Muchas organizaciones tienen software, sistemas y soluciones SaaS aprobados para su uso dentro de la empresa. Por ejemplo, una empresa puede utilizar oficialmente productos de Microsoft como Office 365 y Azure para operaciones comerciales.
La TI en la sombra es cuando un empleado viola las políticas corporativas de TI. Esto podría incluir el uso de un Google Drive personal para almacenar documentos comerciales, registrarse en servicios SaaS no aprobados o descargar datos comerciales en una computadora portátil personal. La TI en la sombra puede introducir riesgos de seguridad para una organización porque estas soluciones no han sido evaluadas para detectar problemas de seguridad o cumplimiento ni se han integrado en un plan de gestión de riesgos corporativo.
Solicite una demostración Regístrese para una prueba gratuita
Las empresas suelen crear políticas corporativas de TI como parte de sus estrategias de seguridad. Al definir la lista de software aceptable, una organización puede obtener visibilidad y control sobre sus posibles riesgos de seguridad e implementar soluciones de seguridad SaaS para mitigarlos.
Sin embargo, las políticas corporativas de TI pueden causar fricción en el flujo de trabajo de un empleado. Esto puede ser tan simple como que la empresa utilice Microsoft Office 365 cuando un empleado prefiere Google Docs o puede incluir medidas que dificulten el trabajo de los empleados en un intento de mejorar la seguridad.
La TI en la sombra es un intento de evadir o superar estas restricciones que se ven como barreras para la capacidad de un empleado para hacer su trabajo. El auge de las soluciones SaaS ha contribuido al crecimiento de la TI en la sombra porque estas soluciones brindan a los empleados alternativas convenientes y fáciles de usar a las soluciones corporativas aprobadas.
La TI en la sombra puede parecer inofensiva o incluso beneficiosa para los empleados. Al utilizar plataformas y herramientas que los hacen más productivos, podrían mejorar la eficiencia y la rentabilidad del negocio. Sin embargo, Shadow IT también introduce riesgos significativos para la organización.
Si los datos corporativos se colocan en servicios o plataformas no aprobados, como el almacenamiento en la nube o una plataforma de mensajería como Slack, esos datos están fuera de la visibilidad y el control de los equipos de seguridad y TI corporativos. Si la configuración de seguridad de esta plataforma no está configurada correctamente (por ejemplo, hacer que las unidades de almacenamiento en la nube sean públicamente visibles), es posible que se vulneren datos corporativos confidenciales. La TI en la sombra también puede crear desafíos de cumplimiento para una organización si no puede demostrar que controla el acceso a datos confidenciales o si el uso de una plataforma en particular viola reglas de transferencia de datos como las definidas en el Reglamento General de Protección de Datos de la UE.
La TI en la sombra es un riesgo en cualquier organización, ya que los empleados pueden inscribirse para servicios no aprobados y transferir datos confidenciales a ellos. La protección de TI en la sombra es esencial para obtener visibilidad sobre este uso no autorizado de los servicios de TI y proteger los datos corporativos contra el acceso y la divulgación no autorizados.
El riesgo de TI en la sombra es difícil de administrar para las organizaciones porque, por definición, el riesgo involucra sistemas que están fuera del control de una organización. Los empleados pueden colocar datos corporativos en sistemas y servicios no autorizados que los exponen a ataques cibernéticos.
Un enfoque común para la gestión de riesgos de TI en la sombra es la educación de los empleados. A menudo, los empleados ven las políticas de TI corporativas en gran medida como un obstáculo que les dificulta hacer su trabajo. Al enseñar a los empleados sobre las políticas corporativas y sus razones, las organizaciones pueden reducir la probabilidad de que los empleados las violen.
Sin embargo, la educación de los empleados es una solución imperfecta. Algunos empleados con pleno conocimiento de las políticas corporativas de TI y seguridad, así como sus motivos y beneficios, seguirán intentando eludirlos. En estas situaciones, una organización solo puede administrar sus riesgos de TI en la sombra mediante la implementación de soluciones que puedan identificar el uso de TI en la sombra y permitir que la empresa responda a él.
Una de las características comunes de las soluciones SaaS es que rastrean las identidades de los usuarios en función de sus cuentas de correo electrónico. A menudo, el nombre de usuario de una cuenta SaaS es la dirección de correo electrónico del usuario, y el servicio enviará correos electrónicos al usuario para verificar su cuenta y notificarle sobre las actividades en sus cuentas.
Si bien una organización puede carecer de visibilidad de los servicios SaaS de terceros no autorizados a los que los empleados pueden suscribirse, sí tienen control sobre las cuentas de correo electrónico corporativas que los empleados utilizarán para suscribirse a estos servicios. Al analizar el tráfico de correo electrónico en busca de mensajes relacionados con servicios no autorizados, como un mensaje de bienvenida, una notificación o un correo electrónico sobre un mensaje recibido, una organización puede identificar casos en los que es probable que un empleado esté utilizando servicios de TI no autorizados para fines comerciales.
Check Point Harmony Email and Collaboration tiene soporte integrado para la detección de TI en la sombra. Mientras inspecciona el tráfico de correo electrónico en busca de otras amenazas, Harmony Email and Collaboration también busca estos signos reveladores de TI en la sombra. Si se detectan, se envía una alerta al equipo de seguridad para su investigación.
La TI en la sombra representa una amenaza importante para la ciberseguridad corporativa, la seguridad de los datos y el cumplimiento normativo. Para aprender cómo gestionar los riesgos de TI en la sombra de su organización, regístrese hoy para una demostración gratuita de Harmony Email and Collaboration. Alternativamente, pruébelo usted mismo con una prueba gratuita.