Shadow IT se refiere a la práctica de los usuarios que implementan recursos tecnológicos no autorizados para eludir su departamento de TI. Los usuarios pueden recurrir al uso de prácticas de TI en la sombra cuando sienten que las políticas de TI existentes son demasiado restrictivas o les impiden hacer su trabajo de manera efectiva.
Un fenómeno de la vieja escuela
Shadow IT no es nuevo. Ha habido innumerables ejemplos de uso generalizado de TI en la sombra a lo largo de los años. A principios de la década de 2000, por ejemplo, muchas organizaciones se mostraron reacias a adoptar Wi-Fi por temor a que pudiera socavar sus esfuerzos de seguridad. Sin embargo, los usuarios querían la comodidad del uso de dispositivos inalámbricos y, a menudo, implementaban puntos de acceso inalámbricos sin el conocimiento o consentimiento del departamento de TI.
Lo mismo sucedió cuando el iPad se hizo popular por primera vez. Los departamentos de TI prohibieron en gran medida el uso de iPads con datos comerciales debido a la incapacidad de aplicar configuraciones de políticas de grupo y otros controles de seguridad a los dispositivos. Aun así, los usuarios a menudo ignoraban la TI y usaban iPads de todos modos.
Por supuesto, los profesionales de TI eventualmente descubrieron cómo asegurar iPads y Wi-Fi y finalmente adoptaron la tecnología. Sin embargo, el uso de TI en la sombra no siempre tiene un final feliz. Los usuarios que se involucran en el uso de TI en la sombra pueden, sin saberlo, causar un daño irreparable a una organización.
Aun así, el problema del uso de TI en la sombra continúa hasta el día de hoy. En todo caso, el uso de TI en la sombra ha aumentado en los últimos años. En 2021 por ejemploGartner encontró que entre el 30 % y el 40 % de todo el gasto en TI (en una gran empresa) se destina a financiar TI en la sombra.
Shadow IT está en aumento en 2022
Trabajo remoto pospandemia
Una de las razones del aumento del uso de TI en la sombra es el trabajo remoto. Cuando los usuarios trabajan desde casa, es más fácil para ellos escapar de la notificación del departamento de TI que si intentaran usar tecnología no autorizada desde la oficina corporativa. Un estudio de Core descubrió que el trabajo remoto derivado de los requisitos de COVID aumentó el uso de TI en la sombra en un 59%.
La tecnología es cada vez más simple para los usuarios finales
Otra razón del aumento de la TI en la sombra es el hecho de que es más fácil que nunca para un usuario eludir el departamento de TI. Supongamos por un momento que un usuario desea implementar una carga de trabajo en particular, pero el departamento de TI rechaza la solicitud.
Un usuario determinado puede simplemente usar su tarjeta de crédito corporativa para configurar una cuenta en la nube. Debido a que esta cuenta existe como inquilino independiente, TI no tendrá visibilidad de la cuenta y es posible que ni siquiera sepa que existe. Esto permite al usuario ejecutar su carga de trabajo no autorizada con total impunidad.
De hecho, un estudio de 2020 encontró que el 80 % de los trabajadores admitieron haber usado aplicaciones SaaS no autorizadas. Este mismo estudio también encontró que la nube de TI en la sombra de la empresa promedio podría ser 10 veces más grande que el uso de la nube sancionado por la empresa.
Conozca su propia red
Dada la facilidad con la que un usuario puede implementar recursos de TI en la sombra, no es realista que TI asuma que la TI en la sombra no está sucediendo o que podrá detectar el uso de la TI en la sombra. Como tal, la mejor estrategia puede ser educar a los usuarios sobre los riesgos que plantea la TI en la sombra. Un usuario que tiene una experiencia limitada en TI puede introducir riesgos de seguridad sin darse cuenta al participar en la TI en la sombra. De acuerdo a un informe de Forbes Insights El 60 % de las empresas no incluye TI en la sombra en sus evaluaciones de amenazas.
Del mismo modo, el uso de TI en la sombra puede exponer a una organización a sanciones reglamentarias. De hecho, a menudo son los auditores de cumplimiento, no el departamento de TI, quienes terminan siendo los que descubren el uso oculto de TI.
Por supuesto, educar a los usuarios por sí solo no es suficiente para detener el uso de TI en la sombra. Siempre habrá usuarios que opten por ignorar las advertencias. Del mismo modo, ceder a las demandas de los usuarios para usar tecnologías particulares tampoco siempre puede ser lo mejor para la organización. Después de todo, no hay escasez de aplicaciones desactualizadas o mal escritas que podrían representar una amenaza significativa para su organización. No importa las aplicaciones que son conocidas por espiar a los usuarios.
La solución de confianza cero para Shadow IT
Una de las mejores opciones para hacer frente a las amenazas de TI en la sombra puede ser adoptar la confianza cero. La confianza cero es una filosofía en la que nada en su organización se asume automáticamente como digno de confianza. Las identidades de usuario y dispositivo deben probarse cada vez que se utilizan para acceder a un recurso.
Hay muchos aspectos diferentes en una arquitectura de confianza cero, y cada organización implementa la confianza cero de manera diferente. Algunas organizaciones, por ejemplo, usan políticas de acceso condicional para controlar el acceso a los recursos. De esa manera, una organización no solo otorga a un usuario acceso sin restricciones a un recurso, sino que considera cómo el usuario intenta acceder al recurso. Esto puede implicar la configuración de restricciones en torno a la ubicación geográfica del usuario, el tipo de dispositivo, la hora del día u otros factores.
Confianza cero en el servicio de asistencia
Una de las cosas más importantes que una organización puede hacer con respecto a la implementación de Zero Trust es asegurar mejor su servicio de asistencia. Las mesas de ayuda de la mayoría de las organizaciones son vulnerables a los ataques de ingeniería social.
Cuando un usuario llama y solicita un restablecimiento de contraseña, el técnico de la mesa de ayuda asume que el usuario es quien dice ser, cuando en realidad, la persona que llama podría ser un pirata informático que está tratando de usar una solicitud de restablecimiento de contraseña como una forma de obtener acceso. a la red Otorgar solicitudes de restablecimiento de contraseña sin verificar las identidades de los usuarios va en contra de todo lo que representa la confianza cero.
Secure Service Desk de Specops Software puede eliminar esta vulnerabilidad haciendo imposible que un técnico del servicio de asistencia técnica restablezca la contraseña de un usuario hasta que se haya probado la identidad de ese usuario. Puede probarlo de forma gratuita para reducir los riesgos de TI en la sombra en su red.