Los riesgos del Shadow IT en las organizaciones

Curioso término el de Shadow IT. Algo como “Sombra o fantasma de IT”, que viene a consistir en el conjunto de todos los sistemas, servicios, aplicaciones, software y dispositivos que los empleados de una empresa utilizan en ella sin que el departamento de TI sea consciente y quizá incluso sin que sean elementos corporativos o cuyo uso se haya aprobado.

Del mismo modo, aquellos activos digitales, servicios, sistemas y aplicaciones que quizá la empresa utilizó (internamente o hacia el público externo) en el pasado pero que cayeron en el desuso, en la obsolescencia, en el olvido, podrían consistir en parte del “inventariado de Shadow IT” de una compañía, ampliando así la superficie de ataque y exponiéndola a futuros problemas de seguridad.

Esto, al margen de parecer una nimiedad, puede entrañar graves riesgos y amenazas para la ciberseguridad de cualquier organización. Por ese motivo es crítico identificar qué empleados realizan esta actividad, con qué herramientas, cómo, y qué otras herramientas corporativas descontroladas existen para tomar medidas al respecto que eliminen o mitiguen riesgos.

Las políticas y procedimientos establecidos a nivel corporativo, son vitales y de obligatorio cumplimiento para toda la plantilla. En realidad, un empleado que se salte dichas reglas está incurriendo en una falta muy grave, pudiéndosele considerar incluso como un insider.

Asimismo, el mantenimiento (e incluso la retirada) de los activos, servicios, aplicaciones y sistemas en desuso o no actualizados de la organización, es una tarea que debería ser obligatoria para todo departamento de IT que se precie.

Los empleados recurren al Shadow IT como alternativa cuando los servicios, aplicaciones y herramientas corporativas son complejas, difíciles de utilizar, lentas, antiguas, etc. Algunos servicios o aplicaciones habitualmente utilizadas como Shadow IT podrían ser las colaborativas, dispositivos, repositorios o incluso nubes propias personales, servicios de videoconferencia y mensajería, etc., todas ellas no autorizadas previamente por el departamento de TI ni la organización.

Por tanto, el Shadow IT provoca una brecha de seguridad amplia y continua ya que esas herramientas que utilizan los empleados de forma no autorizada, no están controladas, ni gestionadas, siendo imposible mantenerlas y tampoco actualizados. Esto se traduce en que la empresa se encontrará desprotegida ante una posible explotación de vulnerabilidades y otras consecuencias.

Nuestro servicio de Búsqueda de Shadow IT, identifica riesgos a través de la búsqueda de activos e infraestructuras expuestas que no se encuentran bajo el control del área de IT.

¿Qué deberían hacer las organizaciones? El primer paso debería ser la identificación. La búsqueda de Shadow IT requiere que se rastreen y monitoricen proactivamente todas y cada una de las actividades tecnológicas para identificar aplicaciones, servicios y sistemas no autorizados en le organización. Para ello se pueden realizar tareas de:

• Auditoría de software en todos los dispositivos y sistemas corporativos, para identificar aplicaciones no aprobadas.

• Control de acceso para identificar quién tiene acceso a recursos no autorizados.

• Monitorización de los servicios y sistemas en la nube corporativa, para identificar cuentas utilizadas sin permisos.

• Análisis del tráfico de red, en busca de dispositivos y servidores desconocidos no inventariados, conexiones extrañas, comportamientos y patrones inusuales, etc.

Cuando ya conozcamos y tengamos identificados los focos de Shadow IT, deberíamos realzar un análisis de riesgos de cada uno de ellos, determinando si podrían llegar a provocar problemas de accesos indebidos, fuga de datos, agujeros de seguridad debido a vulnerabilidades, etc.

El siguiente paso es la mitigación de riesgos, gracias al conocimiento obtenido previamente y al análisis de lo detectado. Es necesario tomar medidas entre las cuales pueden estar la eliminación de los elementos Shadow IT detectados, la concienciación de empleados, e incluso la aceptación de dichas herramientas y su consistente y segura integración entre las herramientas corporativas de la empresa.

¿Te ayudamos a encontrar os Shadow IT de tu empresa?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.

Due Diligence, protegiendo ante riesgos de terceros

Mediante nuestro servicio de Due Diligence o Diligencia Debida, localizamos en Internet información sobre proveedores, partners, socios, contratistas y cadena de suministro, que analizamos detalladamente desde el punto de vista de la seguridad y ciberseguridad, con el objetivo de identificar amenazas y riesgos potenciales que éstos podrían trasladar a nuestro negocio.

Este servicio consiste en la investigación de una o varias organizaciones con las que se trabaja, colabora, tiene algún tipo de relación, o se espera tenerla en breve. También es un servicio muy habitualmente solicitado y prestado en el caso de análisis de empresas, antes de que se realice una adquisición de las mismas.

Los factores a analizar pueden ser muchos y muy variopintos. Desde los económicos, financieros, fiscales, legales, de cumplimiento, laborales, sociales, etc., hasta aquellos que afectan a las infraestructuras, a las tecnologías, a los productos y servicios, y al grado de seguridad y ciberseguridad con el que éstos cuentan.

En el caso de la ciberseguridad, el garantizar la diligencia debida es algo de carácter esencial para proteger los activos digitales de una empresa en un mundo digital donde las comunicaciones, relaciones y los negocios, tienen lugar en ese plano.

Este tipo de servicio proporciona una visión completa de los riesgos y vulnerabilidades de terceros, permitiendo que las empresas pueden tomar decisiones informadas y, al mismo tiempo, medidas proactivas para salvaguardar sus datos, información, dispositivos, sistemas e infraestructuras, garantizando de ese modo la reputación y la continuidad del negocio.

Con el objetivo de garantizar la integridad de sus datos y activos digitales y la protección de la información confidencial, las empresas solicitan cada vez más la prestación de servicios de Due Diligence en ciberseguridad.

La clave es la identificación, evaluación y mitigación de riesgos. En el ámbito de la ciberseguridad, el proceso de diligencia debida es muy exhaustivo ya que evalúa todos los sistemas posibles, políticas y procedimientos de seguridad corporativos de un tercero.

Estos servicios, como decíamos, abarcan diversos aspectos, como la evaluación de la infraestructura tecnológica, la revisión de políticas de seguridad, la formación del personal y la identificación de amenazas actuales o potenciales.

En el caso de la evaluación de las infraestructuras, los elementos a analizar son las arquitecturas tecnológicas, identificando en ellas puntos débiles, configuraciones y vulnerabilidades (en sistemas, aplicaciones, redes, dispositivos, etc.).

En el caso de la revisión de políticas y procedimientos, el análisis se centra en el chequeo de políticas de contraseñas, de acceso a datos sensibles y en los procedimientos de respuesta a incidentes y recuperación (resiliencia).

El factor humano es clave. De ahí que la concienciación y la formación jueguen un papel de vital importancia. Por este motivo, un servicio de due diligence también deberá analizar el nivel de conocimientos y formación de la plantilla en cuando a seguridad y ciberseguridad.

Además, las tareas de los servicios de due diligence también pueden centrarse en la identificación de amenazas en curso y posibles futuras, como la detección de malware, las posibles actividades de hacking o intrusión, filtración de datos y amenazas internas.

Con todo ello, al final, lo que se pretende es realizar una labor de identificación de riesgos, de gestión de riesgos y de mitigación de riesgos que puedan llegar a nuestra organización de terceras partes, reduciendo significativamente la exposición a amenazas.

Por supuesto, este tipo de servicios favorecen y facilitan enormemente el cumplimiento normativo (compliance), ayudando a las empresas a cumplir con las normativas, regulaciones, legislaciones, frameworks y estándares de seguridad y ciberseguridad, que evitarán problemas y posibles sanciones o multas derivadas del incumplimiento.

¿Te ayudamos a averiguar si tus proveedores o partners podrían llegar a ser un riesgo para tu negocio?

Puedes ampliar detalles sobre nuestros servicios visitando la página de Zerolynx

Si lo prefieres, contáctanos y hablamos.