Hoy en día la tecnología está presente en todos los ámbitos de la vida, pero se ha hecho prácticamente imprescindible en el laboral. Sin embargo, mientras su evolución, accesibilidad y uso se mueven a velocidad de crucero en este terreno, no ha sido igual en cuanto a la concienciación de los riesgos y graves problemas de seguridad que un uso indebido puede generar en la empresa.
En los dos últimos años, una de cada diez compañías ha sido objeto de incidentes cibernéticos causados por el empleo de tecnología no autorizada por la organización, o lo que es los mismo, por Shadow IT, según revela un informe de Kaspersky, que lo sitúa como una de las principales amenazas para la ciberseguridad corporativa en 2025.
Sorprendentemente, la industria de las tecnologías de la información es además la más afectada por este problema según el estudio.
¿Qué es el Shadow IT?
El término Shadow IT o tecnología en la sombra hace referencia al uso por parte de cualquier empleado de una empresa de software, hardware o servicios de tecnología externos al ámbito corporativo y sin el conocimiento y la aprobación del departamento de TI, por tanto, fuera de su control. Un problema que ha traído más de un quebradero de cabeza a las organizaciones y al que tratan de poner barreras, con más o menos éxito.
Acciones tan cotidianas y a primera vista inofensivas como conectar un ratón o unos auriculares personales en el ordenador corporativo, usar licencias gratuitas para editar documentos de la empresa, así como almacenar información sensible en clouds no autorizadas, puede poner en riesgo la seguridad de cualquier empresa. Solo en 2022, el 41% de los empleados adquirieron, modificaron o crearon tecnología fuera de la visibilidad de los equipos TI, según pone en evidencia otra reciente investigación de Gartner, en la que se apunta que las previsiones señalan además que esta cifra ascenderá al 75% en tres años. Y es que lo que en muchas ocasiones se interpreta o se hace para ser más productivos, también puede poner en peligro, sin pensar, la seguridad y la integridad de la empresa para la que se trabaja.
Son muchos los empleados que dan por hecho que los productos informáticos que proceden de proveedores de confianza, son seguros y están protegidos. Sin embargo, en los ‘términos y condiciones’ emplean el llamado ‘modelo de responsabilidad compartida’ en el que confirmas, cuando lo aceptas, que realizarás actualizaciones periódicas de ese software y que asumes la responsabilidad de los incidentes relacionados con su uso, incluidas las fugas de datos corporativos.
Y es que como matiza el Incibe, aunque la mayoría de los dispositivos o aplicaciones que se incluyen en esta TI en la sombra son inocuos, otras pueden incluir funcionalidades peligrosas, por lo que es fundamental que el equipo de TI tenga una visión total de la red e infraestructura de la organización para evitar riesgos innecesarios. La existencia de tecnología en la sombra dificulta su labor de supervisión y control, e impide que pueda responder de forma efectiva ante cualquier amenaza. Es importante tener en cuenta que las aplicaciones que no forman parte de los circuitos oficiales pueden no estar actualizadas con los últimos parches de seguridad, abriendo la puerta a brechas, fuga de datos o robo de información confidencial.
Además, y no menos importante, toda organización debe cumplir con la legalidad, y el Shadow IT puede contribuir al uso de software o aplicaciones que incumplan los reglamentos, las leyes o los estándares, lo que puede conllevar consecuencias legales y afectar a la reputación corporativa. En este sentido, cabe recordar que muchas licencias gratuitas no lo son en todos los entornos.
¿Cómo prevenir el Shadow IT?
- Estableciendo políticas y procedimientos sobre el uso de tecnología en la empresa.
- Fomentando la comunicación regular entre todos los departamentos para entender las necesidades y mejorar los servicios de TI, de acuerdo con la demanda.
- Realizando auditorías periódicas de los sistemas y aplicaciones para prevenir la presencia de hardware y servicios no autorizados.
- Desarrollando inventarios periódicos para eliminar dispositivos y hardware obsoletos
- Implementando un proceso centralizado para la aprobación de soluciones desarrolladas internamente.
- Restringiendo el uso de servicios de terceros
- Ejecutando programas de capacitación para mejorar los conocimientos de seguridad de los empleados.
