Si trabaja o ha trabajado en empresas donde su perfil de usuario no tiene permisos de instalación, es probable que le haya pasado de necesitar un programa diferente al que ya está instalado en su computadora y pensó que sería más fácil si pudiera instalarlo sin preguntarle a nadie.
Por eso, en este artículo explicaremos algunos puntos que hacen que Shadow IT —nombre con el que se conoce al hardware y software instalados en el equipo y que no están bajo la supervisión del área IT de la empresa— sea tan peligroso para los entornos de red en general.
¿Qué es Shadow IT?
Como adelantábamos en el párrafo anterior, el término Shadow IT describe a cualquier tipo de estructura utilizada sin la aprobación del área de Tecnología de la Información (IT). Esta práctica puede tomar muchas formas y violar casi todas las iniciativas de cumplimiento.
Existen diversas formas en las que Shadow IT puede presentarse dentro de un entorno de red. Para poder hablar con un poco más de detalles sobre ellos, elegimos las 5 formas que más llaman nuestra atención sobre este punto:
- Macros de Excel
Puede sonar extraño, pero las macros son los principales villanos cuando se trata de Shadow IT. Hay varias características que las llevan al primer lugar de la lista, una de las principales es que las macros se pueden crear en cualquier computadora con Office instalado. Puede pensar que una o más macros utilizadas para facilitar el trabajo de manipulación de una hoja de cálculo no es gran cosa, y la mayoría de las veces realmente no lo es. El problema comienza cuando el uso de macros influye en la forma en que funciona una empresa al extenderse a diferentes sectores de la organización provocando, en algunos casos, que los procesos se vuelvan dependientes a su uso.
Para que sea más sencillo visualizar el problema, imagine que a algunas personas de la empresa les gusta automatizar tareas con fórmulas y macros elaboradas en Excel. Cada una de estas personas desarrolla para su área una hoja de cálculo que realiza consultas en páginas de Internet e interactúa con otras hojas de cálculo de procesos dentro de la red. Si cada una de estas hojas de cálculo está configurada para actualizar datos web e interactuar con hojas de cálculo de manera inapropiada, las mismas pueden enlentecer la navegación del sector o incluso de la compañía y, además, pueden bloquear el uso de hojas de cálculo relacionadas con los procesos de la compañía, impactando directa e indirectamente en el funcionamiento de toda la empresa.
- Software
Uso de servicios en la nube no aprobados. Ya hemos publicado varios artículos que hablan sobre la fuga de datos y algunos de ellos están vinculados a soluciones en la nube mal configuradas o administradas. Fugas que ocurrieron en proveedores de servicios bien estructurados y confiables.
Tomando el ejemplo de un usuario que necesita enviar un archivo muy grande a un proveedor, el archivo puede ser demasiado grande para enviarlo por correo electrónico y el ecesita una alternativa rápida para transferir el archivo. Luego, el usuario busca en Internet y descubre que es posible colocar el archivo en un servidor que ofrece alojamiento gratuito, sin tener que realizar ningún tipo de registro.
Desafortunadamente, esto no es raro que suceda, sino por el contrario: es una realidad constante en las empresas donde los usuarios no son conscientes de la importancia de los datos y las formas de protegerlos, lo que hace que datos importantes viajen sin los cuidados necesarios.
Lo que la mayoría de las personas no sabe es que el uso de cualquier tipo de software puede traer riesgos para la computadora e incluso para el entorno de red en general. Debido a que se trata de un software que no es administrado por el área de tecnología, generalmente no se actualizan correctamente y la versión utilizada puede contener fallas de seguridad que podrían hacer que los delincuentes aprovechen este contexto para acceder de manera incorrecta a la computadora utilizada e incluso a la red circundante. En el peor de los casos, el programa utilizado es malicioso e, incluso cumpliendo el propósito deseado, oculta en su funcionamiento rutinas que vinculan la computadora del usuario directamente con la máquina del atacante.
- Nube
Uso de servicios en la nube no aprobados. Ya hemos publicado varios artículos que hablan sobre la fuga de datos y algunos de ellos están vinculados a soluciones en la nube mal configuradas o administradas. Fugas que ocurrieron en proveedores de servicios bien estructurados y confiables.
Tomando el ejemplo de un usuario que necesita enviar un archivo muy grande a un proveedor, el archivo puede ser demasiado grande para enviarlo por correo electrónico y el usuario necesita una alternativa rápida para transferir el archivo. Luego, el usuario busca en Internet y descubre que es posible colocar el archivo en un servidor que permite alojamiento gratuito, sin tener que realizar ningún tipo de registro.
Lamentablemente, esto no raro que suceda, aunque haya algunas variaciones en la historia, y es una realidad constante en las empresas en las que los usuarios no son debidamente conscientes de la importancia de los datos y de las formas de protegerlos, lo que hace que los datos importantes viajen sin el cuidado necesario.
- Hardware
Generalmente no es un punto tan común, pero aún muchas compañías sufren de empleados que alteran el hardware de la empresa. Ya sea sustraerlos y usarlos fuera de las instalaciones de la compañía o para actualizar su propia computadora y, de esta manera, hacer que funcione de manera más eficiente.
Me imagino que no es necesario ejemplificar cómo puede impactar el rendimiento de un dispositivo que alguien quite una pieza de la computadora o un periférico. Por lo tanto, sigamos la línea de razonamiento de un empleado que cree que su máquina está desactualizada de alguna manera y quiere mejorarla por su cuenta. Algunos de los cambios, como agregar más memoria y cambiar el procesador por uno más rápido, no son tan dañinos, pero aun así siguen siendo una acción inadecuada. En el caso de un disco duro es bastante diferente, ya que los discos duros contienen todos los datos del empleado y, en la mayoría de los casos, de todas las personas que también han utilizado el equipo. Cambiarlo, además de hacer que los datos ya no estén disponibles, puede traer un mayor nivel de riesgo para la computadora, ya que el nuevo disco duro deberá tener instalado Windows, lo cual en algunos casos puede derivar en la instalación de un software que no sea el original. Además, otros riesgo es que la configuración de seguridad, las restricciones y los posibles cifrados no sean adecuados para el estándar de seguridad establecido por la empresa.
- BYOD
El concepto “Trae tu propio dispositivo” (BYOD, por sus siglas en inglés) brinda una serie de beneficios y ahorros a las empresas que lo adoptan y permite a los empleados usar sus propios teléfonos inteligentes, o incluso computadoras, para realizar sus tareas diarias. Es importante tener en cuenta que el proceso de adopción de BYOD está controlado y requiere una serie de medidas preventivas para que, en caso de incidentes, tanto el empleado como la empresa sufran el menor daño posible. Las precauciones pueden variar y van desde controles de políticas al instalar la aplicación hasta la creación de contenedores seguros y encriptados dentro del teléfono celular del empleado para que nada salga del entorno seguro sin autorización previa. El uso de dispositivos personales sin consentimiento puede tener implicaciones negativas para ambas partes.
Buenas prácticas
Hay varios otros puntos negativos que surgen de Shadow IT que impactan directamente en el buen funcionamiento de la empresa, depende de todos garantizar que esta práctica se extinga y que solo permanezcan los dispositivos y procesos que estén aprobados y configurados adecuadamente.
No podemos negar que esta es una tarea difícil y que generalmente recae sobre los hombros de las áreas de Redes y Seguridad de la Información, por lo tanto, hemos separado algunos consejos que esperamos ayuden a combatir el uso de tecnología y software de forma paralela:
- Concientización
Brindar entrenamientos y capacitaciones sobre temas relacionados con la seguridad de la información, instruir a los usuarios sobre los riesgos inherentes a sus actividades y cuán peligrosa es la manipulación inadvertida de información, en nuestra opinión, un paso muy productivo hacia un entorno de red más seguro.
- Identificación y monitoreo
Identificar aplicaciones, software y procesos que se ejecutan en las sombras dentro de una red puede ser una tarea difícil. Una sugerencia para este control es mantener una lista actualizada de todas las características de cada equipo, tanto a nivel de software como de hardware. Existen softwares de inventario que hacen que este trabajo sea más fácil, algunos de ellos permiten que se notifique a la persona a cargo si algún hardware o software cambia.
- Análisis de riesgo y adecuación
Después de la identificación, es necesario ver qué impacto tiene este software o hardware en la red e iniciar el proceso de análisis para determinar la mejor manera de eliminarlo del entorno.
En varios escenarios, Shadow IT llega a satisfacer una necesidad inherente al entorno o sus procesos. Es necesario analizar cuidadosamente para que la salud del negocio no se vea perjudicada por la salida del software/hardware del entorno, sin que se ponga en su lugar una alternativa adecuada.
- Gestión de procesos y análisis de necesidades
En general, la gestión de los procesos es más responsabilidad de las áreas responsables que del departamento de tecnología de una empresa. Una de las formas en que se mitigan estos riesgos es hacer que el ciclo de análisis del proceso sea continuo. Este ciclo puede tener un paso de verificación por parte del área de tecnología / seguridad, lo que permitirá que, en caso de que sea necesario cambiar algo, la persona a cargo del área ya esté al tanto y ayude en el proceso de adaptación.
Con el paso de los ciclos de validación y análisis antes mencionados y las capacitaciones en Seguridad de la Información, los procesos de inserción de hardware y software se arraigarán en los procesos de la compañía y la mala práctica de Shadow IT no se repetirá.