The IT Mag

Shadow IT: ¿Por qué tratarlo?

3 minutos de lectura
Por Alejandro Nájera - septiembre 4, 2018    destacado, Ciberseguridad Empresarial,

http://www.symantec-norton.com/default.aspx?lang=es-MX&par=goo_mx_symantec&gclid=EAIaIQobChMI7ObEi6mg3QIVkIxpCh34-gvdEAAYASAAEgLo3fD_BwE

Un estudio sobre infraestructura de seguridad informática –realizado en 2017, por Citrix y The Ponemon Institute– reveló que 64% de las compañías mexicanas no están preparadas como deberían de estarlo en cuanto a ciberseguridad.

Por otro lado, se reveló que los empleados no cumplen con las condiciones de seguridad corporativa. Ya sea por la dificultad de los protocolos o porque han encontrado maneras más fáciles de realizar sus labores con el uso de las aplicaciones, softwares o hardware, sin el consentimiento de algún superior o del departamento de tecnología. Esta situación es conocida como Shadow IT.

Lo anterior significa que, el uso de herramientas no verificadas o el acceso a páginas desde la red corporativa, es una amenaza para la empresa.

Una situación que es preocupante, no sólo por el riesgo que corre nuestro negocio, sino por la falta de cultura en cuanto a la seguridad informática que hay en el país.

 

El Shadow IT en práctica

Cuando la tecnología es implementada por algún externo al departamento encargado, no se somete a los controles de calidad. Ellos, antes de introducir un nuevo servicio, prueban la potencia y la utilidad de su uso, así como checar las ineficiencias que tengan. Debido a lo cual, no es recomendable que alguien externo a ese departamento haga alguna instalación sin antes consultarlo.

No obstante, si ya se ha instalado, hay que tener en cuenta que existen malwares que su único fin es borrar toda la información, por lo que si no se cuenta con un buen respaldo de datos o una copia de seguridad, se podría perder información importante.

El robo de la información es otro asunto considerable. Algunos casos en donde el usuario y el negocio corren peligro son meterse a redes sociales o llenar formularios bancarios desde la red de la empresa.

También, hay que ver el acceso que tienen empleados a las bases de datos y los permisos que tienen para ver, copiar, borrar y modificar esta información. En consecuencia, habría que monitorear las cuentas y los ingresos para ver cualquier movimiento fuera de lo común.

 

Algunas maneras de hacer todo más seguro

Política laboral: Las compañías siempre requerirán ciertos estatutos sobre el uso de servicios que no han sido autorizados o que pueden ser maliciosos, sin embargo, lo anterior no logrará nada si no hay un comunicado para los empleados. Así que, no está de más brindarles, cada cierto tiempo, capacitaciones sobre los riesgos y pérdidas que el uso de Shadow IT puede traer.

Expansión: Cuando alguien nuevo comienza a laboral en un corporativo, es normal que use las herramientas que usó en su antiguo empleo y que podrían ser de utilidad.

Asimismo, realizar algún sondeo para saber los recursos que están utilizando los empleados: si una cantidad considerable de personas hacen uso de algo no autorizado, es momento de que el departamento de tecnología busque cubrir esa necesidad.

 

El uso de Shadow IT seguirá siendo un problema, gracias a que la nube hace más fácil que las personas usen aplicaciones sin la necesidad de un soporte. De manera que, siempre será bueno que los encargados de la tecnología empresarial generen un diálogo con los empleados, además, contratar algún servicio de seguridad que ofrecen algunos B2B.

Hay que recordar que la confidencialidad de la empresa siempre será un buen complemento con la forma en que laboran los empleados.

Asimismo, nunca sobra escuchar consejos de los expertos en el tema, como se podrá hacer en el eForum: cybersecurity, en donde gente que domina el rubro dialogará sobre el uso que los hackers le dan a los datos después de un ciberataque, tendencias como inteligencia artificial y blockchain, para culminar con la formación de talentos en el ámbito de la seguridad empresarial.

Este foro se llevará a cabo el 11 de septiembre. Así que si eres un Director de Sistemas o un Chief Information Officer  tienes una cita en este lugar.

¡Confirma tu asistencia cuanto antes!

¿Tienes un proyecto? ¡Visita nuestra sección