fbpx

Shadow IT: cuando un empleado pone en riesgo los sistemas de la empresa sin saberlo

Riesgos de la práctica del Shadow IT - La Computeria

Como ya lo he dicho: el empleado es el eslabón más importante en la seguridad informática de la empresa. El Shadow IT representa riesgos importantes para la seguridad de la información de una empresa. Pero empecemos por el principio y expliquemos qué es y qué no es.

El Shadow IT NO es un malware, NO es un virus y NO es una nueva modalidad de ciberataque. El Shadow IT es la práctica entre los empleados de una empresa de utilizar sus propios dispositivos, utilizar aplicaciones o utilizar servicios que no están autorizados ni supervisados por el área de TI de la empresa (área de sistemas como la conocemos en Colombia).

El origen de la palabra viene del idioma inglés , que en español traduciría algo así como “TI en las sombras”, para hacer referencia a una práctica que se hace con desconocimiento del área encargada de TI.

Los motivos para la práctica de Shadow IT principalmente son: 1) falta de conciencia, 2) falta de comunicación de las políticas de seguridad o 3) la insatisfacción de los empleados con respecto a uso de las tecnologías de la información dentro de la empresa. Estos 3 motivos se pueden ejemplificar con situaciones como:

  • Desconocer los riesgos de seguridad y de cumplimiento que implica el uso de herramientas no autorizadas, o subestimar su importancia o su probabilidad.
  • No estar informados de las herramientas disponibles o aprobadas por el área encargada de TI, o no saber cómo acceder a ellas o cómo utilizarlas correctamente.
  • Preferir usar herramientas más familiares, cómodas o personales, que se adapten mejor a sus preferencias, necesidades o hábitos de trabajo.
  • Buscar soluciones más rápidas, fáciles o eficientes, que les permitan resolver sus problemas o realizar sus tareas sin depender del papeleo y autorizaciones del área encargada de TI.

Prácticas más comunes del Shadow IT

  • Usar macros de Excel para automatizar tareas o procesos, sin tener en cuenta el impacto que pueden tener en el rendimiento o la seguridad de la red.
  • Usar servicios en la nube no aprobados para almacenar o compartir datos, sin garantizar su confidencialidad, integridad o disponibilidad.
  • Usar software o aplicaciones no autorizados para realizar funciones o actividades, sin verificar su compatibilidad, actualización o licencia.
  • Usar dispositivos personales o externos (pen drives o celular) para acceder o transferir datos, sin aplicar las medidas de protección o cifrado adecuadas.

Riesgos del Shadow IT

El ShadowIT puede tener consecuencias negativas para una empresa, ya que puede afectar su seguridad, su productividad y el cumplimiento de la normatividad. Algunos de los efectos que puede causar esta practica son los siguientes:

  • Aumentar el riesgo de fugas, robos o pérdidas de datos sensibles, al no estar protegidos por las medidas de seguridad establecidas por el departamento de TI.
  • Reducir la calidad y la disponibilidad de los servicios de TI, al generar conflictos, duplicidades o incompatibilidades entre las herramientas autorizadas y las no autorizadas.
  • Disminuir la productividad y la colaboración de los empleados, al dificultar el acceso, la integración y la actualización de la información entre las distintas herramientas y plataformas.
  • Incumplir las normas y los estándares de la industria o el sector, al no respetar las políticas, los protocolos y las regulaciones que rigen el uso de las TI en la empresa.

¿Cuál es la mejor manera de prevenir el ShadowIT?

La mejor manera de prevenir el ShadowIT es adoptar una estrategia que combine la educación, la comunicación y la colaboración entre el departamento de TI y los empleados de la empresa. Algunas de las acciones que se pueden implementar para lograrlo pueden ser:

  • Sensibilizar a los empleados sobre los riesgos y las consecuencias del Shadow IT, y fomentar una cultura de seguridad y de responsabilidad en el uso de las TI.
  • Informar a los empleados sobre las herramientas disponibles y aprobadas por el departamento de TI, y facilitar su acceso, formación y soporte.
  • Escuchar a los empleados sobre sus necesidades, sugerencias o quejas con respecto a las TI de la empresa, y buscar soluciones que satisfagan sus expectativas y requerimientos.
  • Involucrar a los empleados en la evaluación, selección e implementación de nuevas herramientas o servicios, y establecer criterios y procedimientos claros y flexibles para su aprobación y control.
Posted in : PYMES, Seguridad informática

Publicaciones destacadas

  • by La Computeria
  • 25 Sep 2024
  • 0

Cómo crear contraseñas seguras a prueba de hackers y cómo evitar que te las roben

¿Alguna vez has sentido que crear contraseñas seguras es como descifrar un código secreto? En este artículo, te daremos consejos sencillos para crear contrase...
  • by Hernan Giraldo
  • 11 Ago 2024
  • 0

¿Cómo elegir un servidor para tu empresa?

Si tu empresa ha llegado al punto de requerir una solución como un servidor, permíteme felicitarte, esto quiere decir que tu empresa está creciendo. La decisi...
Llámanos, estamos para ayudarte (+57)315-4357777
Carrera 32 # 8-10 Cali, Colombia
Lun-Vie: 8:00am-6:00pm Sabados: 8:00am-4:00pm
info@lacomputeria.net
© 2022 La Computeria Soluciones Informáticas SAS. Todos los derechos reservados.
Términos y Condiciones Política de Privacidad