Shadow IT se refiere a la pr\u00e1ctica de los usuarios que implementan recursos tecnol\u00f3gicos no autorizados para eludir su departamento de TI. Los usuarios pueden recurrir al uso de pr\u00e1cticas de TI en la sombra cuando sienten que las pol\u00edticas de TI existentes son demasiado restrictivas o les impiden hacer su trabajo de manera efectiva.<\/p>\n
Un fen\u00f3meno de la vieja escuela <\/h2>\n
Shadow IT no es nuevo. Ha habido innumerables ejemplos de uso generalizado de TI en la sombra a lo largo de los a\u00f1os. A principios de la d\u00e9cada de 2000, por ejemplo, muchas organizaciones se mostraron reacias a adoptar Wi-Fi por temor a que pudiera socavar sus esfuerzos de seguridad. Sin embargo, los usuarios quer\u00edan la comodidad del uso de dispositivos inal\u00e1mbricos y, a menudo, implementaban puntos de acceso inal\u00e1mbricos sin el conocimiento o consentimiento del departamento de TI.<\/p>\n
Lo mismo sucedi\u00f3 cuando el iPad se hizo popular por primera vez. Los departamentos de TI prohibieron en gran medida el uso de iPads con datos comerciales debido a la incapacidad de aplicar configuraciones de pol\u00edticas de grupo y otros controles de seguridad a los dispositivos. Aun as\u00ed, los usuarios a menudo ignoraban la TI y usaban iPads de todos modos.<\/p>\n
Por supuesto, los profesionales de TI eventualmente descubrieron c\u00f3mo asegurar iPads y Wi-Fi y finalmente adoptaron la tecnolog\u00eda. Sin embargo, el uso de TI en la sombra no siempre tiene un final feliz. Los usuarios que se involucran en el uso de TI en la sombra pueden, sin saberlo, causar un da\u00f1o irreparable a una organizaci\u00f3n.<\/p>\n
Aun as\u00ed, el problema del uso de TI en la sombra contin\u00faa hasta el d\u00eda de hoy. En todo caso, el uso de TI en la sombra ha aumentado en los \u00faltimos a\u00f1os. En 2021 por ejemploGartner encontr\u00f3<\/a> que entre el 30 % y el 40 % de todo el gasto en TI (en una gran empresa) se destina a financiar TI en la sombra.<\/p>\n Una de las razones del aumento del uso de TI en la sombra es el trabajo remoto. Cuando los usuarios trabajan desde casa, es m\u00e1s f\u00e1cil para ellos escapar de la notificaci\u00f3n del departamento de TI que si intentaran usar tecnolog\u00eda no autorizada desde la oficina corporativa. Un estudio de Core<\/a> descubri\u00f3 que el trabajo remoto derivado de los requisitos de COVID aument\u00f3 el uso de TI en la sombra en un 59%.<\/p>\n Otra raz\u00f3n del aumento de la TI en la sombra es el hecho de que es m\u00e1s f\u00e1cil que nunca para un usuario eludir el departamento de TI. Supongamos por un momento que un usuario desea implementar una carga de trabajo en particular, pero el departamento de TI rechaza la solicitud. <\/p>\n Un usuario determinado puede simplemente usar su tarjeta de cr\u00e9dito corporativa para configurar una cuenta en la nube. Debido a que esta cuenta existe como inquilino independiente, TI no tendr\u00e1 visibilidad de la cuenta y es posible que ni siquiera sepa que existe. Esto permite al usuario ejecutar su carga de trabajo no autorizada con total impunidad. <\/p>\n De hecho, un estudio de 2020 encontr\u00f3 que el 80 % de los trabajadores admitieron haber usado aplicaciones SaaS no autorizadas. Este mismo estudio tambi\u00e9n encontr\u00f3 que la nube de TI en la sombra de la empresa promedio podr\u00eda ser 10 veces m\u00e1s grande que el uso de la nube sancionado por la empresa.<\/p>\n Dada la facilidad con la que un usuario puede implementar recursos de TI en la sombra, no es realista que TI asuma que la TI en la sombra no est\u00e1 sucediendo o que podr\u00e1 detectar el uso de la TI en la sombra. Como tal, la mejor estrategia puede ser educar a los usuarios sobre los riesgos que plantea la TI en la sombra. Un usuario que tiene una experiencia limitada en TI puede introducir riesgos de seguridad sin darse cuenta al participar en la TI en la sombra. De acuerdo a un informe de Forbes Insights<\/a> El 60 % de las empresas no incluye TI en la sombra en sus evaluaciones de amenazas.<\/p>\n Del mismo modo, el uso de TI en la sombra puede exponer a una organizaci\u00f3n a sanciones reglamentarias. De hecho, a menudo son los auditores de cumplimiento, no el departamento de TI, quienes terminan siendo los que descubren el uso oculto de TI.<\/p>\n Por supuesto, educar a los usuarios por s\u00ed solo no es suficiente para detener el uso de TI en la sombra. Siempre habr\u00e1 usuarios que opten por ignorar las advertencias. Del mismo modo, ceder a las demandas de los usuarios para usar tecnolog\u00edas particulares tampoco siempre puede ser lo mejor para la organizaci\u00f3n. Despu\u00e9s de todo, no hay escasez de aplicaciones desactualizadas o mal escritas que podr\u00edan representar una amenaza significativa para su organizaci\u00f3n. No importa las aplicaciones que son conocidas por espiar a los usuarios.<\/p>\n Una de las mejores opciones para hacer frente a las amenazas de TI en la sombra puede ser adoptar la confianza cero. La confianza cero es una filosof\u00eda en la que nada en su organizaci\u00f3n se asume autom\u00e1ticamente como digno de confianza. Las identidades de usuario y dispositivo deben probarse cada vez que se utilizan para acceder a un recurso. <\/p>\n Hay muchos aspectos diferentes en una arquitectura de confianza cero, y cada organizaci\u00f3n implementa la confianza cero de manera diferente. Algunas organizaciones, por ejemplo, usan pol\u00edticas de acceso condicional para controlar el acceso a los recursos. De esa manera, una organizaci\u00f3n no solo otorga a un usuario acceso sin restricciones a un recurso, sino que considera c\u00f3mo el usuario intenta acceder al recurso. Esto puede implicar la configuraci\u00f3n de restricciones en torno a la ubicaci\u00f3n geogr\u00e1fica del usuario, el tipo de dispositivo, la hora del d\u00eda u otros factores.<\/p>\n Una de las cosas m\u00e1s importantes que una organizaci\u00f3n puede hacer con respecto a la implementaci\u00f3n de Zero Trust es asegurar mejor su servicio de asistencia. Las mesas de ayuda de la mayor\u00eda de las organizaciones son vulnerables a los ataques de ingenier\u00eda social. <\/p>\n Cuando un usuario llama y solicita un restablecimiento de contrase\u00f1a, el t\u00e9cnico de la mesa de ayuda asume que el usuario es quien dice ser, cuando en realidad, la persona que llama podr\u00eda ser un pirata inform\u00e1tico que est\u00e1 tratando de usar una solicitud de restablecimiento de contrase\u00f1a como una forma de obtener acceso. a la red Otorgar solicitudes de restablecimiento de contrase\u00f1a sin verificar las identidades de los usuarios va en contra de todo lo que representa la confianza cero. <\/p>\n Secure Service Desk de Specops Software puede eliminar esta vulnerabilidad haciendo imposible que un t\u00e9cnico del servicio de asistencia t\u00e9cnica restablezca la contrase\u00f1a de un usuario hasta que se haya probado la identidad de ese usuario. Puede probarlo de forma gratuita para reducir los riesgos de TI en la sombra en su red. <\/p>\n <\/p>\n<\/div>\nShadow IT est\u00e1 en aumento en 2022 <\/h2>\n
Trabajo remoto pospandemia <\/h4>\n
La tecnolog\u00eda es cada vez m\u00e1s simple para los usuarios finales <\/h4>\n
Conozca su propia red <\/h4>\n
La soluci\u00f3n de confianza cero para Shadow IT<\/h2>\n
Confianza cero en el servicio de asistencia<\/h4>\n