Shadow IT 2024 expone a empresas a ciberriesgos

Estudio de Kaspersky: 10% de empresas sufrió ciberincidentes en últimos 2 años por uso no autorizado de programas, como Shadow IT.

En el dinámico panorama empresarial actual, el Shadow IT ha emergido como una seria amenaza para la seguridad digital. Las organizaciones se encuentran en una encrucijada donde la innovación y la agilidad chocan con la necesidad imperante de salvaguardar la integridad de los datos.

El Desafío del Shadow IT: El creciente uso no autorizado de aplicaciones, dispositivos y servicios en la nube por parte de empleados, conocido como Shadow IT, representa una brecha significativa en la defensa cibernética empresarial. Esta práctica, aunque impulsada por la búsqueda de eficiencia y flexibilidad, introduce vulnerabilidades que no cumplen con las políticas de seguridad establecidas por los departamentos de TI.

Riesgos Latentes: La adopción descontrolada de Shadow IT aumenta exponencialmente la superficie de ataque, dejando a las empresas susceptibles a ciberincidentes.

Desde la filtración de datos hasta la pérdida de propiedad intelectual, las consecuencias pueden ser devastadoras. Es esencial comprender que cada aplicación no autorizada o dispositivo conectado representa una puerta potencial para amenazas cibernéticas.

Un Llamado a la Conciencia y Acción: En mi experiencia, he presenciado la rápida evolución del panorama de amenazas. Es crucial que las empresas aborden proactivamente el fenómeno del Shadow IT. La concientización, la educación y la implementación de políticas efectivas son pasos vitales para mitigar este riesgo. La colaboración estrecha entre los equipos de TI y los usuarios finales es esencial para equilibrar la seguridad y la innovación.

Hacia una Cultura de Ciberseguridad: El futuro de la empresa resiliente radica en una cultura de ciberseguridad arraigada. Al abordar el Shadow IT de manera estratégica, las organizaciones pueden fortalecer su postura de seguridad, permitiendo la innovación sin comprometer la integridad de los activos digitales.

Insto a todas las empresas a reflexionar sobre la urgencia de este problema y a adoptar medidas proactivas para salvaguardar sus activos digitales en este mundo interconectado y en constante cambio.

Un reciente estudio de Kaspersky revela que 77% de las empresas en todo el mundo sufrió incidentes cibernéticos en los últimos dos años, el 11% a raíz del uso de Shadow IT por parte de los empleados. Las consecuencias del uso de plataformas no autorizadas pueden ser diversas en su gravedad, pero nunca son insignificantes, ya sea por la filtración de datos confidenciales o por daños tangibles al negocio.

Impacto de Shadow IT: La Industria de TI Lidera Incidentes Cibernéticos

Una reciente investigación de Kaspersky ha iluminado la creciente amenaza del Shadow IT, revelando que la industria de Tecnologías de la Información ha experimentado el mayor impacto. Entre 2022 y 2023, el 16% de los incidentes cibernéticos se atribuyen al uso no autorizado de Shadow IT.

Resultados Clave: La industria de TI enfrenta una vulnerabilidad significativa, con el 16% de los incidentes cibernéticos vinculados al Shadow IT. Este fenómeno, caracterizado por el uso no autorizado de aplicaciones y servicios, desencadena riesgos que pueden comprometer la integridad de los datos y la seguridad cibernética.

Otros Sectores Afectados: Además de la industria de TI, otros sectores han sentido el impacto. Las infraestructuras críticas, junto con las organizaciones de transporte y logística, reportaron un 13% de los incidentes en cada categoría. Estos datos subrayan la amplitud del desafío, afectando sectores clave de la economía.

Alerta a la Comunidad Empresarial: Estos hallazgos son una llamada de atención para la comunidad empresarial. La adopción no regulada de Shadow IT no solo pone en riesgo la seguridad de la información, sino que también amenaza la continuidad operativa. La conciencia y la acción proactiva son esenciales para mitigar estos riesgos y fortalecer las defensas cibernéticas.

La investigación de Kaspersky destaca la necesidad urgente de abordar este desafío, trabajando hacia políticas más sólidas y promoviendo una cultura de ciberseguridad en todas las industrias.

Manteniendo la seguridad digital en el centro

El reciente caso de Okta demuestra claramente los peligros de utilizar Shadow IT.

En un incidente preocupante del año pasado, un empleado, utilizando su cuenta personal de Google en un dispositivo propiedad de Okta, inadvertidamente abrió la puerta a actores de amenazas. Esto condujo al acceso no autorizado al sistema de atención al cliente de la compañía, permitiendo a los ciberdelincuentes secuestrar archivos con tokens de sesión.

Detalles del Incidente: La utilización de una cuenta personal de Google en un dispositivo de Okta desencadenó una vulnerabilidad crítica. Los actores de amenazas lograron acceso al sistema de atención al cliente, desde donde se apoderaron de archivos que contenían valiosos tokens de sesión. Estos tokens, en manos equivocadas, pueden ser utilizados para llevar a cabo ataques más extensos.

Impacto en la Seguridad: La brecha revela la intersección peligrosa entre el uso no regulado de cuentas personales y la propiedad de dispositivos corporativos. Este incidente no solo compromete la seguridad de Okta, sino que también destaca la importancia de una gestión más rigurosa de las cuentas y dispositivos utilizados por los empleados.

Llamado a la Mejora de Prácticas de Seguridad: Este evento subraya la necesidad urgente de mejorar las prácticas de seguridad, desde la gestión de dispositivos hasta la concientización de los empleados sobre los riesgos asociados con el uso de cuentas personales en entornos corporativos. La colaboración estrecha entre los departamentos de TI y los usuarios finales es crucial para fortalecer las defensas contra amenazas cibernéticas.

La experiencia de Okta destaca la importancia de la ciberseguridad en un mundo cada vez más interconectado, subrayando la necesidad de medidas preventivas y una postura proactiva contra futuras amenazas.

Priorizando la seguridad en la era digital

Este incidente cibernético duró 20 días y afectó a 134 clientes de la empresa, según el informe de Okta.

Shadow IT: Más Allá de las Aplicaciones No Autorizadas

La problemática del Shadow IT no se limita solo a aplicaciones no autorizadas; abarca desde dispositivos no solicitados hasta hardware abandonado tras modernizaciones. Estos elementos, aparentemente menos llamativos, representan riesgos ocultos que pueden infiltrarse en la infraestructura empresarial.

Amplio Espectro de Riesgos: El Shadow IT va más allá de las aplicaciones no autorizadas y dispositivos externos evidentes. Incluye memorias USB, dispositivos móviles no solicitados y, de manera menos evidente, hardware abandonado postmodernización. Este último, a menudo pasado por alto, puede convertirse en un vector de vulnerabilidades que amenaza la integridad de la infraestructura informática.

Ejemplo Silencioso: Hardware Olvidado: Un claro ejemplo es el hardware que queda en desuso tras modernizaciones o reorganizaciones. Este hardware, aparentemente abandonado, puede ser adquirido por otros empleados, introduciendo potenciales vulnerabilidades. Las amenazas latentes, en forma de datos obsoletos o configuraciones no actualizadas, pueden encontrar su camino en la infraestructura de la empresa, exponiendo a la organización a riesgos innecesarios.

Mitigación Proactiva: Para abordar este aspecto del Shadow IT, es crucial implementar prácticas proactivas de gestión de activos. La identificación y eliminación segura del hardware obsoleto, junto con la educación sobre los riesgos asociados, son pasos fundamentales. La conciencia y la colaboración entre los equipos de TI y los usuarios finales son esenciales para mitigar estos riesgos inadvertidos.

El Shadow IT adopta muchas formas, algunas menos llamativas pero igualmente amenazantes. Reconocer y abordar estas facetas menos evidentes es crucial para fortalecer las defensas contra amenazas cibernéticas y salvaguardar la infraestructura empresarial en constante evolución.

Priorizando la seguridad en cada rincón digital

Desafíos de Innovación: Programadores y la Sombra de Consecuencias Desastrosas

La creatividad de los programadores a menudo lleva a la creación de programas personalizados para optimizar el trabajo interno. Aunque esta iniciativa busca eficiencia, el no solicitar autorización al departamento de TI para su uso puede desencadenar consecuencias desastrosas.

Innovación a Cargo de los Programadores: La habilidad de los programadores para desarrollar soluciones a medida es una fuente invaluable de innovación. La creación de programas internos puede agilizar procesos, mejorar la colaboración y resolver desafíos específicos dentro de equipos o departamentos, contribuyendo al éxito operativo.

Riesgos de la Sombra IT en el Desarrollo Interno: A pesar de los beneficios, la falta de autorización para la implementación de estos programas internos plantea riesgos significativos. Desde la perspectiva de ciberseguridad, la no integración con las políticas y estándares del departamento de TI puede abrir brechas, exponiendo la organización a amenazas no anticipadas.

Consecuencias Desastrosas: La omisión de la autorización del departamento de TI puede tener consecuencias desastrosas. Desde vulnerabilidades de seguridad hasta conflictos con las infraestructuras existentes, los riesgos asociados con la implementación no autorizada pueden comprometer la estabilidad operativa y la integridad de los datos.

Necesidad de Colaboración y Autorización: El camino hacia la innovación no debe desviarse hacia la sombra. La colaboración estrecha entre programadores y el departamento de TI es esencial. La autorización y la evaluación exhaustiva de nuevos programas garantizan la alineación con los estándares de seguridad, evitando riesgos innecesarios.

La creatividad de los programadores es una fuerza impulsora de la innovación, pero su implementación debe ser un esfuerzo colaborativo. La autorización y la evaluación proactiva son clave para garantizar que las soluciones internas no se conviertan en fuentes de problemas, sino en activos seguros y eficientes.

Abrazando la innovación con responsabilidad

Los empleados que recurren a aplicaciones, dispositivos o servicios en la nube no autorizados creen en la seguridad proporcionada por proveedores de confianza.

Sin embargo, en el “modelo de responsabilidad compartida”, aceptar los ‘términos y condiciones’ implica asumir la responsabilidad de actualizaciones y posibles incidentes, incluidas las fugas de datos, destaca Alexey Vovk, responsable de Seguridad de la Información de Kaspersky.

Percepciones Contradictorias: La confianza en proveedores reconocidos puede llevar a una percepción errónea de seguridad. Los empleados que optan por soluciones externas a menudo creen que la marca de renombre garantiza protección. Sin embargo, los ‘términos y condiciones’ revelan una realidad diferente: el “modelo de responsabilidad compartida” coloca parte de la carga sobre los usuarios.

Compromiso Implícito: ‘Acepto’ y sus Implicaciones: Al hacer clic en ‘Acepto’, los usuarios consienten en realizar actualizaciones periódicas y, más crucialmente, asumen la responsabilidad por incidentes, incluso fugas de datos corporativos. Este compromiso implícito destaca la necesidad de conciencia sobre las implicaciones legales y de seguridad asociadas con la adopción no autorizada de tecnologías.

Herramientas para Controlar el Shadow IT: Ante este dilema, Alexey Vovk subraya la urgencia de que las empresas cuenten con herramientas efectivas para controlar el Shadow IT. La gestión proactiva y la implementación de políticas claras son esenciales para salvaguardar la integridad de los datos corporativos y mitigar riesgos derivados de la utilización no autorizada de tecnologías.

La brecha entre las creencias de seguridad y las realidades legales destaca la importancia de una gestión consciente del Shadow IT. La colaboración entre los departamentos de TI y los usuarios finales, respaldada por herramientas adecuadas, es clave para equilibrar la innovación con la seguridad.

En el cruce de percepciones y responsabilidades

Shadow IT: Un Desafío sin Sanciones Claras y un Vistazo al Futuro

La proliferación del Shadow IT se ve exacerbada por la ausencia de sanciones documentadas en muchas organizaciones. Además, se proyecta que esta práctica pueda convertirse en una amenaza clave para la ciberseguridad corporativa en 2025. Aunque la motivación de los empleados para recurrir a programas no autorizados suele ser benigna, la falta de claridad en las políticas aumenta la complejidad del panorama.

Desafío de Sanciones No Documentadas: La carencia de sanciones detalladas contribuye a la expansión del Shadow IT. Sin guías claras sobre las consecuencias de violar las políticas de TI, los empleados pueden sentirse menos inhibidos al adoptar soluciones no autorizadas. Establecer sanciones transparentes es fundamental para disuadir el uso no regulado de tecnologías.

Proyección para 2025: Amenaza Emergente: El Shadow IT está en camino de convertirse en una amenaza central para la ciberseguridad corporativa en 2025. La falta de control y visibilidad sobre las aplicaciones no autorizadas crea puntos ciegos que los ciberdelincuentes pueden explotar. Anticipar esta tendencia es esencial para desarrollar estrategias de defensa proactivas.

Motivaciones Inocuas de los Empleados: Aunque la adopción de programas no autorizados es común, la motivación de los empleados no siempre es maliciosa. En muchos casos, buscan ampliar la funcionalidad de sus herramientas de trabajo o prefieren software conocido de sus dispositivos personales. La comprensión de estas motivaciones es esencial para abordar el Shadow IT de manera efectiva.

El Camino a la Gestión Efectiva: El desafío es claro, pero también lo es la oportunidad de abordarlo. Establecer políticas claras, sanciones documentadas y ofrecer alternativas adecuadas a las necesidades de los empleados son pasos cruciales. La gestión efectiva del Shadow IT no solo mitiga riesgos, sino que también fomenta una cultura de seguridad y colaboración.

En la encrucijada del presente y el futuro digital

**Para mitigar los riesgos del uso de Shadow IT en una organización, Kaspersky recomienda:**

Garantizar la cooperación entre toda la empresa y los departamentos de TI para conversar regularmente sobre las nuevas necesidades del negocio y obtener una retroalimentación sobre los servicios de TI utilizados, con el fin de mejorar los ya existentes o crear nuevos, según lo que necesite la organización.
Realizar periódicamente un inventario de los activos informáticos y escanear la red interna para evitar la aparición de hardware y servicios no controlados.
En cuanto a los dispositivos personales de los empleados, lo mejor es dar a los usuarios un acceso lo más limitado posible sólo a los recursos que necesitan para hacer su trabajo. Se puede utilizar un sistema de control de acceso que sólo permita entrar en la red a los dispositivos autorizados.
Realizar capacitaciones para mejorar los conocimientos de seguridad de la información de los empleados. El programa de formación Kaspersky Automated Security Awareness Platform enseña conductas y hábitos seguros en Internet a las organizaciones.
Invertir en programas de formación relevantes para especialistas en seguridad de TI. La formación de Kaspersky Cybersecurity for IT Online ayuda a crear mejores prácticas sencillas pero efectivas relacionadas con la seguridad de TI y escenarios sencillos de respuesta a incidentes para administradores de TI generalistas, mientras que Kaspersky Expert Training equipa a su equipo de seguridad con los últimos conocimientos y habilidades en gestión y mitigación de amenazas.
Utilizar productos y soluciones que permitan controlar el uso de Shadow IT dentro de su organización. Kaspersky Endpoint Security for Business y Kaspersky Endpoint Security Cloud ofrecen controles de aplicaciones, web y dispositivos que limitan el uso de aplicaciones, sitios web y periféricos no solicitados, reduciendo significativamente los riesgos de infección incluso en los casos en los que los empleados utilizan TI “en la sombra” o cometen errores por falta de hábitos ciberseguros.
Realizar periódicamente un inventario de los activos informáticos para eliminar la aparición de dispositivos y hardware abandonados.
Organizar un proceso centralizado para la publicación de soluciones escritas por los propios empleados, de modo que los especialistas en TI y en seguridad de la información tengan conocimiento de ellas en el momento oportuno.
Limitar el trabajo de los empleados con servicios externos de terceros y, si es posible, bloquear el acceso a los recursos de intercambio de información en la nube más populares.