Una amenaza llamada Shadow IT

El uso de diferentes servicios y programas que ni tu departamento informático ni el de seguridad conocen puede causar muchos problemas. Te explicamos cómo evitarlos.

Es prácticamente imposible escoger herramientas de software que gusten a todos. Siempre hay algún empleado que conoce un servicio diez veces mejor que el que la empresa ha escogido. Si esa persona empieza a usarla y recomienda activamente esta otra opción a sus colegas, entonces se produce el fenómeno conocido como Shadow IT (o reemplazo de software). A veces, esto puede ayudar a que la empresa encuentre una solución que se adapte a sus necesidades comerciales; pero en la mayoría de los casos todo lo que provoca es un dolor de cabeza mayúsculo.

Si la gente supiera esto, se plantearían la seguridad antes y preguntarían al responsable de IT. Pero vivimos en un mundo imperfecto y los empleados a menudo recurren al uso compartido de archivos, aplicaciones de correo electrónico, redes sociales o aplicaciones de mensajería instantánea sin pensarlo dos veces y solamente después, si acaso, reflexionan sobre las posibles consecuencias.

El problema no es necesariamente que la herramienta sea una nueva aplicación de mensajería gratuita cuyo desarrollo es más bien improvisado. Podría tratarse de un servicio bien establecido. El problema es que ni los especialistas en seguridad, si es que tu empresa cuenta con alguno, ni tu departamento informático saben qué es lo que ocurre. Y eso significa que la aplicación no autorizada no está contemplada entre los modelos de amenaza contra tu infraestructura, los diagramas de flujo de datos ni las decisiones de planificación elemental. Y esto, por su parte, equivale a buscar problemas.

Probabilidad de filtración

¿Quién sabe qué peligros suponen el uso de las herramientas de terceros? Cualquier aplicación, ya sea basada en la nube o alojada en local, puede contar con varios ajustes muy sutiles que controlan la privacidad. Y no todos los empleados son expertos en software. Por ejemplo, son muy comunes los casos en los que un empleado deja las gráficas con datos personales sin proteger en Documentos de Google.

Por otro lado, los servicios pueden presentar vulnerabilidades con las que terceros pueden acceder a tus datos. Sus desarrolladores pueden cerrar esos huecos rápidamente, pero ¿quién te garantiza que los empleados instalarán todos los parches necesarios destinados a las aplicaciones del lado cliente? Sin la participación del departamento informático, ni siquiera puedes saber si recibirán un aviso sobre la actualización. Además, es muy poco frecuente que una persona asuma la responsabilidad de la gestión de los derechos de acceso en aplicaciones y servicios no autorizados; por ejemplo, la revocación de privilegios después de la renuncia o despido, si es que dicha función está disponible. En fin, nadie se hace responsable de la seguridad de los datos transmitidos o procesados al usar servicios no autorizados por el área de informática o seguridad.

Violación de requisitos reglamentarios

Actualmente, varios países tienen sus propias leyes que especifican cómo deben gestionar las empresas los datos personales. Añádele a esto las diversas normas que existen sobre este mismo tema. Las empresas tienen que someterse a auditorías para cumplir con los requisitos de varios organismos reguladores. Si una auditoría de repente descubre que los datos de los clientes y del personal se han enviado mediante servicios poco fiables, y que el área informática hizo caso omiso, la empresa podría enfrentarse a una cuantiosa multa. Es decir, una empresa no necesita filtración de datos real para meterse en problemas.

Desperdicio de presupuesto

El uso de una herramienta alternativa en lugar de la recomendada puede no parecer gran cosa, pero para la empresa, representa en el mejor de los casos un desperdicio de dinero. Después de todo, si compras licencias para cada participante aprobado dentro del flujo de trabajo, pero no todos las utilizan, entonces habrás pagado por nada.

Qué hacer ante el Shadow IT

No necesitas combatir el Shadow IT, sino gestionarlo. Si lo tienes bajo control, puedes mejorar no solo la seguridad de los datos, sino que también podrás encontrar herramientas verdaderamente populares y útiles que pueden implementarse en toda la empresa.

Ahora mismo, en medio de la pandemia y el teletrabajo, siguen en aumento los riesgos asociados con el uso de aplicaciones y servicios que no cuentan con soporte. Los empleados se ven obligados a adaptarse a las nuevas condiciones y, como norma general, intentan encontrar nuevas herramientas que ellos consideran aptas para realizar su trabajo a distancia. Por lo tanto, hemos añadido algunas funciones adicionales a la versión actualizada de Kaspersky Endpoint Security Cloud, para detectar el uso no autorizado de aplicaciones y servicios basados en la nube.

Además, Kaspersky Endpoint Security Cloud Plus también puede bloquear el uso de dichos servicios y aplicaciones. Esta versión de la solución también concede a la empresa acceso a la seguridad de Kaspersky Security for Microsoft Office 365, lo que proporciona una capa adicional de protección para Exchange Online, OneDrive, SharePoint Online y Microsoft Teams.

Si deseas más información sobre nuestra solución o estás pensando en adquirirla, visita la página oficial de Kaspersky Endpoint Security Cloud.

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países