Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance Governance

    ¿Qué es la TI en la sombra? Ejemplos, riesgos y soluciones

    ¿Cómo pueden las organizaciones mitigar el riesgo sin una supervisión completa de su pila de soluciones de TI?

    by Emily Schwenke

    Key Points

    • Este blog se publicó originalmente en el sitio web de Aware, pero con la adquisición de Aware por parte de Mimecast, nos aseguramos de que también esté disponible para los visitantes del sitio web de Mimecast.
    • Las TI en la sombra plantean riesgos como lagunas de seguridad, incumplimiento de las normativas y despilfarro de los presupuestos de TI. Las herramientas no aprobadas pueden poner en peligro los datos, interrumpir los flujos de trabajo e infringir la normativa.
    • Abordar la TI en la sombra empieza por comprender por qué se produce. Los empleados suelen utilizar herramientas no autorizadas para trabajar de forma más eficaz; auditar y ofrecer mejores soluciones puede reducir estos riesgos.

    La TI en la sombra se define como cualquier aplicación, hardware o software no autorizado implementado y gestionado por departamentos distintos al de TI. Con el auge de las soluciones SaaS basadas en la nube, el uso de TI en la sombra se ha disparado y podría ser hasta diez veces superior al uso de TI conocido.

    La TI en la sombra a menudo parece inocua. Pero puede dejar a la empresa expuesta a riesgos significativos. Desde el incumplimiento de la normativa hasta la exfiltración de datos, las organizaciones tienen buenas razones para querer evitar la TI en la sombra en sus lugares de trabajo digitales.

    "TI en la sombra, no necesariamente individuos de nuestra organización que estén tratando maliciosamente de eludir nuestros procesos, sino que simplemente queremos asegurarnos de que esos guardarraíles están levantados para que podamos preservar la marca."

    - Nick Hartman, analista de seguridad de la Western Governor's University

    Ver Historias de clientes: Lecciones aprendidas en el camino hacia la PCI

    ¿Por qué se recurre a la TI en la sombra?

    Para hacer frente a la TI en la sombra, las organizaciones deben comprender primero qué impulsa a los empleados a utilizarla. La mayoría de la gente quiere hacer su trabajo de la forma más eficiente y eficaz posible. Eso significa utilizar herramientas que ayuden a agilizar los procesos repetitivos, reducir la burocracia y facilitar el trabajo. Si la organización no proporciona las herramientas adecuadas para el trabajo, los empleados saldrán a buscarlas por sí mismos.

    Cualquier programa puede formar parte de una red informática en la sombra si no está aprobado y regulado por la organización. Incluso -quizás especialmente- las herramientas que se construyeron para uso empresarial. Y a veces las decisiones sobre el software no son más que una cuestión de preferencia personal.

    Si la empresa utiliza Microsoft Teams para comunicarse pero el equipo de desarrollo decide unilateralmente cambiar a Slack, entonces Slack pasa a formar parte de la TI en la sombra de esa organización. Si Marketing utiliza Pages en lugar de O365, o Ventas utiliza Dropbox en lugar de la plataforma de almacenamiento de archivos aprobada por la empresa, están introduciendo TI en la sombra.

    Más ejemplos de TI en la sombra

    Greg vincula su correo electrónico del trabajo a su cuenta de Outlook en su teléfono personal para eludir los protocolos de seguridad que le impiden acceder a sus mensajes mientras viaja. Comparte este consejo con sus colegas, que siguen su ejemplo.

    Sally prefiere gestionar su agenda a través de Asana en lugar de Basecamp. Invita a miembros de su equipo a unirse a su proyecto y se alejan de las herramientas sancionadas por la empresa.

    José necesita dividir un PDF para eliminar información sensible antes de una gran reunión. Sube el archivo a un sitio web gratuito para modificar el documento. El sitio funciona tan bien que se descarga la herramienta freemium para utilizarla en el futuro y anima al resto de su departamento a hacer lo mismo.

    El software informático en la sombra suele entrar en el lugar de trabajo para satisfacer una necesidad no cubierta. Cuando busque dónde existe en su empresa, tenga en cuenta las actividades habituales que realizan los empleados y los posibles obstáculos que dificultan su trabajo.

    • ¿Disponen de herramientas para crear y editar tipos de archivos comunes?
    • ¿Pueden comunicarse eficazmente con los contactos internos y externos?
    • ¿Es fácil acceder a los documentos, compartirlos y colaborar en ellos?
    • ¿Cuántos pasos de seguridad se necesitan para iniciar sesión en los programas cotidianos?

    Las aplicaciones basadas en la nube constituyen el grueso de la TI en la sombra en la mayoría de las organizaciones. Cada departamento de la empresa tiene sus propias funciones y requisitos, y todos ellos disponen de soluciones de software específicas. Desde Marketing a Ventas o RRHH, es importante hablar con las partes interesadas de toda la organización para comprender las diferentes soluciones de TI que se utilizan actualmente.

    Riesgos para la seguridad de las TI en la sombra 

    Si el propósito de la TI en la sombra es ayudar a los empleados a trabajar mejor, ¿cuál es el problema? Especialmente si los trabajadores utilizan programas diseñados para uso empresarial. Resulta tentador descartar la TI en la sombra como una parte inevitable de la actividad empresarial y considerar que sus riesgos son exagerados. 

    Pero sin la supervisión de los responsables legales, de cumplimiento y de TI, los activos de TI en la sombra pueden dejar a la organización vulnerable ante la exfiltración de datos, el incumplimiento de las normativas y mucho más.

    Lagunas de seguridad y exfiltración de datos

    Quizás el mayor riesgo que plantea la TI en la sombra es para los datos de su empresa. Cuando los empleados utilizan programas no autorizados para almacenar y compartir información confidencial, la organización pierde el control sobre dónde acaban esos datos o quién acaba viéndolos. Eso es un gran problema cuando el 83% de los profesionales de TI informan de que sus compañeros de trabajo almacenan información de la empresa en plataformas no autorizadas (G2).

    Estudio de caso de TI en la sombra: El aumento del trabajo a distancia desde el inicio de la pandemia ha ido de la mano de un incremento de las filtraciones de datos. Los incidentes aumentan un 63%, y la exposición de los activos informáticos en la sombra aumentará un 40% sólo en 2021. En la actualidad, más de la mitad de los ciberataques proceden de la TI en la sombra.

    Incumplimiento de la normativa

    También de gran preocupación para las empresas modernas, la TI en la sombra se utiliza a menudo, intencionadamente o no, para eludir las medidas de cumplimiento legal y reglamentario. Los miembros del personal que almacenen o compartan PII/PCI/PHI a través de canales privados no pasarán ninguna auditoría.

    Las empresas que deben atenerse a normas y reglamentos como la HIPAA, la FINRA o el CMMC 2.0 son especialmente vulnerables, pero cualquier organización puede encontrarse en apuros debido a la TI en la sombra. Si no tiene una supervisión completa de dónde están creando o almacenando datos los empleados, no puede ejercer el cumplimiento de legislaciones como el GDPR o la CCPA.

    Estudio de caso de TI en la sombra: El sector bancario se vio afectado por una serie de investigaciones de gran alcance -y multas récord- después de que la SEC y otras autoridades reguladoras comenzaran a investigar el uso de aplicaciones de mensajería con fines empresariales. La SEC lleva mucho tiempo dejando claro que las normas de retención de la Ley del Mercado de Valores se aplican a cualquier forma de comunicación moderna, incluidas las aplicaciones de colaboración y mensajería. Las instituciones que no logran abarcar todas las formas de comunicación de sus empleados se exponen a grandes riesgos.

    Ineficiencias del sistema

    Uno de los objetivos de una pila de soluciones de TI es integrar programas para que los empleados puedan trabajar con eficacia. Pero si un equipo cambia a una aplicación diferente, eso puede crear problemas a la hora de trabajar con los demás. Las variaciones en el acceso de los usuarios y los permisos de edición entre programas pueden crear barreras innecesarias que impidan a los distintos departamentos colaborar de forma eficaz.

    Un impacto de mayor alcance de la TI en la sombra es la incorporación de ineficiencias a la pila tecnológica más amplia. Sin una supervisión completa, los departamentos de TI no pueden evaluar con precisión la capacidad y no pueden planificar el rendimiento y la seguridad. Cualquier análisis de la pila es incompleto y, por tanto, inexacto. Y los informes sobre las propias funciones empresariales también podrían estar incompletos. Esta pérdida de control puede llevar a tomar decisiones importantes basadas en datos incorrectos.

    Gasto inútil

    El precio del software está aumentando. Con cada vez más empresas encerradas en contratos SaaS en lugar de licencias de compra única, los departamentos de TI necesitan gestionar sus costes con más cuidado que nunca. Sin embargo, más de un tercio de todo el gasto en software se desperdicia, lo que cuesta a las empresas estadounidenses más de 30.000 millones de dólares al año.

    Las TI en la sombra repercuten en el gasto de varias maneras. En primer lugar, la mayoría de los productos comienzan a infiltrarse en la organización a través de cuentas personales gratuitas. Pero para poner en marcha un popular programa informático en la sombra para uso empresarial suele ser necesario disponer de licencias de empresa que suponen un gasto considerable.

    El software existente también puede quedar inutilizado si los empleados prefieren soluciones informáticas en la sombra, lo que contribuye a los 30.000 millones de dólares desperdiciados cada año. Y los programas informáticos en la sombra no siempre se integran bien con la infraestructura informática existente en la empresa. Esto genera costes adicionales de seguridad y compatibilidad.

    Beneficios de la TI en la sombra

    A pesar de sus riesgos, la TI en la sombra puede ofrecer varios beneficios cuando se aborda con conciencia y una gobernanza adecuada.

    1. Aumenta la productividad y la flexibilidad

    Los empleados suelen utilizar aplicaciones no autorizadas para agilizar las tareas, sobre todo cuando las herramientas oficiales son demasiado rígidas o limitadas. Adoptando plataformas más rápidas o intuitivas como Google Drive, los equipos pueden colaborar de forma más eficaz y mantener el impulso en sus flujos de trabajo.

    2. Fomenta la innovación y la agilidad

    La TI en la sombra permite a los equipos probar y adoptar nuevos servicios en la nube sin esperar a los ciclos de aprobación tradicionales. Esta exposición a las herramientas emergentes puede ayudar a las organizaciones a seguir siendo competitivas y a descubrir mejores formas de resolver los problemas.

    3. Superficies Necesidades insatisfechas

    El auge de las aplicaciones no autorizadas suele poner de manifiesto las lagunas existentes en la infraestructura informática de las empresas. Un equipo de seguridad que vigile las tendencias de la TI en la sombra puede comprender mejor lo que necesitan los usuarios y actualizar en consecuencia la pila tecnológica aprobada.

    ¿Por qué la TI en la sombra es un gran problema y puede realmente causar daños?

    Sus empleados quieren hacer su trabajo con eficacia. Las herramientas de colaboración pueden acelerar la comunicación y romper los silos internos que, de otro modo, ralentizan el trabajo. Por ello, la implantación de la TI en la sombra rara vez es malintencionada. Sin embargo, aún puede causar graves daños a la empresa y a sus empleados al abrir la puerta a la pérdida de datos y al incumplimiento de la normativa.

    • Las multas de la HIPAA en 2020-21 alcanzaron máximos históricos, y hasta la fecha las multas de la HIPAA han costado a los profesionales que no la cumplen más de 133 millones de dólares
    • El incumplimiento de las normas PCI puede suponer entre 10.000 y 100.000 USD al mes, dependiendo de las circunstancias
    • El incumplimiento del GDPR puede suponer hasta 4% de los ingresos globales de una empresa o 20 millones de euros, lo que sea mayor

    Estas normativas existen para proteger a los consumidores, y los empleados pueden perjudicarlos inadvertidamente a ellos o a sus compañeros de trabajo utilizando software no aprobado.

    Cómo controlar la TI en la sombra en el lugar de trabajo

    Adelantarse al uso de la TI en la sombra es fundamental para los responsables de TI que buscan proteger los datos empresariales y maximizar sus presupuestos. El paso más importante es auditar la pila tecnológica existente para comprender dónde existe ya la TI en la sombra dentro de la infraestructura empresarial. Hablar con los distintos departamentos de la empresa es fundamental, ya que cada campo utiliza soluciones de software únicas.

    Considere cómo redactar las preguntas sobre el uso de la TI en la sombra para descubrir por completo una imagen real. Cuatro de cada cinco empleados admiten utilizar aplicaciones informáticas no autorizadas para fines laborales (G2). Es posible que algunos ni siquiera consideren que las herramientas que utilizan son TI en la sombra ni comprendan los riesgos que han introducido. Céntrese primero en el descubrimiento y después en la reeducación para controlar eficazmente la TI en la sombra.

    Cómo ayuda Mimecast a las organizaciones a gestionar la TI en la sombra

    Poner orden en el caos de los entornos de trabajo remotos es el objetivo de Mimecast Aware. Nuestra plataforma ofrece seguridad y perspectivas completas para soluciones de colaboración como Slack, Microsoft Teams, Google Workspace y Yammer y Workplace de Meta.

    Proteja su organización con flujos de trabajo basados en IA/ML para supervisar la prevención de la pérdida de datos y la gobernanza, el riesgo y el cumplimiento. Aísle múltiples soluciones de colaboración con una herramienta que funcione en todo su ecosistema. Simplifique la gestión de su pila informática con notificaciones automatizadas de actividades no autorizadas. Y gestionarlo todo desde un único cristal.

    Para obtener más información sobre otros riesgos a los que se enfrenta el lugar de trabajo digital, descargue nuestro libro blanco gratuito. Descubra las principales amenazas para la seguridad de los datos que afectan a las empresas modernas y cómo adoptar un enfoque proactivo para proteger los datos de su empresa.

    52BLOG_1.jpg
    Up Next
    Data Compliance Governance |
    La guía completa del eDiscovery en Slack

    Related Articles

    Data Compliance Governance
    ¿Tiene un problema de riesgo de datos en Slack?
    Data Compliance Governance
    La guía completa del eDiscovery en Slack
    Data Compliance Governance
    Migración de Slack a Microsoft Teams

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top