Tecnología

¿Qué es Shadow IT y cómo puede afectar a tu empresa?

Aunque los empleados no lo quieran, este problema se origina en las aplicaciones que descargan sin autorización de sus equipos de tecnología responsables.

mié 17 noviembre 2021 06:00 AM

Qué es Shadow IT — Este problema puede ser una puerta de entrada a otros ataques, como phishing o ransomware. (Blue Planet Studio/Getty Images/iStockphoto)

Fernando Guarneros Olmos

@Guarolf_

Tras año y medio de trabajo remoto, las empresas lograron adaptar sus sistemas para mantener las operaciones; sin embargo, muchas de ellas aún deben enfrentarse a las decisiones de sus propios empleados, quienes suelen obtener herramientas tecnológicas por su cuenta, fomentando el fenómeno conocido como Shadow IT.

De acuerdo con la empresa de ciberseguridad, ESET, este problema surge cuando un empleado usa cualquier tipo de software o hardware que no cuenta con la aprobación ni el control del área de tecnología de la información de la compañía.

Aunque en apariencia puede no representar un problema, Alain Karioty, vicepresidente para Latam de Netskope, una plataforma de seguridad en la nube, explica que sí es un asunto relevante, pues pueden ser la puerta de entrada de otro tipo de ataques de mayor relevancia para la organización, como el phishing o el ransomware.

También, estos software pueden representar riesgos para computadoras o incluso para el entorno de red en general, pues al no ser administrado por el área de tecnología, no suelen actualizarse correctamente y la versión descargada puede contener fallas de seguridad, mismas que pueden ser aprovechadas por agentes maliciosos.

Si bien no existen cifras exactas respecto al origen de este problema, la firma Gartner estima que las herramientas de colaboración de contenido fueron las principales responsables de una oleada de Shadow IT durante la pandemia, dirigida especialmente a las empresas.

Desde ESET detallan que algunas de las aristas por donde se introduce el Shadow IT son los servicios en la nube no aprobados para la transferencia de archivos y de libre acceso en internet, por ejemplo. Si bien estos no envían información maliciosa, sí pueden exponer los datos de los usuarios a través de fugas.

Asimismo, destacan que el hardware puede ser una fuente de Shadow IT, sin embargo, es menos común, pues requiere de especificaciones más técnicas, como agregar memoria o cambiar el procesador a uno más rápido. Si bien esto no representa un riesgo para la organización, sí puede generar una interrupción en la labor del empleado.

Modificar elementos como el disco duro puede generar bastantes problemas si el nuevo no contiene todas las aplicaciones con las cuales la empresa lo había entregado para llevar a cabo sus tareas. Otro riesgo en esta vertiente es que la configuración de seguridad y las restricciones no sean las adecuadas para la compañía.

El gran reto para evitar el Shadow IT

Karioty también plantea que se deben establecer estrategias en donde se resalte la importancia de la conexión entre personas y apps de redes sociales. Esto implica no prohibir por completo el acceso a ciertas plataformas, pues de lo contrario, la organización también ahuyentará al talento que busca entrar.

Más bien, comenta, se necesita un enfoque de concientización en torno al uso de las tecnologías para que la digitalización sea efectiva. Brindar entretenimiento y capacitaciones respecto a estos temas de seguridad es una de las acciones que las empresas deben realizar, según el especialista.

Asimismo, menciona que deben instruirlos acerca de los riesgos inherentes a sus actividades y cómo eso puede afectar a la organización. Desde la empresa se recomienda contar con softwares de inventario para mantener una lista actualizada de los equipos y sus aplicaciones, así como recibir notificaciones en caso de que haya algún cambio.