Shadow IT

Shadow IT se refiere al uso de sistemas, software, dispositivos o servicios de TI dentro de una organización sin la aprobación o el conocimiento explícito del departamento de TI o seguridad.

¿Qué es Shadow IT?

Shadow IT (TI en la sombra) ocurre cuando los empleados utilizan herramientas tecnológicas para realizar su trabajo que no han sido autorizadas oficialmente. Esto puede incluir desde aplicaciones de mensajería personal y servicios de almacenamiento en la nube hasta hardware personal o software especializado.

Causas Comunes

• Búsqueda de Eficiencia: Los empleados buscan herramientas que consideran más rápidas o fáciles de usar que las oficiales.
• Falta de Alternativas: El departamento de TI no proporciona una solución que satisfaga una necesidad específica.
• Fricción en Procesos: Los procesos de aprobación oficiales se perciben como lentos o burocráticos.
• Familiaridad: Preferencia por herramientas que los empleados ya utilizan en su vida personal.

Riesgos para la Seguridad

• Fuga de Datos: Almacenamiento de información sensible en servicios no controlados por la organización.
• Falta de Cumplimiento: Vulneración de normativas legales (como GDPR o leyes locales) al no existir control sobre la ubicación de los datos.
• Vulnerabilidades Técnicas: Uso de software desactualizado o servicios con configuraciones de seguridad débiles.
• Pérdida de Visibilidad: Incapacidad del equipo de seguridad para monitorear y responder ante incidentes en estos sistemas.
• Conflictos de Integración: Problemas de interoperabilidad con los sistemas oficiales.

Detección y Mitigación

Detección

• Monitoreo de Red: Análisis de tráfico para identificar conexiones a servicios en la nube no autorizados.
• Auditorías de Endpoint: Inventario periódico de software instalado en estaciones de trabajo.
• Análisis de CASB: Uso de Cloud Access Security Brokers para visibilizar el uso de aplicaciones SaaS.

Mitigación

• Políticas Claras: Establecer reglas sobre el uso de software y servicios de terceros.
• Educación y Concientización: Enseñar a los empleados los riesgos asociados al Shadow IT.
• Agilidad en TI: Reducir la fricción para que los empleados puedan solicitar y obtener herramientas oficiales rápidamente.
• Implementación de SSO: Centralizar el acceso a aplicaciones autorizadas.

Conceptos Relacionados

• IT - Concepto base de tecnologías de la información
• Cloud Security - Seguridad en la nube
• DLP - Data Loss Prevention
• CSPM - Gestión de postura de seguridad en la nube
• EDR - Seguridad en dispositivos finales
• Compliance - Cumplimiento normativo

Referencias

• Gartner: Shadow IT
• NIST: Managing Information Security Risk
• ISO 27001 - Control 8.23
• CISA - Shadow IT Risk Mitigation