Cuáles son los diferentes tipos de shadow IT?
- ¿Cómo se puede mitigar el shadow IT?
¿Qué es el shadow IT y por qué es una preocupación creciente?
El shadow IT es el uso de sistemas tecnológicos, software, aplicaciones y servicios dentro de una organización sin la aprobación explícita, el conocimiento o la supervisión del departamento de IT o las políticas oficiales de IT de la organización. A esto también se le conoce como "grey IT" (TI gris).
El shadow IT ha aumentado en los últimos años por varias razones. En primer lugar, la compañía de servicios gestionados del Reino Unido, Core, informa que el shadow IT ha aumentado en un 59% debido a la COVID-19. Además, el aumento en el uso de la nube ha incrementado significativamente el shadow IT. Según Cisco, los servicios en la nube se han convertido en la categoría más grande de shadow IT, ya que cada vez más empleados se sienten cómodos instalando y utilizando diversas aplicaciones en la nube sin informarlo a su departamento de IT.
Según un informe de la plataforma de inteligencia de activos Sevco Security, aproximadamente el 20% de los activos de IT son invisibles para los equipos de seguridad de una organización.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelLos riesgos asociados con el shadow IT son principalmente la posibilidad de extracción de datos corporativos sensibles y infecciones por malware que podrían llevar al robo de datos o ciberespionaje. La infección de un componente de shadow IT podría llevar a una filtración de credenciales y comprometer a toda la empresa.
¿Qué lleva al shadow IT?
Como señala el NCSC, el shadow IT rara vez es el resultado de una intención maliciosa, sino más bien debido a "los empleados que luchan por usar herramientas o procesos autorizados para completar una tarea específica". Algunos usuarios también no se dan cuenta de que el uso de dispositivos o herramientas de software como servicio gestionados personalmente podría introducir riesgos para su organización.
Algunas de las razones más comunes que llevan al shadow IT son la falta de espacio de almacenamiento, la imposibilidad de compartir datos eficientemente con un tercero y no tener acceso a servicios necesarios o aquellos que podrían facilitar una tarea profesional.
¿Cuáles son diferentes ejemplos de shadow IT?
Una parte del shadow IT radica en dispositivos no gestionados que a menudo se implementan en entornos corporativos sin la aprobación del departamento de IT. Esto puede incluir dispositivos personales de los empleados (por ejemplo, asistentes digitales y dispositivos de IoT) o máquinas virtuales de contratistas.
Según el NCSC, cualquier dispositivo o servicio que no haya sido configurado por la organización probablemente no cumplirá con los estándares de seguridad requeridos y, por lo tanto, introducirá riesgos (por ejemplo, introducción de malware) que podrían dañar la red.
Los servicios no gestionados de la nube también forman parte del shadow IT. Estos servicios pueden ser:
Cómo proteger tu computadora de los virus: métodos y consejos- Servicios de videoconferencia sin supervisión o aplicaciones de mensajería.
- Instalaciones de almacenamiento en la nube externa utilizadas para compartir archivos con terceros o permitir trabajar desde casa usando un dispositivo no autorizado.
- Servicios de gestión o planificación de proyectos utilizados como alternativas a las herramientas corporativas.
- Código fuente almacenado en repositorios de terceros.
¿Cómo se puede mitigar el shadow IT?
El NCSC menciona que "en todo momento, se debe tratar activamente de limitar la probabilidad de que se pueda crear o se creará shadow IT en el futuro, no solo abordando las instancias existentes".
Dado que la mayoría del shadow IT resulta de la intención no maliciosa de los empleados que quieren hacer su trabajo de manera eficiente, las organizaciones deben tratar de anticipar las necesidades del personal para prevenir el shadow IT.
Se debe implementar un proceso para abordar todas las solicitudes de los empleados con respecto a los dispositivos, herramientas y servicios que necesitan, de modo que no se les anime a implementar sus propias soluciones. En su lugar, los empleados deben sentir que su empleador intenta ayudarlos y satisfacer sus necesidades profesionales.
Las empresas deben brindar a los empleados acceso rápido a servicios que podrían estar fuera del uso normal de manera controlada.
Se recomienda encarecidamente desarrollar una buena cultura de ciberseguridad dentro de las organizaciones. Los problemas relacionados con las políticas o procesos de una organización que impiden a los empleados trabajar de manera eficiente deben reportarse abiertamente.
En cuanto a las mitigaciones técnicas, se deben utilizar sistemas de gestión de activos para organizaciones más grandes. Estos sistemas deberán poder manejar información clave, como detalles físicos de los dispositivos, detalles de ubicación, versión del software, propiedad e información de conectividad. Además, las plataformas de gestión de vulnerabilidades ayudan a detectar nuevos activos que se conectan al entorno corporativo.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasSe pueden utilizar herramientas de gestión de puntos finales unificados, si se implementan correctamente, para descubrir dispositivos que se conectan a la red y que no son propiedad de la organización. El punto débil aquí es que incorporar muchas clases diferentes de dispositivos puede requerir muchos recursos para organizaciones más grandes.
Se pueden utilizar escáneres de red para descubrir hosts desconocidos en la red, pero su uso debe monitorearse cuidadosamente. Las empresas deben desarrollar un proceso que detalle quién puede acceder a los escáneres y cómo, ya que estas herramientas tienen acceso privilegiado para escanear redes completas. Si los actores de amenazas comprometen parte de una red, querrán extender el compromiso encontrando nuevos hosts.
Los brokers de seguridad de acceso a la nube son herramientas importantes que permiten a las empresas descubrir servicios en la nube utilizados por los empleados mediante el monitoreo del tráfico de red. Estas herramientas a menudo forman parte de una solución de acceso seguro a servicios.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo mitigar el riesgo del shadow IT en las organizaciones , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados