Últimamente, se está hablando de un nuevo concepto en materia de seguretat cibernètica en las organizaciones, del término Shadow IT. Este concepto hace referencia al uso de tecnologías de la información (TI) sin el conocimiento o la aprobación del departamento de TI de una empresa. Una práctica que puede ser extremadamente peligrosa, ya que puede provocar problemas de seguridad, compliance y por supuesto, costes y gastos.
Según apunta el Instituto Nacional de Ciberseguridad (INCIBE), «Decimos que algo está en la sombra cuando es clandestino, se mantiene en el anonimato y no sabemos muy bien qué es. No podemos controlar si es bueno o malo porque simplemente no sabemos de su existencia. Lo mismo ocurre en la tu empresa con el Shadow IT.»
Por tanto, podemos decir que el Shadow IT se refiere al uso de sistemas, dispositivos, software, aplicaciones y servicios de tecnología de la información que carecen del conocimiento y la aprobación del departamento TI de una empresa.
INCIBE indica que «La mayoría de los dispositivos o aplicaciones que se incluyen en esta TI en la sombra son inofensivos, pero algunos pueden acarrear graves consecuencias para nuestra organización. Algunas aplicaciones incluyen funcionalidades peligrosas para los datos de nuestra empresa, tales como la transferencia y almacenamiento de archivos. Es por eso que el departamento de TI debería estar al corriente de qué aplicaciones se están utilizando y de los riesgos que éstas podrían tener.»
¿Cuáles son los riesgos?
Los principales riesgos y peligros de Shadow IT para cualquier empresa son:
❌ PROBLEMAS DE SEGURIDAD
El uso cada vez más habitual de la tecnología de la información y la accesibilidad a las herramientas que hacen nuestro trabajo diario más fácil pueden suponer una brecha de seguridad en nuestra empresa. Pero los sistemas de Shadow IT pueden estar más expuestos a ciberataques, puesto que no están supervisados por el departamento de tecnología. Esto implica una falta de control, ya que si no se tiene una visión total de la red y la infraestructura de la organización, cada uno de estos elementos en la sombra es una puerta abierta por los ciberdelincuentes.
❌ PROBLEMAS DE COMPLIANCE
Las aplicaciones que forman parte del ecosistema de Shadow IT pueden no cumplir con las normativas aplicables como el RGPD o el GDPR. Y es que este agujero de seguridad puede contribuir a directamente al uso de software o aplicaciones que incumplan los reglamentos, leyes o estándares y, esta situación, puede llegar a comportar consecuencias legales, involucrarnos en juicios, multas o afectar a la reputación de nuestra empresa.
❌ COSTES ECONÓMICOS Y REPUTACIONALES
Al no están integrados con la infraestructura IT de la empresa, los sistemas de Shadow IT pueden ser costosos de gestionar y mantener. Habitualmente, entre un mismo departamento, se suelen compartir las mismas aplicaciones, como por ejemplo, para la transferencia de archivos. Pero cuando debemos interactuar con otros equipos, puede que surjan conflictos por el uso de herramientas diferentes; lo más fácil sería que el Departamento de Tecnología defina qué soluciones utilizar y reducir su número.
¿Y cómo evitarlos?
Aunque reducir a cero el Shadow IT de nuestra empresa es una tarea muy complicada, podemos mitigar los riesgos que comporta.
Desde SERHS Cloud le proponemos las siguientes medidas para ayudar a minimizar los riesgos:
- Visibilidad y control: Gracias a profesionales especializados puede obtener una visión completa de todos los recursos tecnológicos de la empresa, incluidos los sistemas y aplicaciones de Shadow IT. Esta visibilidad permitirá al departamento de TI de cada empresa supervisar y controlar estos sistemas y aplicaciones.
- Seguridad: Es necesario incorporar las últimas tecnologías y medidas de seguridad para proteger los recursos IT de la empresa.
- Gestión de los costes: Con una solución y asesoría integral tendrá una solución de gestión de los costes que permitirá a la empresa controlar los gastos asociados a los sistemas que se ven implicados en el Shadow IT.
Además de las medidas anteriores, las empresas deben incorporar otras acciones para rebajar los riesgos:
- Educación de las personas trabajadoras: Las empresas deben proporcionar a los empleados y empleadas formación sobre los riesgos de Shadow IT y las políticas de la empresa en materia de tecnología.
- Creación de una cultura de confianza: Las empresas deben crear una cultura de confianza en la que las trabajadoras y trabajadores se sientan cómodos comunicándose con el departamento de tecnología sobre sus necesidades en esta materia.
En SERHS Cloud trabajamos para minimizar los riesgos de Shadow IT, aportando una solución de gestión tecnológica que proporcione visibilidad y control sobre todos los recursos de la empresa. Consulte sin compromiso con nuestros especialistas cuáles son las medidas más eficientes y adecuadas para proteger su organización.
¡Contáctanos!