Hoy en día, con el nivel tecnológico de nuestras empresas y organizaciones, cada vez más dependientes de las últimas tecnologías, existe una amenaza en la sombra, de la que se habla poco, que depende mucho más de nuestros empleados y de la propia cultura de nuestra organización, que de los ataques externos que podríamos sufrir por parte de ciberdelincuentes. Estamos hablando de lo que se conoce como “SHADOW IT” o “TI en la sombra”.
Cuando se habla de que algo está “en la sombra” se suele asociar instintivamente a algo que se encuentra escondido o fuera del foco de las personas, que no lo ven directamente pero que se encuentra ahí, generalmente tiene una connotación negativa y, en este caso, no vamos muy desencaminados, puesto que esta situación puede suponer graves consecuencias para nuestra organización.
Llegados a este punto, os preguntaréis, en definitiva, ¿Qué es exactamente eso del “Shadow IT”?
Pues el término Shadow IT se refiere al uso no autorizado de software, hardware u otros sistemas y servicios dentro de una organización, a menudo sin el conocimiento del departamento de informática o del departamento de tecnología de esa organización y, por supuesto, sin su aprobación.
A diferencia de la infraestructura de TI estándar de cualquier organización, que se encuentra controlada y monitorizada plenamente por los responsables de TI de la organización, el Shadow IT se mantiene al margen del control de los responsables de informática, fuera de su radar y conocimiento, llegando a generar riesgos importantes a todos los niveles para la organización.
Casos más habituales de esta situación dentro de las organizaciones
Para aterrizar esta problemática del Shadow IT en el día a día de las organizaciones, basta con pensar en cuantas ocasiones se llegan a utilizar servicios de almacenamiento online “gratuitos” como Dropbox o Google Drive por parte del personal de una organización, ya sea para tener una copia de seguridad “propia” de la información con la que suelen trabajar en sus puestos de trabajo o ya sea para poder acceder desde otro dispositivo a esa información de manera cómoda y sencilla; cuantas veces se utilizan portales como WeTransfer para el envío de archivos y ficheros muy grandes a clientes o proveedores; cuantas veces se utiliza una memoria USB o un disco duro de almacenamiento externo propiedad de la persona trabajadora para llevarse trabajo a casa o, por ejemplo, cuantas veces se utilizan herramientas de edición de documentos en línea, como iLovePDF o PDF Converter, para corregir algún documento con datos de clientes y/o proveedores de manera rápida y cómoda o para convertir formatos de documentos rápidamente y sin necesidad de disponer de ningún software licenciado.
Pues todas estas casuísticas, tan habituales y comunes en la mayoría de las empresas y organizaciones de nuestro país, son situaciones de Shadow IT.
Lamentablemente, estas situaciones no se tratan de excepciones dentro de una empresa u organización, aunque haya algunas variaciones en la historia, se trata de una realidad constante que se da en la mayoría de entornos profesionales, en los que los usuarios no son debidamente conscientes de la importancia de los datos e informaciones que llegan a manejar y de las formas de protegerlos adecuadamente, lo que hace que datos e informaciones confidenciales y de gran valor para su organización circulen y viajen por servicios online o en dispositivos personales sin el cuidado y la seguridad necesarios, en la mayoría de los casos justificados en el desconocimiento por parte de la persona trabajadora de los riesgos que tienen estas prácticas, en la comodidad de su utilización o, por ejemplo, en el ahorro de costes que le supone a la organización el uso de este tipo de tecnologías o dispositivos.
Riesgos y principales problemas por el uso de Shadow IT
Uno de los principales riesgos, que se genera con el uso de la Shadow IT, es el de las fugas de información, generalmente involuntarias. Es decir, por el hecho de utilizar alguno de los servicios en nube anteriormente mencionados, supone que la organización deja de tener el control directo sobre la información que se ha cargado a ese servicio (Dropbox, WeTransfer o iLovePDF), que pasa a estar ubicada dentro de los servidores que dan soporte al servicio y que la compañía titular de la tecnología podrá utilizar según lo informado en su condicionado del servicio, que, por supuesto, la persona usuaria ha declarado “Leer y aceptar”. Realmente esta es una de las mayores mentiras de internet, ya que, casi nadie lee las condiciones de este tipo de servicios y, por supuesto, las acepta sin saber lo que llegan a implicar realmente.
Otro de los riesgos más frecuentes, este ya más voluntario e intencionado, es el de los robos de datos, para lo que se suele utilizar, en muchos de los casos, hardware (memoria USB, Disco Externos, tarjetas SD, portátiles, etc.), fuera del control de la organización, En muchas ocasiones, esta situación viene motivada por la permisividad y poco control del llamado BYOD (Bring your own device), que permite a las empresas y organizaciones ahorrar costes al autorizar que su personal pueda utilizar sus propios dispositivos personales para trabajar con información corporativa, en la mayoría de los casos sin elaborar y firmar una política de uso aceptable de este tipo de dispositivos, que regule y, sobre todo proteja, el acceso a la información que se va a realizar en cada caso, ni ningún tipo de control respecto de su uso.
A modo de ejemplo de este tipo de problemática, para los amantes del cine y de las películas basadas en hechos reales, en la película “Snowden” se puede ver cómo Edward Snowden (Alerta spoiler), conocido analista de la NSA, consiguió extraer información confidencial de la NSA mediante una tarjeta microSD que insertó en un cubo de Rubik. Para evitar ser detectado en los estrictos controles y escáneres de salida del centro de trabajo de la NSA, le pasó el cubo de Rubik al agente de seguridad, para evitar pasar el cubo de Rubik por el escáner, consiguiendo robar la información confidencial que, posteriormente, resulto ser básica para destapar el escándalo de espionaje masivo llevado a cabo por las agencias de seguridad de EE. UU. a nivel mundial.
Otro riesgo de relevancia, al que se enfrentan las organizaciones con el uso de Shadow TI, está en los ciberataques que se pueden sufrir, especialmente en el caso de emplearse tecnologías fuera del control o radar del equipo de informática de la entidad.
Como ya es conocido, incluso las aplicaciones y tecnologías más modernas y avanzadas pueden tener importantes problemas de seguridad y vulnerabilidades que tardan en solventarse, incluso en ser detectadas por las propias compañías desarrolladoras de la aplicación, pero no para los ciberdelincuentes que suelen ser los primeros que las descubren y explotan, en perjuicio de las personas y organizaciones que han confiado su información a estas aplicaciones.
Por ello, cada uno de estos puntos en la sombra, que representa el uso de estas tecnologías o aplicaciones, es una puerta abierta para que los ciberdelincuentes puedan atacar nuestra organización y acceder a información confidencial o de gran importancia para el funcionamiento diario de nuestra entidad.
Por último, no nos podemos olvidar que otro de los mayores riesgos derivados del uso de la Shadow TI es el de incurrir en incumplimientos normativos, especialmente relacionados con la normativa de protección de datos, como podría ser la falta de medidas de seguridad adecuadas al tratamiento de datos personales que deriven en brechas de seguridad o el realizar transferencias internacionales de datos no regularizadas, al igual que ocurriría con la normativa de propiedad intelectual, ya que se podrían dar situaciones de utilizar herramientas o software on line que provocasen una infracción de los derechos de propiedad intelectual o industrial protegidos por esta normativa.
¿Qué debo hacer para controlar el uso del Shadow IT por parte de mi personal?
Para poder controlar esta problemática dentro de nuestras empresas y organizaciones, se debería enfocar el problema desde tres pilares básicos que permitirían controlar y corregir los riesgos derivados del Shadow IT:
-
Concienciación y formación del personal: buenas prácticas corporativas
Lo primero que habría que hacer es formar y concienciar a nuestra plantilla sobre los riesgos inherentes al uso de este tipo de tecnologías y/o herramientas, para que sean conocedores de lo peligroso que podría resultar el manejo de información que se llega a hacer con la Shadow IT, de esta forma se conseguiría crear una cultura corporativa entre todos los miembros de la organización que poco a poco vaya eliminado estas situaciones de riesgo.
-
Identificación y monitoreo
Resulta básico identificar todas las situaciones de Shadow IT que se pueden llegar a producir dentro de nuestra organización, para poder detectarlas lo antes posible y monitorizar el uso real que se hace de ellas, especialmente en lo relacionado con la frecuencia de uso y con el volumen y criticidad de información afectada por el Shadow IT.
-
Análisis de riesgo y adecuación de los procesos productivos a sus necesidades tecnológicas
Después de la identificación, es necesario ver qué impacto tiene este software o hardware en la gestión de la información que se realiza en la organización e iniciar el proceso de análisis para determinar la mejor manera de eliminarlo del entorno productivo de nuestra organización.
En este punto resulta básico analizar las necesidades tecnológicas del proceso productivo de nuestra organización y de los puestos de trabajo asociados a estos procesos, para ver cómo poder suplir el uso de Shadow IT por una alternativa, igual de efectiva y útil, que cumpla el mismo propósito, pero que se encuentre bajo el control y supervisión de la organización y de su departamento de TI, para que los riesgos de seguridad soportados sean los mínimos e imprescindibles.
En conclusión, el Shadow IT presenta desafíos importantes para la seguridad de las organizaciones, y es crucial que los equipos de TI tomen medidas para detectarla y mitigar sus riesgos.
Desde el área LegalTech de Softwariza3 disponemos de un equipo de consultores especializados en Derecho TIC, con amplia experiencia en asesorar a todo tipo de empresas y organizaciones en cómo controlar y mitigar los riesgos derivados de la Shadow IT. Si tienes cualquier duda al respecto no dudes en contactarnos para ayudarte a cumplir con estas exigencias legales y evitar exponerte a posibles sanciones.