Gamers ahora disponen en Latam de SSD más fría
En medio de la epidemia en ciberseguridad, es un hecho que el uso del Shadow IT por parte de los colaboradores aumenta la posibilidad de ataques.
El Zero Trust ayuda a controlar esto. Pero no es la única estrategia posible.
Frente al incremento constante de arquea cibernéticos cada vez más sofisticados, no ayuda a la gestión del CIO ni a la del CISO el que la más grande de las amenazas este puertas adentro.
Es justo esto lo que representa el llamado Shadow IT. Es decir, el uso de aplicaciones, dispositivos y/o servicios de nube pública que:
- No están autorizados
- O no cumplen con las políticas de seguridad de los departamentos de TI
Es claro que tales pra ricas conspiran en contra de la mínima higiene de seguridad que requiere cualquier empresa.
En este sentido, un estudio de Kaspersky señala que una de cada 10 empresas ha sufrido incidentes cibernéticos en los últimos dos años.
Lo peor es que tales incidentes pueden atribuirse al uso de programas o apps no autorizados. Un reciente estudio de Kaspersky revela que:
- 77% de las empresas en todo el mundo sufrió incidentes cibernéticos en los últimos dos años
- 11% a raíz del uso de Shadow IT por parte de los empleados
Las consecuencias del uso de plataformas no autorizadas pueden ser diversas en su gravedad. pero nunca son insignificantes, ya sea por la filtración de datos confidenciales o por daños tangibles al negocio.
En casa de herrero…
Por otro lado, el informe de Kaspersky sitúa al sector TI como al vertical más perjudicado por el Shadow IT.
El sector, según los datos de la empresa, sufrió el 16% de los incidentes cibernéticos debido al uso no autorizado de Shadow IT en 2022 y 2023.
Otros sectores afectados fueron el de infraestructuras críticas, así como organizaciones de transporte y logística, todos ellos con un 13% de los incidentes.
Kaspersky destacó que, aunque el término Shadow IT tratarse de:
- Aplicaciones no autorizadas instaladas en los equipos de los empleados
- O de memorias USB y dispositivos móviles no solicitados
No obstante, en esta categoría también debe incluirse el uso de tecnología que ha sido descartada en procesos de renovación y optimización.
Este hardware puede ser utilizado por otros empleados, adquiriendo vulnerabilidades que – tarde o temprano – terminarán afectando a la infraestructura de la empresa.
Alexey Vovk, responsable de Seguridad de la Información de Kaspersky recordó que, por más confiables que sean las aplicaciones de terceros que utilizan los colaboradores, los mismos suelen tener Claus alas de responsabilidad compartida en cuanto a uso y consecuencias.
Esa letra pequeña que jamás leemos
También algunas referencias a la actualización frecuente y sobre escritura de los soportes en los que se encuentra.
Estos términos suelen generar vulnerabilidades no previstas en los sistemas.
“Al elegir ’Acepto’, los usuarios confirman que realizarán actualizaciones periódicas de ese software y que asumen la responsabilidad de los incidentes relacionados con su uso (incluidas las fugas de datos corporativos). Las empresas necesitan herramientas para controlar el Shadow TI cuando sus empleados lo utilizan”, comenta Alexey Vovk, responsable de Seguridad de la Información de Kaspersky.
Los especialistas de Kaspersky recomiendan algunas acciones para reducir los riesgos del uso de Shadow IT:
- Garantizar la cooperación entre toda la empresa y los departamentos de TI para conversar regularmente sobre las nuevas necesidades del negocio y obtener una retroalimentación sobre los servicios de TI utilizados, con el fin de mejorar los ya existentes o crear nuevos, según lo que necesite la organización.
Igualmente, los especialistas de Kaspersky recomiendan realizar periódicamente un inventario de los activos informáticos.
También escanear la red interna para evitar la aparición de hardware y servicios no controlados.
Otras recomendaciones para sortear los peligros del Shadow IT son:
- En cuanto a los dispositivos personales de los empleados, lo mejor es dar a los usuarios un acceso lo más limitado posible sólo a los recursos que necesitan para hacer su trabajo. Se puede utilizar un sistema de control de acceso que sólo permita entrar en la red a los dispositivos autorizados.
- Realizar capacitaciones para mejorar los conocimientos de seguridad de la información de los empleados.
- Invertir en programas de formación relevantes para especialistas en seguridad de TI.
- Utilizar productos y soluciones que permitan controlar el uso de Shadow IT dentro de su organización.
- Realizar periódicamente un inventario de los activos informáticos para eliminar la aparición de dispositivos y hardware abandonados.
- Organizar un proceso centralizado para la publicación de soluciones escritas por los propios empleados, de modo que los especialistas en TI y en seguridad de la información tengan conocimiento de ellas en el momento oportuno.
- Limitar el trabajo de los empleados con servicios externos de terceros y, si es posible, bloquear el acceso a los recursos de intercambio de información en la nube más populares.
