Puntos clave
- Definición y riesgos de la TI en la sombra: la TI en la sombra consiste en el uso de dispositivos, aplicaciones y servicios en la nube no autorizados fuera del control de TI, lo que genera riesgos importantes de brechas de datos, incumplimiento normativo y amenazas internas.
- Por qué los empleados recurren a la TI en la sombra: los empleados recurren a la TI en la sombra debido a herramientas aprobadas poco eficientes, procesos de aprobación lentos, exigencias de productividad y falta de concienciación en materia de seguridad, especialmente en entornos de trabajo híbridos y remotos.
- Prácticas habituales de TI en la sombra: algunos ejemplos incluyen descargar software no autorizado, compartir credenciales de acceso, utilizar dispositivos personales, almacenar archivos en plataformas de nube no autorizadas y emplear herramientas de comunicación no aprobadas.
- Impacto en las organizaciones: la TI en la sombra aumenta las vulnerabilidades de ciberseguridad, las pérdidas económicas, la pérdida de datos y el incumplimiento normativo, además de complicar el soporte de TI y el control de versiones.
- Cómo gestionar la TI en la sombra: la detección implica supervisar aplicaciones no autorizadas, actividad inusual en la red y el uso de dispositivos no gestionados, mientras que las soluciones incluyen formación para los empleados, políticas de TI claras y plataformas de gestión de endpoints como NinjaOne, que aplican controles de seguridad y proporcionan herramientas aprobadas fáciles de usar.
Por su propia naturaleza, la TI en la sombra suele pasar desapercibida para los equipos de seguridad de TI. Esta falta de visibilidad expone con frecuencia a las organizaciones al incumplimiento de las normativas de protección de datos, distorsiona los presupuestos de TI y las deja expuestas a actores maliciosos. En entornos de trabajo remoto, la TI en la sombra representa una amenaza emergente que debe gestionarse de forma activa.
→ Descarga gratis nuestro Informe sobre la TI en la sombra (PDF)
¿Qué es la TI en la sombra?
La TI en la sombra es la práctica de utilizar sistemas tecnológicos que no están gestionados por el departamento de TI de una organización. Esto puede incluir desde el uso de dispositivos personales no autorizados hasta la descarga de software o aplicaciones que el departamento de TI no aprueba.
Comprende los comportamientos asociados a la TI en la sombra
El auge de nuevas formas de trabajo que se han normalizado en los últimos años ha generado numerosos desafíos para empresas y organizaciones.
Uno de ellos es garantizar la protección de los datos empresariales frente a brechas de seguridad y accesos no autorizados. Proporcionar dispositivos aprobados por la organización puede ayudar a establecer un nivel básico de control.
Sin embargo, todavía existen obstáculos que agravan los riesgos asociados a la TI en la sombra. Estos obstáculos incluyen comportamientos de los propios empleados que contribuyen a los riesgos derivados de la TI en la sombra.
Ejemplos de prácticas de TI en la sombra
Para comprender mejor la TI en la sombra, estos son algunos ejemplos habituales:
- Descarga de software no autorizado. Aunque descargar e instalar software y aplicaciones desde distribuidores oficiales pueda parecer inofensivo, eso no significa que sea completamente seguro. Algunos programas solicitarán permiso para acceder a datos sensibles, recursos del sistema, conexiones de red y otros elementos. Conceder estos permisos por error puede provocar filtraciones de datos, incumplimientos normativos o incluso infecciones por malware.
- Compartir credenciales de acceso. Otra práctica que supone un claro riesgo de seguridad es compartir credenciales de acceso. Los nombres de usuario y las contraseñas no deben compartirse con ninguna otra persona. Hacerlo puede comprometer fácilmente la seguridad de las cuentas de usuario y abrir la puerta a posibles usos indebidos.
- Utilizar dispositivos personales para trabajar. Cada vez más empresas proporcionan a sus empleados dispositivos de uso exclusivo para el trabajo. Sin embargo, algunos empleados siguen utilizando sus dispositivos personales a pesar del riesgo potencial de exponer datos de la empresa al malware o comprometer información personal mediante aplicaciones de trabajo.
- Utilizar servicios de almacenamiento en la nube no autorizados. Los empleados suelen sentirse atraídos por servicios de almacenamiento en la nube a los que pueden acceder fácilmente. El uso de servicios de almacenamiento en la nube no autorizados supone un importante riesgo de seguridad y puede provocar la pérdida de datos críticos de la empresa, interrupciones operativas, daños reputacionales y cuantiosas sanciones económicas.
- Utilizar herramientas de comunicación no autorizadas. Compartir información confidencial a través de herramientas de comunicación no aprobadas por la organización puede provocar graves brechas de seguridad y comprometer datos sensibles.
Factores que impulsan la adopción de la TI en la sombra
A pesar de los riesgos, los usuarios recurren a la TI en la sombra por diversos motivos.
Uno de ellos es la percepción de que las herramientas aprobadas por la organización son ineficientes o insuficientes. Esto lleva a los usuarios a buscar sistemas de TI alternativos que les permitan trabajar de forma más eficiente. Otro motivo es la lentitud de los procesos para adquirir soluciones de TI oficiales, lo que lleva a los usuarios a recurrir a herramientas no autorizadas para acceder más rápidamente a las funcionalidades que necesitan.
En algunos casos, la productividad también impulsa a los usuarios a utilizar sistemas de TI no autorizados. Algunos pueden considerar que son más productivos utilizando sus dispositivos personales, con los que ya están familiarizados. Otros pueden recurrir a software que ofrece características o funcionalidades que no están disponibles en las herramientas aprobadas, lo que puede traducirse en mejoras de eficiencia y productividad.
Por último, la falta de concienciación sobre los riesgos de seguridad asociados a la TI en la sombra puede favorecer una mayor adopción de estas prácticas. Sin un conocimiento adecuado de las implicaciones de la TI en la sombra, los usuarios pueden exponer sin darse cuenta datos sensibles de la empresa.
Consecuencias negativas de la TI en la sombra
Una vez analizados los motivos que impulsan la adopción de la TI en la sombra, es fundamental comprender los riesgos que puede representar para una organización. Como hemos visto, las prácticas de TI en la sombra conllevan riesgos de brechas de información y pérdida de datos. Un estudio reciente de Entrust reveló que el 77 % de los profesionales de TI considera que la TI en la sombra se convertiría en un problema importante en 2023. Es una consecuencia inevitable del auge del trabajo remoto y de los modelos de trabajo híbridos.
La TI en la sombra también puede exponer las infraestructuras de TI a vulnerabilidades evidentes. El software y los dispositivos no autorizados suelen carecer de los parches y actualizaciones de seguridad implementados por las empresas, lo que crea posibles puntos de entrada para malware y ciberataques que pueden comprometer toda la red y provocar interrupciones generalizadas, pérdida de datos y perjuicios económicos.
Ventajas e inconvenientes de la TI en la sombra
Sería fácil evitar las prácticas de TI en la sombra si solo tuvieran consecuencias negativas. Sin embargo, la TI en la sombra también puede aportar ciertos beneficios a los usuarios, además de los importantes riesgos que conlleva.
Pros:
- Satisfacción de los empleados. Utilizar herramientas no autorizadas que ayudan a agilizar los flujos de trabajo puede aliviar la carga de trabajo de los empleados.
- Aumento de la productividad. Cuando los usuarios están satisfechos con sistemas de TI no autorizados, la eficiencia y la productividad pueden aumentar.
- Impulso a la innovación. El uso de sistemas de TI no aprobados puede conducir al descubrimiento de herramientas más innovadoras y formas más eficientes de realizar tareas.
- Flexibilidad y capacidad de adaptación. La TI en la sombra permite a los usuarios utilizar herramientas con las que están familiarizados y se sienten cómodos trabajando. Esto reduce la curva de aprendizaje y puede aumentar la eficiencia.
- Colaboración. Las prácticas de TI en la sombra que implican el uso de canales de comunicación no autorizados pueden favorecer una colaboración más eficiente entre los usuarios.
- Personalización. Las herramientas de TI en la sombra pueden ofrecer un mayor grado de personalización que las soluciones estandarizadas y generalistas proporcionadas por el departamento de TI.
Contras:
- Exposición a vulnerabilidades. Las herramientas de TI en la sombra son objetivos fáciles para los ciberataques porque suelen carecer de las funcionalidades y los controles de seguridad implementados por el departamento de TI de la organización.
- Incumplimiento de la normativa. Las herramientas de TI en la sombra también suelen carecer de las salvaguardas necesarias para garantizar el cumplimiento de las normativas del sector, lo que expone a la organización a riesgos significativos.
- Dificultades para el soporte de TI. Los sistemas de TI aprobados cuentan con mecanismos de soporte para resolver rápidamente cualquier incidencia que pueda surgir. Las herramientas de TI en la sombra pueden carecer de una infraestructura de soporte específica, lo que dificulta la resolución de problemas técnicos.
- Pérdida de datos. Las herramientas de TI en la sombra aumentan el riesgo de pérdida de datos sensibles debido a la ausencia de medidas de protección de datos habituales en las soluciones no autorizadas.
- Pérdidas económicas. Las brechas de datos provocadas por herramientas de TI en la sombra pueden derivar en pérdidas económicas debido a sanciones regulatorias, costes de respuesta ante incidentes, interrupciones operativas y otros impactos asociados.
- Problemas de control de versiones. La coexistencia de múltiples versiones de software no autorizado dentro de una organización puede generar problemas de compatibilidad y dificultar la colaboración.
Lo que ocurre en la sombra: riesgos ocultos de la TI en la sombra
Para comprender mejor los comportamientos de TI en la sombra de los empleados que trabajan de forma remota debido a la COVID-19, NinjaOne entrevistó a 400 trabajadores remotos del Reino Unido en múltiples sectores. Descubrimos que, aunque la mayoría de los encuestados afirmaban conocer las políticas de seguridad de su organización, los empleados seguían incumpliéndolas utilizando una amplia variedad de dispositivos físicos, como discos duros y teléfonos móviles, así como herramientas digitales para la comunicación y el trabajo.
Las recomendaciones derivadas de los resultados de la encuesta sugieren que una formación frecuente en seguridad, combinada con políticas claras y experiencias de TI sin fricciones, puede reducir o eliminar algunos de los motivos por los que los empleados recurren a dispositivos y aplicaciones de TI en la sombra.
En la era del trabajo remoto, es fundamental contar con una gestión integral de los dispositivos que interactúan con los datos de la empresa. La dirección debe comprender las necesidades y los obstáculos a los que se enfrentan sus equipos, además de establecer el tono y las políticas en torno a las buenas prácticas básicas de ciberseguridad.
Descarga nuestro informe completo para obtener más información sobre cómo la TI en la sombra está afectando a las organizaciones y cómo convertir estas brechas de seguridad en oportunidades.
¿Cómo gestionar la TI en la sombra?
Con la expansión de los modelos de trabajo híbridos y remotos, algunos empleados consideran útiles las herramientas de TI en la sombra. Sin embargo, los beneficios de estos sistemas de TI no autorizados suelen ser temporales. Aunque puede resultar difícil para las organizaciones erradicar por completo las prácticas de TI en la sombra, existen formas de gestionarlas y mitigar sus riesgos. Un sistema de gestión de endpoints como NinjaOne puede ser un gran aliado en este proceso.
NinjaOne ayuda a los equipos de TI a gestionar y mitigar las prácticas de TI en la sombra. Sus funcionalidades proporcionan visibilidad en tiempo real de la red, automatizan tareas y aplican políticas de seguridad, al tiempo que ofrecen un acceso sencillo a soluciones de TI aprobadas, lo que mejora tanto la seguridad como la satisfacción de los empleados. Esto favorece un entorno de trabajo seguro y productivo que permite a los empleados trabajar de forma eficaz mientras protege los datos y activos críticos de la organización.
Obtén una visión más clara de tu entorno de TI para gestionar mejor tus activos con el software de gestión de activos de TI de NinjaOne.
Obtén tu prueba gratuita o mira una demo aquí
